RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

etcd

Kubernetes Core2026년 6월 1일

etcd v3.5.31은 3.5 브랜치의 패치 릴리스입니다. 공개된 릴리스 노트가 매우 간략하므로, 업그레이드 전 전체 CHANGELOG를 직접 확인해야 합니다.

  • breaking패치 버전도 업그레이드 가이드 확인 필수

    etcd 팀은 패치 릴리스에도 Breaking Change가 포함될 수 있다고 명시하고 있습니다. 마이너 버전이 바뀌지 않았다고 무조건 안전하다고 가정하면 안 됩니다. 현재 운영 중인 클러스터 버전과 API, 스토리지 포맷 변경 여부를 대조한 뒤 유지보수 일정을 잡으세요.

  • enhancement업그레이드 전 CHANGELOG 직접 확인

    이번 릴리스 노트에 실질적인 변경 내용이 거의 담겨 있지 않습니다. 실제 배포 전에 etcd 저장소의 CHANGELOG-3.5.md를 직접 열어 버그 수정 항목을 확인하세요. 3.5 패치 릴리스에는 컴팩션 처리나 리스 관련 수정이 자주 포함되는 편입니다.

주요 변경 (4)
  • 3.5.x 안정 브랜치의 패치 릴리스
  • 상세 변경 내역은 공식 CHANGELOG-3.5.md 참조 필요
  • 배포 전 공식 업그레이드 가이드 검토 권장
  • 컨테이너 이미지: gcr.io(기본), quay.io(보조)
원문

etcd

Kubernetes Core2026년 6월 1일

etcd v3.4.45는 3.4 브랜치의 유지보수 릴리스입니다. 릴리스 노트에 세부 내용이 거의 없으므로, 업그레이드 전에 반드시 CHANGELOG를 직접 확인해야 합니다.

  • breaking패치 릴리스라도 공식 업그레이드 가이드를 반드시 검토하세요

    릴리스 페이지에서 브레이킹 체인지가 있을 수 있다고 명시하고 있습니다. etcd 3.4.x는 Kubernetes 클러스터에서 광범위하게 사용되는 브랜치입니다. 특히 쿼럼과 데이터 무결성이 중요한 프로덕션 환경이라면 etcd.io의 업그레이드 가이드를 먼저 검토한 뒤 적용하세요.

  • enhancement업그레이드 전 CHANGELOG 직접 확인 필수

    이번 릴리스 페이지에는 변경 내용이 거의 없습니다. 업그레이드 전에 etcd GitHub 저장소에서 CHANGELOG-3.4.md를 직접 열어 실제 변경 사항을 파악하세요. etcd는 클러스터의 핵심 데이터 저장소인 만큼, 패치처럼 보이는 릴리스라도 내용을 확인하지 않고 적용하는 건 위험합니다.

주요 변경 (4)
  • 3.4.x 안정 브랜치의 유지보수 릴리스
  • 변경 세부 사항은 CHANGELOG-3.4.md에서만 확인 가능 — 릴리스 노트에는 미반영
  • 컨테이너 이미지는 gcr.io/etcd-development/etcd(기본) 및 quay.io/coreos/etcd(보조)에 게시
  • 배포 전 공식 업그레이드 가이드 검토 필요
원문

Dapr

Orchestration & Management2026년 6월 1일

v1.17.9는 Azure Cosmos DB를 워크플로 액터 상태 저장소로 사용할 때 customStatus 행이 없는 워크플로가 퍼지 루프에 영구적으로 갇히는 버그를 수정합니다.

  • breakingCosmos DB를 워크플로 상태 저장소로 쓴다면 즉시 업그레이드

    state.azure.cosmosdb를 워크플로 액터 상태 저장소로 사용하는 배포는 모두 영향권입니다. TTL이 지난 워크플로가 퍼지되지 않고, 스케줄러가 초당 한 번씩 퍼지를 계속 시도하면서 CPU를 낭비하고 로그를 오염시키며 dapr_runtime_workflow_operation_count{status=failed} 메트릭을 계속 올립니다. 1.17.9로 업그레이드 후 사이드카를 재시작하면, 멈춰 있던 워크플로는 다음 리텐션 리마인더 실행 시 자동으로 복구됩니다. 업그레이드 이후 별도 수동 조치는 불필요합니다.

  • enhancement업그레이드 전 메트릭으로 피해 규모 먼저 확인

    업그레이드 전에 dapr_runtime_workflow_operation_count를 operation=purge_workflow, status=failed 레이블로 조회해보세요. Cosmos DB 배포에서 이 값이 계속 증가하고 있다면 멈춰 있는 워크플로가 존재한다는 뜻입니다. 업그레이드 전후 수치를 비교하면 수정이 제대로 적용됐는지 명확히 검증할 수 있습니다.

주요 변경 (5)
  • Cosmos 트랜잭션 배치에 customStatus 삭제를 포함하기 전, 실제로 해당 행이 저장돼 있는지 여부를 추적하도록 수정
  • Cosmos DB에서 멈춰 있던 워크플로는 사이드카 업그레이드 후 자동 복구 — 수동으로 스케줄러 잡을 삭제할 필요 없음
  • 근본 원인: Cosmos DB의 원자적 배치 특성상 NotFound 삭제 하나가 실패하면 전체 트랜잭션이 롤백됨
  • 1초 간격의 무한 재시도 정책으로 인해 영향받은 워크플로당 메트릭과 로그가 초당 1회씩 계속 증가
  • customStatus 도입 이전 버전에서 업그레이드된 워크플로, 수동 정리된 워크플로, 초기 상태에서 진행되지 않은 워크플로 모두 해당
원문

OpenFeature

CI/CD & App Delivery2026년 6월 1일

flagd core v0.16.0은 비활성화 플래그 평가 결과를 FLAG_DISABLED 오류에서 reason=DISABLED 성공 응답으로 변경합니다. gRPC/OFREP 직접 호출자와 평가 메타데이터 검사 코드에 영향을 줍니다.

  • breakingerrorCode 또는 reason 필드를 검사하는 코드 전수 확인 필요

    FLAG_DISABLED 오류 코드 분기나 gRPC/OFREP 응답의 reason 필드를 조건으로 사용하는 코드는 업그레이드 후 동작이 바뀝니다. 오류 경로 대신 reason=DISABLED가 포함된 성공 응답을 받게 됩니다. 업그레이드 전에 코드베이스 전체에서 FLAG_DISABLED 문자열, 오류 코드 분기문, reason 조건 처리 로직을 찾아 수정하세요. SDK를 통해 반환값만 사용하는 경우는 변경 없이 업그레이드 가능합니다.

  • enhancementreason=DISABLED를 옵저버빌리티 신호로 적극 활용

    이번 변경으로 '플래그 비활성화'와 '평가 오류'를 메트릭과 로그에서 명확히 구분할 수 있게 됐습니다. 대시보드와 알림 규칙에서 reason=DISABLED를 오류가 아닌 정상 신호로 처리하도록 업데이트하면, 불필요한 알림 노이즈를 줄이면서도 비활성화 플래그 사용 현황을 추적하는 게 훨씬 수월해집니다.

주요 변경 (4)
  • 비활성화 플래그가 FLAG_DISABLED 오류 대신 reason=DISABLED와 함께 성공 응답으로 반환됨
  • 반환값 자체는 그대로 — SDK는 여전히 호출자가 제공한 기본값을 돌려주므로 최종 사용자 동작은 동일
  • 영향 범위 제한적: gRPC/OFREP 직접 호출, errorCode/reason 필드 검사 코드, core/pkg/model 임포트 코드에만 해당
  • 변경 배경과 설계 근거는 ADR(아키텍처 결정 기록)에 문서화됨
원문

OpenFeature

CI/CD & App Delivery2026년 6월 1일

flagd v0.16.0에서 비활성화 플래그 평가가 오류 반환에서 reason=DISABLED로 성공 응답하는 방식으로 바뀌었습니다. gRPC/OFREP 직접 호출 코드나 평가 메타데이터를 검사하는 코드에 영향을 줍니다.

  • breakingFLAG_DISABLED 또는 errorCode를 검사하는 코드 전수 점검 필요

    gRPC/OFREP 직접 호출, core/pkg/model import, 또는 평가 응답의 reason이나 errorCode를 읽는 코드가 있다면 업그레이드 전에 반드시 수정해야 합니다. FLAG_DISABLED 오류는 더 이상 발생하지 않고, 대신 reason=DISABLED가 담긴 성공 응답이 옵니다. SDK를 통해 반환값만 읽는 경우는 영향 없지만, FLAG_DISABLED를 기반으로 모니터링 알림이나 분기 로직을 구성했다면 조용히 동작을 멈출 수 있습니다. 코드베이스에서 FLAG_DISABLED와 errorCode 검사 부분을 먼저 grep으로 찾아 확인하세요.

주요 변경 (4)
  • 비활성화 플래그가 FLAG_DISABLED 오류 대신 reason=DISABLED로 성공 응답 반환
  • 실제 반환값은 동일 — SDK는 기존과 동일하게 호출자가 제공한 기본값을 돌려줌
  • 영향 범위 한정: reason/errorCode 검사 코드, gRPC/OFREP 직접 호출, core/pkg/model import 코드만 해당
  • 변경 배경은 ADR(아키텍처 결정 기록) 문서에 정리되어 있음
원문

KEDA

Orchestration & Management2026년 6월 1일

KEDA v2.20은 4개의 브레이킹 제거, Kubernetes 이벤트 RBAC 마이그레이션, 신규 스케일러 2개, 자격증명 누출 및 커넥션 누출을 포함한 다수의 버그 수정을 담고 있습니다.

  • securityPulsar, RabbitMQ, AWS 스케일러의 자격증명 누출 및 커넥션 누출 패치

    Pulsar 스케일러는 크로스호스트 리다이렉트나 HTTPS→HTTP 다운그레이드 시 bearer/basic 인증 헤더가 그대로 유출되는 문제가 있었습니다. RabbitMQ는 AMQP 커넥션 누출, AWS 스케일러(SQS, Kinesis, DynamoDB, CloudWatch)는 스케일러 종료 시 TCP 커넥션 누출이 있었습니다. 해당 스케일러를 운영 중이라면 v2.20 업그레이드만으로 문제가 해결됩니다. 별도 설정 변경은 없지만, Pulsar 스케일러에 사용된 자격증명은 사전 교체를 권장합니다.

  • breaking업그레이드 전 RBAC 반드시 수정 — events.k8s.io 마이그레이션은 선택이 아닙니다

    KEDA에 커스텀 또는 제한된 RBAC를 사용 중이라면, 업그레이드 전에 오퍼레이터 Role에 events.k8s.io/events에 대한 create/patch 권한을 추가해야 합니다. 공식 Helm 차트와 매니페스트는 이미 반영되어 있지만, 별도로 관리하는 RBAC는 이벤트 기록이 조용히 멈춥니다. 또한 삭제된 4개 설정(GCP PubSub subscriptionSize, Huawei minMetricValue, IBM MQ tls, InfluxDB triggerMetadata의 authToken)을 사용하는 ScaledObject가 있다면 업그레이드 후 검증 실패가 발생하므로 사전에 정리해야 합니다.

  • enhancementAWS 크로스 어카운트 스케일링, External ID 네이티브 지원으로 간소화

    TriggerAuthentication podIdentity에 External ID 필드가 추가되어 모든 AWS 스케일러에서 크로스 어카운트 IAM assume-role을 공식적으로 지원합니다. 기존에 우회책을 쓰고 있었다면, TriggerAuthentication 매니페스트에 externalId 필드를 설정하는 것으로 대체할 수 있습니다.

주요 변경 (5)
  • 업그레이드 전 RBAC 수정 필수: 이벤트 기록이 core API에서 events.k8s.io로 이동 — 커스텀 RBAC 환경에서는 이벤트 기록이 조용히 중단됨
  • 브레이킹 제거 4건: GCP PubSub subscriptionSize, Huawei minMetricValue, IBM MQ tls, InfluxDB triggerMetadata의 authToken 모두 삭제
  • OpenSearch 및 Elastic Forecast 스케일러 신규 추가; scalingModifiers에 폴백 동작 지원
  • Pulsar 스케일러, 크로스호스트 리다이렉트 및 HTTPS→HTTP 다운그레이드 시 인증 헤더 제거로 자격증명 누출 차단
  • 대규모 클러스터 웹훅 OOM 수정: admission 핫패스에서 json.MarshalIndent 제거 — 약 6만 개 ScaledObject 환경에서 확인된 문제
원문

Lima

Kubernetes Core2026년 6월 1일

Lima v2.1.2는 hostagent 리소스 누수, 좀비 프로세스, gRPC 연결 누수를 수정한 유지보수 릴리스입니다. Kubernetes 1.36, Ubuntu 26.04, Fedora 44 템플릿도 업데이트됩니다.

  • breakingAlpine 템플릿 분리 — 인스턴스 설정 업데이트 필요

    `template:alpine`이 `template:alpine-3.21`, `template:alpine-3.22`, `template:alpine-3.23`으로 분리됐습니다. 스크립트, CI, 설정 파일에서 `template:alpine`을 그대로 참조하면 오류가 발생합니다. 업그레이드 전에 모든 참조를 버전이 명시된 템플릿으로 교체하세요.

  • breaking_LIMA_QEMU_UEFI_IN_BIOS 사용 중단 — 즉시 제거 권장

    스크립트나 dotfile에 `_LIMA_QEMU_UEFI_IN_BIOS` 환경변수가 설정되어 있다면 지금 제거하는 게 좋습니다. 이번 릴리스에서 deprecated 처리됐고, 향후 버전에서 완전히 삭제될 가능성이 높습니다. limactl을 호출하는 CI 파이프라인과 래퍼 스크립트를 함께 점검하세요.

  • enhancementHostagent 리소스 누수 수정 — 장기 실행 인스턴스라면 바로 업그레이드

    GuestAgentClient 누수, inotify watcher 누적, 재연결 시 gRPC 스트림 오동작을 각각 수정한 네 가지 패치가 포함됐습니다. Lima 인스턴스를 장시간 운영하면서 메모리 증가나 연결 이상을 경험했다면, 이번 릴리스가 직접적인 해결책입니다. 다음 릴리스를 기다리지 말고 바로 업그레이드하는 편이 낫습니다.

주요 변경 (5)
  • Hostagent: GuestAgentClient 누수, inotify watcher 누수, 재연결 시 gRPC 스트림 처리 오류를 4개의 PR로 연속 수정
  • 드라이버: PID 추적으로 좀비 프로세스 방지, WSL2 CPU 스핀루프 수정, Darwin VZ GUI의 고루틴을 OS 스레드 0에 고정
  • 포트 포워딩 gRPC 터널 연결 누수 수정 (#5043)
  • 템플릿 업데이트: Kubernetes 1.36 고정, Ubuntu 26.04 추가, Alpine을 버전별(3.21/3.22/3.23)로 분리, Fedora 44 추가 및 Fedora 41 제거
  • QEMU: _LIMA_QEMU_UEFI_IN_BIOS 플래그 deprecated 처리, 비결정적 부팅 디스크 순서 수정, s390x 지원 추가
원문

Volcano

Orchestration & Management2026년 6월 1일

Volcano v1.15.0은 갱 인식 선점/회수, DRA 큐 쿼터, 오토스케일러 친화적 스케줄링 게이트를 도입하고, 이중 계산·경쟁 조건·롤백 오류 등 핵심 스케줄러 버그를 대거 수정했습니다.

  • securityCVE-2026-44247 웹훅 DoS 취약점 및 Prometheus XSS 패치 적용

    CVE-2026-44247은 과도하게 큰 웹훅 요청 본문으로 웹훅 서버 메모리를 고갈시킬 수 있는 DoS 취약점입니다. Prometheus 의존성도 저장형 XSS 어드바이저리(GHSA-vffh-x6r8-xx99)에 대응해 업데이트되었습니다. Volcano 어드미션 웹훅을 외부에 노출하는 환경이라면 v1.15.0으로 즉시 업그레이드하세요. 별도 우회 방법은 없습니다.

  • breakinggangPreempt/gangReclaim과 기존 preempt/reclaim 혼용 금지

    gangPreempt, gangReclaim은 기존 preempt, reclaim 액션과 스케줄러 액션 목록에 함께 사용할 수 없습니다. 업그레이드 전에 스케줄러 ConfigMap을 반드시 점검해 두 세트가 공존하지 않도록 하세요. 또한 DRA 스케줄링이 기본 활성화로 바뀌었으므로, DRA 드라이버가 없는 클러스터에서는 predicate.DynamicResourceAllocationEnable: false를 명시적으로 설정해야 합니다.

  • enhancement스케줄링 게이트로 큐 제한 시 오토스케일러 과잉 스케일업 방지

    Cluster Autoscaler나 Karpenter를 Volcano와 함께 운영 중이라면, 큐 용량 초과로 대기 중인 파드가 불필요한 노드 추가를 유발하는 문제가 있었습니다. 새 스케줄링 게이트 기능이 이를 깔끔하게 해결합니다. 파드 단위 opt-in 방식으로, scheduling.volcano.sh/queue-allocation-gate: 'true' 어노테이션을 설정하면 됩니다. 스케줄러와 webhook-manager 모두에서 기능 게이트를 활성화한 뒤, 큐 쿼터가 엄격하게 적용되는 배치 잡 워크로드부터 어노테이션을 적용해 낭비성 노드 프로비저닝을 줄이세요.

주요 변경 (5)
  • 갱 인식 선점/회수(Alpha): gangPreempt/gangReclaim 액션이 태스크 단위 축출을 잡(Job) 단위로 대체 — 기존 preempt/reclaim과 동일 액션 목록에 혼용 금지
  • DRA 큐 쿼터: ResourceClaim 사용량이 capability/deserved/guarantee에 반영됨, DRA 스케줄링은 기본 활성화(K8s 1.34+ 정렬)
  • 큐 입장용 스케줄링 게이트(Alpha): 큐 용량 초과로 대기 중인 파드가 오토스케일러 스케일업을 유발하지 않도록 차단, 스케줄러와 webhook-manager 양쪽 모두 활성화 필요
  • 플러그형 멀티샤딩 정책: ConfigMap 실시간 재로드 지원, 고정 샤드 파라미터 대신 filter/score/select 파이프라인 구성 가능
  • 주요 버그 수정: 동시 맵 쓰기 패닉, 스냅샷 공유 가변 객체, statement 이중 완료, inqueue 이중 계산, 선점 롤백, 이벤트 핸들러 캐시 경쟁 조건
원문

Karmada

Orchestration & Management2026년 5월 30일

v1.17.3은 차트 업그레이드 차단 문제를 고치고, 멀티 클러스터 검색 가시성을 바로잡으며, 과다 스케줄링을 방지하고, 자격증 로테이션 중 클러스터 준비 상태 감지를 안정화했습니다.

  • breaking차트 업그레이드 차단 해제: ConfigMap 크기 문제 해결됨

    karmada-operator-chart가 Karmada CRD를 ConfigMap에 포함시킬 때 크기 제한을 초과하여 차트 업그레이드를 막았습니다. 이것이 v1.17.3에서 고쳐졌습니다. 이 오류로 구 차트 버전에 갇혀 있었다면 지금 업그레이드하여 Karmada 배포 업데이트 능력을 회복하세요.

  • breaking스케줄러가 이제 클러스터 리소스 제한을 준수함

    스케줄러가 이전에는 클러스터에 리소스가 부족한데도 여러 워크로드 복제본을 배치했습니다. v1.17.3에서 과다 스케줄링을 고칩니다. 업그레이드 후 현재 배포를 감시하여 실제 배치가 기대와 맞는지 확인하고 필요시 복제본 수를 조정하세요.

  • enhancement검색이 이제 복구된 클러스터 리소스를 올바르게 반영함

    karmada-search가 이제 복구된 클러스터를 제대로 감시하고 지연 없이 리소스를 반영합니다. 클러스터 복구 시나리오(장애 조치 또는 복원)에서 검색 기능에 의존한다면 v1.17.3으로 업그레이드하여 새로 복구된 멤버 클러스터의 가시성을 확보하세요.

  • enhancement클러스터 준비 상태가 이제 실패 임계값을 대기함

    임시 자격증 로테이션 실패(SecretRef 누락)는 이제 즉시 실패하지 않고 ClusterFailureThreshold까지 대기한 후 클러스터를 NotReady로 표시합니다. 일상적인 로테이션 중 과민 장애 조치를 방지합니다. 안정적인 자격증 로테이션 프로세스가 이미 있다면 조치 불필요하며, 이것은 거짓 양성을 줄입니다.

주요 변경 (4)
  • operator-chart에 Karmada CRD를 포함할 때 ConfigMap 크기 제한 초과—차트 업그레이드 정상 작동
  • karmada-search watch 연결이 복구된 클러스터의 리소스를 즉시 반영함
  • karmada-scheduler가 더 이상 리소스 제약이 있는 클러스터에 워크로드를 과다 스케줄링하지 않음
  • ClusterClientSetFunc 일시적 실패가 더 이상 클러스터를 즉시 NotReady로 표시하지 않고 ClusterFailureThreshold를 준수함
원문

Karmada

Orchestration & Management2026년 5월 30일

Karmada v1.16.6은 세 가지 신뢰성 문제를 수정했습니다: 클러스터 재연결 시 watch 기반 리소스 발견, 동시 스케줄링 시 스케줄러의 리소스 과다 할당, 일시적 자격증명 오류 시 과민한 클러스터 failover.

  • breaking스케줄러 리소스 과다 할당 문제 수정

    기존에는 여러 template 리소스가 동시에 배치될 때 클러스터 리소스 부족 상태에서도 워크로드를 배치했습니다. v1.16.6으로 업그레이드하여 리소스 가용성 검증을 제대로 적용하세요. 업그레이드 후 클러스터 리소스 제한과 현재 배포가 의도한 용량 제약을 준수하는지 확인하세요.

  • breaking클러스터 준비 상태가 failure threshold를 존중합니다

    시크릿 로테이션 중 일시적 자격증명 오류가 더 이상 클러스터를 즉시 Ready=False로 표시하고 failover를 유발하지 않습니다. 이제 ClusterFailureThreshold를 존중한 후 클러스터 상태를 변경합니다. ClusterFailureThreshold를 조정하거나 빠른 failover 동작에 의존한다면, 스테이징 환경에서 클러스터 자격증명 로테이션을 테스트하여 failover 시점이 기대하는 동작과 일치하는지 확인하세요.

  • enhancementWatch 발견이 재연결 클러스터의 리소스를 반영합니다

    Karmada-search는 네트워크 단절이나 재시작 후 재연결된 클러스터의 리소스를 이제 제대로 반영합니다. 멀티 클러스터 배포에서 watch 기반 리소스 발견을 사용한다면, 업그레이드 후 재연결된 클러스터의 리소스가 수동 개입 없이 검색에 나타나는지 확인하세요. 재연결된 클러스터의 리소스 동기화 지연이 있는지 search 로그를 모니터링하세요.

주요 변경 (3)
  • karmada-search: 재연결된 클러스터의 리소스를 watch 연결에 반영
  • karmada-scheduler: 클러스터 용량 부족 시 동시 배치로 인한 과다 스케줄링 수정
  • karmada-controller-manager: 일시적 자격증명 오류 시 클러스터를 즉시 unready로 표시하지 않음; ClusterFailureThreshold 준수
원문

Karmada

Orchestration & Management2026년 5월 30일

v1.18.0은 하이브리드 클라우드 버스트 스케줄링을 위한 overflow cluster affinities와 리소스 이중 할당 방지 메커니즘을 추가합니다. v1.18.x로 올리기 전에 반드시 v1.17.3+를 먼저 적용해야 합니다.

  • securityAlpine 베이스 이미지 3.23.4로 업데이트

    기본 Alpine 이미지가 3.23.3에서 3.23.4로 올라갔습니다. 일반 업그레이드 외에 별도 조치는 없지만, 이미지 digest를 고정해 쓰는 환경이라면 digest 값을 업데이트하세요.

  • breakingv1.18.x 업그레이드 전 v1.17.3+ 필수 적용

    v1.18.x로 올리기 전에 반드시 v1.17.3+ 상태여야 합니다. 이 순서를 건너뛰면 operator 업그레이드가 실패합니다. `karmadactl version`으로 현재 버전을 확인하고, v1.17.3+가 아니라면 먼저 해당 버전으로 올리세요.

  • breakingDeprecated gRPC 필드 교체 — 커스텀 플러그인 수정 필요

    karmada-scheduler-estimator의 gRPC 필드 여러 개가 deprecated 처리됐습니다. `resourceRequest` → `resourceRequestBytes`, `nodeAffinity` → `nodeAffinityBytes`, `tolerations` → `tolerationsBytes`로 교체됩니다. 커스텀 estimator 플러그인이나 이 필드를 직접 읽는 툴링이 있다면 업그레이드 전에 수정하세요. 기존 필드는 v1.18에서는 아직 남아 있지만 이후 릴리스에서 제거됩니다.

  • breaking삭제된 플래그 및 메트릭 레이블 — 기존 설정 충돌 주의

    karmada-controller-manager에서 `--cluster-lease-duration`, `--cluster-lease-renew-interval-fraction` 플래그가 삭제됐습니다. Karmada Init Configuration의 `Etcd.Local.InitImage`도 제거됐습니다. 배포 스크립트나 Helm values에 이 항목들이 있으면 업그레이드 전에 제거하세요. 그렇지 않으면 컴포넌트 기동에 실패합니다. Prometheus 대시보드도 확인하세요 — `cluster`, `cluster_name` 레이블이 사라지고 `member_cluster`로 바뀌었습니다.

  • enhancement스케줄러 오라우팅 및 eviction 누락 버그 수정

    스케줄러 버그 두 건이 이번 릴리스에서 수정됐습니다. 첫째, 클러스터 레플리카가 부족한 binding이 5분 타이머 큐 대신 exponential backoff(1~10초) 큐로 잘못 라우팅되어 워크로드가 멈춘 것처럼 보이는 문제입니다. 둘째, 여러 컨트롤러가 동일한 ResourceBinding을 동시에 수정할 때 graceful eviction 태스크가 조용히 누락되어 실패 클러스터에서 워크로드가 대피되지 않는 race condition입니다. 이런 증상을 겪었다면 v1.18.0으로 업그레이드 후 해당 워크로드 상태를 재확인하세요.

  • enhancement고부하 환경에서 SchedulingOvercommitProtection 활성화 검토

    SchedulingOvercommitProtection feature gate(기본값: 비활성)는 연속 스케줄링 요청 사이에 클러스터 리소스를 과잉 할당하는 문제를 방지합니다. Pod가 노드에 바인딩되기 전에 동일 클러스터에 중복 스케줄링이 발생하는 환경에서 효과적입니다. staging에서 검증 후 karmada-scheduler와 karmada-scheduler-estimator 양쪽에 `--feature-gates=SchedulingOvercommitProtection=true`를 설정하세요.

  • enhancement하이브리드 클라우드 버스트 스케줄링용 Overflow Cluster Affinities

    PropagationPolicy/ClusterPropagationPolicy에 `overflowAffinities` 필드가 추가됐습니다. 1순위 클러스터 그룹이 소진되면 선언 순서대로 보조 그룹으로 레플리카를 넘기고, 스케일다운 시에는 보조 그룹부터 먼저 회수합니다. IDC 우선 + 퍼블릭 클라우드 버스트 패턴에 적합합니다. 기존 정책에는 영향 없고, 이 필드를 추가한 경우에만 동작이 바뀝니다.

주요 변경 (6)
  • 필수 업그레이드 경로: v1.18.x 적용 전 v1.17.3+ 먼저 적용 (karmada-operator-chart 요건)
  • PropagationPolicy에 OverflowClusterAffinities API 추가 — 1순위 클러스터 그룹 소진 시 보조 그룹으로 자동 확장, 스케일다운 시 역순 회수
  • SchedulingOvercommitProtection feature gate (기본값: off) — 연속 스케줄링 시 assumed workload를 캐싱해 리소스 이중 할당 방지
  • karmada-scheduler-estimator gRPC 필드 deprecated: resourceRequest/nodeAffinity/tolerations → *Bytes 필드로 교체 (Kubernetes 1.35+ 대응)
  • 제거된 항목: --cluster-lease-duration/--cluster-lease-renew-interval-fraction 플래그, cluster/cluster_name Prometheus 레이블(→ member_cluster), Etcd.Local.InitImage 설정
  • 주요 버그 수정: binding backoffQ 오라우팅, 동시 컨트롤러 수정 시 eviction 태스크 누락, ClusterTaintPolicy 동시 health taint 누락
원문

OpenCost

Observability2026년 5월 29일

v1.120.3은 Go 의존성 CVE 2건을 패치하고 AWS·Azure·Oracle·DigitalOcean 프로바이더 전반의 버그를 수정합니다. OVH 프로바이더 추가와 cosign 이미지 서명도 포함됐습니다.

  • security취약한 Go 의존성 패치 — 즉시 업그레이드 필요

    이번 릴리스에서 Go 의존성 취약점 GHSA-xmrv-pmrh-hhx2와 CVE-2026-34986를 패치했습니다. v1.120.3 이전 버전을 운영 중이라면 즉시 업그레이드하세요. 코드 변경이 아닌 의존성 수준의 취약점입니다.

  • breakingMCP 서버가 기본 비활성화로 변경 — 배포 설정 확인 필요

    MCP 서버의 기본값이 활성화에서 비활성화(MCP_SERVER_ENABLED=false)로 바뀌었습니다. 기본 활성화 상태를 전제로 운영 중이었다면 업그레이드 전에 배포 매니페스트에서 해당 환경 변수를 명시적으로 설정해야 합니다.

  • enhancementcosign 이미지 서명 검증을 어드미션 파이프라인에 추가

    컨테이너 이미지에 cosign keyless 서명과 SLSA provenance 어테스테이션이 추가됐습니다. Kyverno나 cosign verify 같은 정책 도구를 사용 중이라면 OpenCost 이미지에 대한 서명 검증 정책을 CI 또는 배포 시점에 적용할 수 있습니다.

주요 변경 (7)
  • Go 의존성 취약점 패치 (GHSA-xmrv-pmrh-hhx2, CVE-2026-34986)
  • MCP 서버 기본값이 비활성화(MCP_SERVER_ENABLED=false)로 변경
  • OVH 클라우드 프로바이더 추가, DigitalOcean 및 Oracle/Karpenter 가격 산정 버그 수정
  • AWS Spot Price History API 캐싱 추가 및 spot data feed 비활성화 토글 신설
  • 스크레이프 타깃 파싱 메모리 누수 수정, CPU 사용량 카운터 오버플로 보호 추가
  • 컨테이너 이미지 cosign 서명 및 SLSA provenance 어테스테이션 지원
  • AWS CUR 2.0 비용 데이터 수집 지원 추가
원문

gRPC

Networking & Messaging2026년 5월 29일

gRPC v1.81.0은 Python 3.9와 Ruby 3.1 지원을 종료하고, Windows·ARM에서의 크래시급 레이스 컨디션을 수정하며, Python AsyncIO observability를 추가했습니다.

  • breakingPython 3.9 지원 종료 — 런타임 버전 확인 필요

    gRPC 1.81.0부터 Python 3.9를 지원하지 않습니다. Python 3.9 환경에서 gRPC를 운영 중이라면 런타임을 3.10 이상으로 올리기 전까지는 이전 버전을 유지하세요. 이 릴리스로 업그레이드하기 전에 Python 버전 계획을 먼저 잡아야 합니다.

  • breakingRuby 3.1 지원 종료 — Ruby 런타임 업그레이드 필요

    Ruby 3.1이 EOL에 도달하면서 gRPC 1.81.0에서 지원이 끊겼습니다. Ruby 3.1로 gRPC를 운영 중이라면 이 릴리스를 적용하기 전에 Ruby 3.2 이상으로 업그레이드해야 합니다.

  • enhancementWindows·ARM 안정성 버그 수정 — 운영 중이라면 업그레이드 고려

    Windows에서 use-after-free와 assertion 오류를 유발하는 레이스 컨디션 두 건, ARM 환경(weak memory model)에서 completion queue 셧다운 레이스가 수정됐습니다. Windows나 ARM 기반 인프라에서 gRPC를 운영 중이라면 크래시로 이어질 수 있는 문제들이 이번에 해결된 것이므로, 안정성 확인 후 업그레이드를 검토하세요.

주요 변경 (6)
  • Python 3.9 지원 제거 — 이후로는 Python 3.10 이상 필요
  • Ruby 3.1(EOL) 지원 제거 — Ruby 3.2 이상 필요
  • EventEngine: Windows에서 use-after-free 및 assertion 오류 레이스 수정
  • ARM(weak memory model)에서 completion queue 셧다운 레이스 수정
  • gRPC Python AsyncIO 스택에서 observability 지원 추가
  • grpc-status 패키지: protobuf 의존성 상한을 7.x까지 허용하도록 완화
원문

Kubescape

Security2026년 5월 29일

Kubescape v4.0.9는 스캔 정확도 버그(부분 리소스 수집, 커버리지 리포팅, Prometheus 출력)를 고치고 스캔 리포트의 정보 노출을 보강하며, patch 명령의 기본 푸시 동작을 변경한 대규모 유지보수 릴리스입니다.

  • security시크릿 노출 관련 수정과 신규 익명화 플래그 점검

    스캔 결과의 정보 노출을 막는 수정이 여러 건 포함됐습니다. removeContainersData에서 EnvFrom과 Env[].ValueFrom을 제거하고(커밋 acc3280, 0c68cca), /v1/results의 IDOR 취약점을 보강했으며(커밋 0fe6a0f), 리소스 이름·네임스페이스·라벨·어노테이션·컨테이너 메타데이터를 가리는 --hide 익명화 파이프라인이 새로 추가됐습니다. 스캔 리포트를 팀 밖으로 공유하거나 CI 아티팩트로 내보낸다면 --hide 플래그를 검토하고 컨테이너 환경변수 참조가 노출되지 않는지 확인하세요.

  • breakingpatch 명령의 기본 푸시 동작 제거

    Kubescape의 fix 명령이 이제 기본적으로 패치된 이미지를 푸시하지 않습니다(커밋 b10cbb1). CI 파이프라인이 기존의 기본 푸시 동작에 의존하고 있었다면 --push 플래그를 명시적으로 추가해야 합니다. 그렇지 않으면 업그레이드 후 패치 파이프라인이 아무 경고 없이 이미지 푸시를 멈춥니다.

  • enhancement신규 커버리지 게이트와 diff 명령을 CI에 도입

    CI 파이프라인에서 스캔 커버리지와 컨트롤 결과를 게이트할 수 있는 플래그가 추가됐습니다. --fail-coverage-below로 최소 커버리지 임계값을 지정할 수 있고(커밋 4ae7b87), 커버리지 누락 및 미평가 컨트롤도 명시적으로 리포트됩니다(커밋 5876d2b). 두 스캔 리포트를 비교하는 kubescape diff 명령도 새로 생겼습니다(커밋 00682ee). 이전에는 리소스 수집이 일부 실패해도 조용히 통과했던 CI 게이트에 --fail-coverage-below를 추가하고, kubescape diff로 스캔 간 보안 상태 변화를 추적하세요.

주요 변경 (6)
  • GVR(리소스 타입) 일부 수집 실패를 조용히 무시하지 않고 표면화하며, ScanCoverage가 실패·미평가 컨트롤을 반영합니다
  • CI 커버리지 게이트용 --fail-coverage-below 플래그와 리포트 비교용 kubescape diff 명령이 새로 추가됐습니다
  • 리소스 이름, 네임스페이스, 라벨, 어노테이션, 컨테이너 메타데이터를 가리는 --hide 플래그와 익명화 파이프라인이 새로 생겼습니다
  • fix 명령이 이제 이미지 푸시에 명시적 opt-in을 요구합니다 (이전에는 기본으로 푸시했습니다)
  • Prometheus 출력 관련 수정 다수: 누락된 HELP/TYPE 헤더 추가, score/metrics 출력 writer 경로 수정, 중복 헤더 제거
  • K8s 리소스 수집을 병렬화해 성능을 개선했고 TimedCache의 TOCTOU 레이스 컨디션을 고쳤습니다
원문

Dapr

Orchestration & Management2026년 5월 28일

v1.17.8은 완료된 인스턴스 ID 재사용 시 워크플로우가 영구 stuck되는 버그와, Sentry OIDC discovery document가 X-Forwarded-Host로 오염될 수 있는 보안 취약점(CWE-346)을 수정합니다.

  • securityX-Forwarded-Host를 통한 OIDC discovery document 오염 취약점 조치

    Sentry OIDC 서버를 `--jwt-issuer`나 `--oidc-allowed-hosts` 없이 켜둔 배포는 CWE-346에 노출됩니다. 공격자가 `X-Forwarded-Host` 헤더를 조작한 요청 한 건만으로 discovery document를 오염시킬 수 있고, HTTP 캐시가 최대 1시간 동안 오염된 응답을 서빙할 수 있습니다. 즉시 업그레이드가 어렵다면 `--jwt-issuer`로 issuer를 고정하는 것이 가장 빠른 완화책입니다. 리버스 프록시의 공개 hostname을 `X-Forwarded-Host`로 전달하는 구성이라면 `--oidc-allowed-hosts`를 설정해야 해당 헤더가 계속 동작합니다.

  • breaking인스턴스 ID 재사용으로 stuck된 워크플로우 수정 — 업그레이드 필요

    결정적(deterministic) 인스턴스 ID를 재사용하는 워크플로우를 운영 중이라면 이 버그에 해당할 수 있습니다. 사이드카를 1.17.8로 올리면, 다음 retention reminder가 실행될 때 자동으로 복구되며 스케줄러에서 수동으로 job을 지울 필요가 없습니다. `dapr_runtime_workflow_operation_count{operation=purge_workflow,status=failed}` 메트릭이 워크플로우당 초당 1씩 올라가고 있다면 이 버그를 겪고 있는 겁니다.

주요 변경 (4)
  • 완료된 워크플로우의 retention reminder가 이제 무한 재시도 대신 조용히 드레인됨
  • 기존 1.17 배포에서 stuck된 워크플로우는 사이드카를 1.17.8로 올리면 자동 복구 — 수동 개입 불필요
  • `--oidc-allowed-hosts` 미설정 시 Sentry OIDC가 `X-Forwarded-Host` 헤더를 무시하도록 변경
  • allowlist 미설정 상태에서는 issuer와 jwks_uri를 `r.Host`에서만 도출
원문

Cloud Custodian

Security2026년 5월 28일

0.9.51.0은 AWS AI/ML 관련 신규 리소스 추가, iam-access-key 스키마 breaking change, GCP 레이블 관리 대상 리소스 대폭 확대를 담은 기능 위주 릴리스입니다.

  • breaking업그레이드 전 iam-access-key 정책에서 json-diff 필터 제거 필수

    `aws.iam-access-key` 리소스에서 `json-diff` 필터가 완전히 제거됐습니다. 이 필터를 쓰는 정책은 업그레이드 후 런타임 오류가 납니다. 업그레이드 전에 `iam-access-key` 관련 정책 파일을 검색해 `json-diff` 필터 사용 여부를 확인하고 제거하거나 대체 필터로 바꾸세요.

  • enhancementCross-account IAM 정책 검사에 org path 지원 활용

    AWS cross-account 정책 평가에서 `aws:PrincipalOrgPaths`와 화이트리스트 계정을 지원하기 시작했습니다. 조직 경로 기반 principal 체크를 위해 별도 우회 방법을 쓰고 있었다면, 이 기능으로 정책을 단순화할 수 있습니다. cross-account 거버넌스 정책을 운영 중이라면 검토해 보세요.

  • enhancementGCP 레이블 컴플라이언스 정책을 새로 지원하는 리소스 타입으로 확장

    이번 릴리스에서 GCP 레이블 관리 대상 리소스가 대폭 늘었습니다. Cloud Run 서비스/잡, Pub/Sub 토픽/구독, Redis, Secrets Manager 시크릿, 스냅샷, DNS 관리 영역, 인터커넥트, 로드밸런서 주소 및 포워딩 룰, Cloud Functions 등 약 15개 리소스 타입에 `set-labels`와 `mark-for-op` 액션이 추가됐습니다. GCP 레이블 컴플라이언스 정책을 운영 중이라면 지금까지 커버하지 못했던 리소스를 정책에 추가하세요.

주요 변경 (5)
  • Breaking change: `aws.iam-access-key`에서 `json-diff` 필터 제거 — 사용 중인 정책은 업그레이드 시 오류 발생
  • 신규 AWS 리소스: `bedrock-foundation-model`, `bedrock-guardrail`, `devops-agent-space` 추가; Bedrock 추론 프로파일에 `metrics` 필터 추가
  • AWS EKS에 `addon` 및 `metrics`(컨테이너 인사이트) 필터 추가; RDS에 `recommendations` 필터 추가; `rds-param-group`, `rds-cluster-param-group` 모두 `unused` 필터 추가
  • EC2와 Lambda에 `iam-role`, `iam-role-tag-mirror` 필터 추가 — 기존 리소스/역할 속성 불일치 버그 수정
  • GCP에서 Firestore, NCC spoke, Redis 클러스터, Vertex AI Model Garden 등 신규 리소스 추가; ~15개 리소스 타입에 레이블 액션 일괄 추가
원문

Prometheus

Observability2026년 5월 28일

Prometheus 3.12.0은 Remote Write DoS와 STACKIT SD 시크릿 노출 두 가지 보안 패치를 포함하며, Agent 모드 WAL 레이스 버그를 수정하고 TSDB 범위 쿼리의 헤드 청크 조회를 O(1)로 개선합니다.

  • securitySTACKIT SD 사용 환경은 자격증명 교체 후 즉시 업그레이드

    이번 릴리스에서 두 가지 보안 취약점이 패치되었습니다. 첫째, Remote Write 수신 시 snappy 압축 페이로드의 선언된 압축 해제 크기가 32 MB를 초과하면 요청을 거부하도록 변경되었습니다 — DoS 공격 벡터를 막는 조치입니다. 둘째, STACKIT SD가 `/-/config` 엔드포인트를 통해 시크릿을 평문으로 노출하는 버그(GHSA-39j6-789q-qxvh)가 수정되었습니다. STACKIT SD를 사용 중이라면 업그레이드 전에 노출됐을 수 있는 자격증명을 즉시 교체하세요.

  • breakingAgent 모드 WAL 레이스 패치 — Agent 배포 환경은 업그레이드 필수

    Agent 모드에서 동일한 레이블 셋을 대상으로 동시에 Append가 발생할 때 인메모리 시리즈와 WAL 레코드가 중복 생성되는 레이스 컨디션이 수정되었습니다. 쓰기 부하가 높은 Agent 배포 환경에서는 WAL이 조용히 손상될 수 있었던 버그입니다. 또한 `remote_write` queue_config 필드 유효성 검사가 이제 시작 시점에 수행됩니다 — 기존에는 런타임 패닉으로 이어지던 잘못된 설정이 이제 startup 실패로 나타납니다. 배포 전 반드시 설정 파일을 검증하세요.

  • enhancementTSDB 범위 쿼리 CPU 개선 및 auto-reload-config 안정화

    TSDB 헤드 청크의 범위 쿼리 조회가 O(n²)에서 O(1)로 개선되었고, mmap 처리 시 불필요한 시리즈를 건너뛰도록 최적화되었습니다. 헤드 청크가 많은 운영 환경에서 CPU 사용량이 눈에 띄게 줄어들 수 있습니다. 설정 변경 없이 업그레이드만으로 적용됩니다. 아울러 `auto-reload-config`가 stable로 승격되었으므로, 런북에서 해당 기능에 붙어 있던 '실험적' 주석을 제거해도 됩니다.

주요 변경 (7)
  • 보안: Remote Write에서 32 MB 초과 snappy 페이로드 거부(DoS 방어); STACKIT SD 시크릿 평문 노출 패치(GHSA-39j6-789q-qxvh)
  • TSDB 성능: 헤드 청크 범위 쿼리 조회 O(n²) → O(1); mmap 시 불필요한 시리즈 건너뜀으로 CPU 절감
  • PromQL: 실험적 함수 start(), end(), range(), step() 추가; use-start-timestamps 플래그 뒤에 rate()/irate()/increase()/resets()가 start timestamp 반영
  • Service Discovery: DigitalOcean Managed Databases, Outscale VM 추가; AWS EC2 SD IPv6 지원; AWS SD에 external_id 옵션 추가(ECS/MSK/RDS/ElastiCache)
  • 버그 수정: Agent WAL 레이스 컨디션, 잘못된 네이티브 히스토그램 스크레이프 패닉, TSDB 네이티브 히스토그램 쿼리 패닉, remote_write 설정 startup 시 유효성 검사 적용
  • UI: Status 메뉴에서 시계열 삭제 및 tombstone 정리 기능 추가
  • auto-reload-config stable 승격
원문

Open Policy Agent (OPA)

Security2026년 5월 28일

OPA v1.17.0은 부정 처리의 의미론적 버그를 수정하고 결정 로그 레이블 보고를 개선합니다. 대부분 향상 사항이지만 하나의 의존성 제거는 특정 환경에서 수동 GOMAXPROCS 구성이 필요할 수 있습니다.

  • breakingautomaxprocs 및 x/net 의존성 제거됨; 필요시 GOMAXPROCS 수동 구성

    OPA v1.17.0은 automaxprocs와 x/net 의존성을 제거하여 런타임 크기를 줄이고 이 라이브러리를 관리하는 애플리케이션과의 충돌을 제거합니다. automaxprocs 동작(CPU 자동 감지 및 GOMAXPROCS 튜닝)을 명시적으로 의존하지 않으면 조치가 필요 없습니다. 그 동작에 의존한다면 환경이나 배포에서 GOMAXPROCS를 수동으로 구성해야 할 수 있습니다. 대부분의 사용자는 영향을 받지 않습니다.

  • enhancement복합식 부정 의미론 수정을 위해 future.keywords.not 임포트하기

    OPA v1.17.0은 복합식 부정(`not f(g(input.x))`)에서 중간값이 정의되지 않으면 규칙이 조용히 실패하던 오래된 버그를 고칩니다. `future.keywords.not` 임포트를 추가하면 정의되지 않은 중간값이 더 이상 규칙 실패를 일으키지 않고 부정이 올바르게 성공합니다. 입력이나 함수 결과가 정의되지 않을 수 있는 복잡한 식의 부정에 의존하는 정책이 있다면 `future.keywords.not`을 임포트하세요. 정책 평가 동작이 바뀌지만 올바른 방향입니다.

  • enhancement결정 로그 파싱을 새로운 rule_labels 배열 형식에 맞게 업데이트하기

    결정 로그에 새로운 최상위 `rule_labels` 배열이 추가되어 성공적으로 평가된 모든 규칙의 레이블을 하나의 항목에 모읍니다(규칙 > 문서 > 패키지 > 서브패키지 순서로 우선순위 결정). 이전에는 레이블을 기여한 각 범위마다 로그 항목이 하나씩 있었습니다. 결정 로그를 규칙 레이블로 파싱하거나 쿼리한다면 개별 범위 레벨 항목 대신 `rule_labels`를 통합된 레이블 맵의 배열로 읽도록 로그 파싱 로직을 업데이트하세요. 이 변경으로 레이블 집계가 단순해지며 런타임과 Go SDK에서 기본으로 처리됩니다.

주요 변경 (5)
  • 정의되지 않은 중간값을 포함한 복합식 부정 시 직관적이지 않은 실패를 수정하는 `future.keywords.not` 임포트 추가.
  • 결정 로그에 성공적으로 평가된 모든 규칙의 통합된 레이블을 담은 `rule_labels` 배열 추가.
  • 번들 매니페스트 및 IR 계획 JSON 스키마가 검증과 도구 통합을 위해 공개됨.
  • 런타임 크기 감소를 위해 automaxprocs와 x/net 의존성 제거.
  • `json.verify_schema` 및 `json.match_schema` 내장 함수에서 패턴 검증 활성화.
원문

Rook

Storage & Data2026년 5월 27일

Rook v1.18.11은 liveness probe 안정성, OSD 디스크 처리, CSI priority class 할당을 개선합니다. 주요 breaking change는 없지만 CSI 컴포넌트 수정으로 포드 스케줄링이 바뀔 수 있습니다.

  • breakingCSI priority class 이름 수정

    CSI provisioner와 plugin priority class 이름이 이전 v1.18.x 릴리스에서 바뀌어 있었습니다(PR #17361). CSI priority class를 커스텀으로 설정했다면 업그레이드 후 PVC와 plugin pod를 확인하세요. 이제 올바른 priority class가 올바른 컴포넌트에 적용되므로 스토리지 워크로드의 스케줄링 동작이 바뀔 수 있습니다.

  • enhancementLiveness probe 스크립트 형식 개선

    Rook v1.18.11은 liveness probe 스크립트에서 줄바꿈을 제거했습니다(PR #17420). Ceph 클러스터의 liveness probe가 불안정하거나 포드가 자주 재시작된다면 즉시 업그레이드하세요. 공백 문제가 probe 출력 파싱을 방해할 수 있습니다. breaking change는 없지만 운영 중 노이즈를 제거할 수 있습니다.

  • enhancement강제 OSD 설치를 위한 디스크 zapping

    디스크 zapping 기능(PR #17533)을 통해 강제 OSD 설치 시 디바이스를 명시적으로 제어할 수 있습니다. 기존 노드에 스토리지를 추가하거나 실패한 OSD 슬롯을 복구 중이라면 v1.18.11로 업데이트한 후 OSD 검색 워크플로우를 검토하세요. 이제 이전에 사용된 디스크에 수동 개입 없이 강제 설치할 수 있습니다.

주요 변경 (5)
  • 강제 OSD 설치를 위한 디스크 zapping으로 스토리지 복구 단순화
  • Liveness probe 스크립트 줄바꿈 제거로 포드 재시작 감소
  • CSI provisioner와 plugin priority class 이름 정정
  • Go-jose 라이브러리 4.1.3에서 4.1.4로 업데이트
  • 오래된 PgHealthyRegex 문서 참조 수정
원문

Falco

Security2026년 5월 26일

Falco 0.44.0은 오래 전부터 deprecated된 gRPC 출력, gVisor 엔진, 레거시 BPF 프로브를 최종 제거합니다. 이 중 하나라도 사용 중인 배포 환경은 업그레이드 전 마이그레이션이 필수입니다.

  • securityfalco-webui 로컬 전용으로 제한 — 외부 접근 도구 확인 필요

    falco-webui Docker 서비스가 이제 로컬호스트 접근만 허용하도록 변경됩니다. 네트워크를 통해 webui에 접근하는 대시보드나 도구가 있다면 업그레이드 후 동작이 달라집니다. 보안 측면에서는 바람직한 변경이지만, 외부에서 webui를 호출하는 자동화 스크립트나 모니터링 도구가 있는지 미리 확인하세요.

  • breaking세 가지 기능 제거 — 업그레이드 전 설정 점검 필수

    이번 릴리스에서 gRPC 출력/서버, gVisor 엔진, 레거시 BPF 프로브가 한꺼번에 제거됩니다. gRPC 기반 출력을 쓰고 있다면 HTTP JSON 출력이나 사이드카 방식으로 전환한 뒤 업그레이드해야 합니다. gVisor를 쓰는 팀은 지원되는 엔진으로 바꿔야 하고, 레거시 BPF를 쓰는 팀은 modern eBPF 프로브로 이동해야 합니다. 0.44.0을 프로덕션에 적용하기 전에 현재 falco.yaml과 배포 구성을 반드시 점검하세요.

  • enhancement룰 문법 확장 — 커스텀 룰 파일 유효성 사전 확인 권장

    룰 엔진에 oneof/allof/anyof 문자열 비교 수식자가 추가됐고, 리스트 트랜스포머 예외도 지원됩니다. 커스텀 룰을 관리하는 팀이라면 기존에 중복 조건으로 우회했던 부분을 이 기능으로 간소화할 수 있습니다. 또한 이번 버전부터 룰 파일에 알 수 없는 키가 있으면 오류가 발생합니다. 기존 룰 파일에 오타나 비표준 필드가 있다면 업그레이드 전에 미리 검증해두세요.

주요 변경 (7)
  • gRPC 출력/서버 제거 — 업그레이드 전 출력 방식 마이그레이션 필요
  • gVisor 엔진 제거 — 해당 엔진 사용 중이면 지원 엔진으로 전환 필요
  • 레거시 BPF 프로브 제거 — modern eBPF 프로브로 전환 필요
  • 룰 엔진에 oneof/allof/anyof 문자열 비교 수식자 추가
  • 룰 파일 내 unknown key 검증 — 비표준 필드가 있으면 오류 발생
  • falco-webui Docker 서비스가 로컬호스트 전용으로 제한
  • 캡처 파일에 capture_events, capture_filesize 종료 조건 추가
원문

OpenTelemetry

Observability2026년 5월 25일

v0.153.0은 피처 게이트 7개를 안정화(브레이킹)하고, gRPC Snappy 압축의 심각한 메모리 손상 버그를 수정하며, mdatagen에 여러 개선 사항을 추가했습니다.

  • securitygRPC + Snappy 사용 중이라면 즉시 업그레이드

    configgrpc의 Snappy 버그는 단순 성능 문제가 아니라 프로세스를 강제 종료시키는 메모리 손상 수준의 결함입니다. exporter나 receiver 설정에 compression: snappy가 있다면 이번 릴리스를 최우선으로 적용하세요.

  • breaking업그레이드 전 피처 게이트 오버라이드 설정 전수 점검 필요

    안정화된 7개 게이트는 이제 영구 동작으로 고정되어 토글이 불가합니다. collector 설정이나 시작 플래그에 configoptional.AddEnabledField, confmap.newExpandedValueSanitizer, exporter.PersistRequestContext, otelcol.printInitialConfig, pdata.useCustomProtoEncoding, telemetry.UseLocalHostAsDefaultMetricsAddress, pdata.enableRefCounting 중 하나라도 남아 있으면 collector 기동에 실패합니다. 특히 UseLocalHostAsDefaultMetricsAddress 변경이 팀에 가장 많은 영향을 줄 수 있는데, 메트릭 엔드포인트가 기본적으로 localhost에만 바인딩되므로 외부에서 스크래핑하는 구성을 재검토해야 합니다.

  • breakingmdatagen 리어그리게이션 설정 생성이 기본 활성화로 변경

    커스텀 collector 컴포넌트를 mdatagen으로 관리 중이라면 리어그리게이션 설정 필드가 이제 기본으로 생성됩니다. 기존 동작(enabled 필드만 포함)을 유지하려면 metadata.yaml에 reaggregation_enabled: false를 명시해야 합니다. 업그레이드 후 mdatagen을 실행하고 생성된 결과물을 커밋 전에 반드시 검토하세요.

주요 변경 (5)
  • telemetry.UseLocalHostAsDefaultMetricsAddress, otelcol.printInitialConfig, pdata.enableRefCounting 등 피처 게이트 7개 안정화 및 제거 — 해당 게이트를 참조하는 설정은 즉시 오류 발생
  • configgrpc Snappy 압축의 메모리 손상 및 치명적 오류 수정 — gRPC + Snappy 조합 사용 시 즉시 업그레이드 필요
  • pdata.useCustomProtoEncoding 피처 게이트 완전 제거 — 더 이상 비활성화 경로 없음, 커스텀 프로토 인코딩이 항상 적용됨
  • mdatagen이 README.md에 설정 문서 테이블을 자동 생성하며, 리어그리게이션 설정 생성이 기본값으로 변경
  • xextension/storage에 Walker 인터페이스 추가 — 스토리지 마이그레이션 및 TTL 기반 가비지 컬렉션 패턴 구현 가능
원문

Crossplane

Orchestration & Management2026년 5월 21일

Crossplane v2.3.0은 고충실도 로컬 렌더 엔진, 리소스별 재조정 제어, 알파 단계의 Provider 삭제 보호 기능을 제공하며, Go stdlib CVE 수정을 포함한 다수의 보안 의존성 업데이트를 반영했습니다.

  • securityGo stdlib CVE 수정 — 이미지 업데이트 권장

    stdlib CVE 패치를 위해 Go가 1.25.10으로 올라갔으며, grpc, go-git, go-jose, cloudflare/circl, golang.org/x/net 등 여러 의존성도 보안 패치가 적용됐습니다. 가능한 빨리 Crossplane 배포를 v2.3.0으로 업데이트하세요. 내부 이미지 미러를 운영 중이라면 롤아웃 전에 새 다이제스트가 반영됐는지 확인하세요.

  • breakingAPI 임포트 경로 변경 및 신규 CLI 저장소 북마크 필수

    Go 코드에서 Crossplane API를 임포트하고 있다면 `github.com/crossplane/crossplane/v2/apis`를 `github.com/crossplane/crossplane/apis/v2`로 수정해야 합니다. `v1.Resource*` 타입은 `v2.ClusterManagedResource*`로 이름이 바뀌었습니다. CLI 버전 관리도 `github.com/crossplane/cli` 저장소 기준으로 전환해야 하며, 코어와 버전이 달라지므로 CI 파이프라인의 버전 핀을 점검하세요.

  • breakingv2.2에서 순차 업그레이드 필수 — 마이너 버전 건너뛰기 금지

    Crossplane은 업그레이드 시 CRD 마이그레이션을 수행하는데, 마이너 버전을 건너뛰면 API 서버 상태가 불일치할 수 있습니다. v1.20 브랜치는 연장 지원을 받지만 v2.x 마이그레이션 계획을 세워야 하며, 공식 업그레이드 가이드의 순차 업그레이드 절차를 반드시 따르세요.

  • enhancement리소스별 폴링 어노테이션으로 API 서버 부하 절감

    변경이 드문 안정적인 XR에 `crossplane.io/poll-interval: 24h`를 설정하면 재조정 빈도를 크게 낮출 수 있습니다. `crossplane.io/reconcile-requested-at` 어노테이션과 함께 쓰면 필요할 때만 온디맨드 재조정을 트리거할 수 있습니다. XR에는 즉시 적용되지만, 관리 리소스는 Provider가 crossplane-runtime v2.3.0 기반으로 릴리스된 후 사용 가능합니다.

  • enhancementProvider 삭제 보호는 비프로덕션 환경에서 먼저 검증

    신규 `--enable-provider-deletion-protection` 알파 플래그는 관리 리소스가 존재하는 동안 Provider 삭제를 막는 `ClusterUsage` 리소스를 자동으로 생성합니다. 공유 클러스터에서 유용한 안전장치인 만큼, 기존 `ClusterUsage` 웹훅이 자동 생성된 리소스를 올바르게 처리하는지 스테이징에서 먼저 확인한 뒤 프로덕션에 적용하세요.

주요 변경 (6)
  • API 모듈 분리: `github.com/crossplane/crossplane/apis/v2`가 별도 Go 모듈로 분리됨. 외부 소비자는 임포트 경로 변경 필요
  • Crossplane CLI(`crank`)가 별도 저장소(`github.com/crossplane/cli`)로 이전되어 v2.3.0 이후 독립적인 릴리스 일정으로 운영됨
  • `crossplane render`가 병렬 재구현 대신 실제 컴포짓 재조정기를 구동하여 로컬 렌더 결과와 실제 클러스터 동작이 일치하게 됨
  • 신규 어노테이션 `crossplane.io/poll-interval`, `crossplane.io/reconcile-requested-at`으로 리소스별 재조정 제어 가능 (XR은 즉시 적용, 관리 리소스는 Provider가 crossplane-runtime v2.3.0 기반으로 업데이트된 후 적용)
  • `--enable-provider-deletion-protection` 플래그(알파)로 관리 리소스가 존재하는 동안 Provider 실수 삭제 방지 가능
  • Go 1.25.10으로 업그레이드(stdlib CVE 수정) 및 grpc, go-git, go-jose, cloudflare/circl 등 보안 의존성 다수 업데이트
원문

wasmCloud

Orchestration & Management2026년 5월 20일

wasmCloud v2.2.0은 WASI Preview 3 TLS 지원, HTTP 아웃고잉 요청 커스터마이징 트레이트, 네임스페이스 범위 오퍼레이터 버그 수정을 포함합니다.

  • breaking`watchNamespaces` 사용 중인 오퍼레이터, 업그레이드 후 RBAC 반드시 확인

    네임스페이스 범위 롤 적용 방식이 변경되어, `watchNamespaces`가 설정된 환경에서는 업그레이드 후 오퍼레이터의 RBAC 권한이 올바르게 구성되어 있는지 확인해야 합니다. 롤 바인딩이 잘못된 경우 컴포넌트 조정(reconciliation)이 조용히 실패할 수 있어 장애 탐지가 어렵습니다.

  • enhancement`wasi:tls`로 Wasm 컴포넌트 내 TLS 처리 도입 검토

    이제 호스트 측 TLS 종료에 의존하지 않고 Wasm 컴포넌트 안에서 직접 TLS 연결을 다룰 수 있습니다. 보안 아웃바운드 연결이 필요한 컴포넌트를 개발 중이라면 `wasi:tls` 인터페이스를 테스트해보세요. 다만 WASI 스펙이 아직 안정화 단계가 아니므로, 프로덕션 적용은 스펙 확정 후로 미루는 편이 안전합니다.

  • enhancementCI 파이프라인에서 `wash new --non-interactive` 정식 활용

    `wash new`의 인터랙티브 프롬프트 때문에 CI에서 우회책을 쓰고 있었다면 이번 수정으로 깔끔하게 해결됩니다. 파이프라인 스크립트를 `--non-interactive` 플래그를 사용하도록 정리하세요. `wash config`에 유효성 검사와 정리 기능이 추가된 김에, 기존 설정 관리 흐름도 함께 점검할 만합니다.

주요 변경 (6)
  • wash-runtime에 WASI Preview 3 `wasi:tls` 지원 추가 — Wasm 컴포넌트 내 TLS 네이티브 처리 가능
  • `wash config`에 init 포맷, 정리, 유효성 검사 기능 추가 — 자동화 워크플로우에서 설정 관리 강화
  • `wash new`에서 `--non-interactive` 플래그가 이제 정상 동작 — CI/CD 파이프라인 차단 문제 해소
  • WorkloadRouteReconciler가 OS 호스트네임 대신 Pod IP를 기록하도록 수정 — Kubernetes 라우팅 정확도 개선
  • `watchNamespaces` 설정 시 오퍼레이터가 올바른 네임스페이스 롤을 사용하도록 수정
  • HTTP 런타임에 `OutgoingHandler` 트레이트 추가 — 아웃고잉 요청 디스패치 방식 커스터마이징 가능
원문

containerd

Kubernetes Core2026년 5월 20일

containerd 2.0.9는 CVE-2026-46680 보안 취약점 패치와 tar 추출 시 TOCTOU 경쟁 조건 수정, containerd 재시작 시 컨테이너 종료 이벤트 유실 문제 등 여러 버그를 수정했습니다.

  • securityCVE-2026-46680 즉시 패치

    CVE-2026-46680 보안 취약점이 이번 릴리스에서 수정됐습니다. containerd 2.0.x를 사용 중이라면 즉시 2.0.9로 업그레이드하세요. GHSA 보안 권고문에서 영향받는 구성과 심각도를 확인한 뒤 유지보수 일정을 잡되, 가능한 한 빨리 적용하는 것을 권장합니다.

  • securitytar 추출 TOCTOU 수정 — 외부 이미지 사용 환경은 특히 주목

    tar 추출 중 발생하는 TOCTOU 경쟁 조건은 악의적으로 조작된 이미지 레이어로 경로 탈출을 시도하는 데 악용될 수 있습니다. 신뢰할 수 없는 서드파티 이미지를 pull하는 환경이라면 업그레이드와 함께 이미지 소스 제한 정책도 함께 점검하세요.

  • breakingAppArmor 3.0 미만 환경은 업그레이드 후 프로파일 동작 확인 필요

    AppArmor ABI 필드가 이제 조건부로 설정됩니다. AppArmor 3.0 미만 시스템에서는 기존에 호환되지 않는 ABI가 프로파일에 삽입되던 문제가 해결되는 것이지만, 커스텀 프로파일로 이 문제를 우회해왔다면 업그레이드 후 AppArmor 동작을 반드시 검증하세요.

  • enhancement컨테이너 종료 이벤트 유실 수정 — 파드 교체가 잦은 환경에서 효과적

    containerd 재시작 후 컨테이너가 예상치 못한 상태로 멈추는 현상, 특히 파드가 빠르게 순환되는 Kubernetes 환경에서 자주 발생했다면 이 수정이 근본 원인을 해결합니다. 별도 설정 변경 없이 업그레이드만으로 적용됩니다.

주요 변경 (5)
  • CVE-2026-46680 보안 취약점 패치 — 즉시 업그레이드 필요
  • tar 추출 과정의 TOCTOU 경쟁 조건 수정으로 이미지 언팩 시 경로 탈출 위험 감소
  • 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 — 커널 공격 표면 축소
  • CRI 정보 캐시 전에 도착하는 컨테이너 종료 이벤트가 유실되던 버그 수정
  • 샌드박스 서비스의 Create 필드 전달 오류 및 이벤트 토픽 설정 버그 수정
원문

containerd

Kubernetes Core2026년 5월 20일

containerd 1.7.32는 CVE-2026-46680 보안 패치를 포함하며, 기본 seccomp 프로파일에서 AF_ALG 소켓을 차단하고 OCI spec USER 처리 버그도 수정했습니다.

  • securityCVE-2026-46680 즉시 패치 — 1.7.32로 업그레이드

    이번 릴리스의 핵심은 CVE-2026-46680입니다. containerd 보안 어드바이저리(GHSA-fqw6-gf59-qr4w)에서 심각도와 공격 범위를 먼저 확인하되, 1.7.x를 운영 중이라면 패치를 미루지 마세요. 유지보수 창을 조정하더라도 업그레이드 자체는 최우선으로 계획해야 합니다.

  • security기본 seccomp에서 AF_ALG 차단 — 커스텀 워크로드 사전 점검 필요

    기본 seccomp 정책이 이제 AF_ALG(커널 암호화) 소켓 패밀리를 차단합니다. 하드웨어 암호화 오프로딩이나 HSM 연동 워크로드는 업그레이드 후 시작에 실패할 수 있습니다. 일반 컨테이너에는 영향이 없지만, 특수한 암호화 기능을 쓰는 컨테이너라면 기본값을 완화하는 대신 커스텀 seccomp 프로파일로 명시적으로 허용하는 방식으로 대응하세요.

  • breaking범위 초과 USER 값은 이제 명시적 오류로 처리

    기존에는 OCI spec에 유효 범위를 벗어난 UID/GID가 있으면 예측 불가한 사용자 이름 조회가 조용히 실행됐습니다. 이제는 컨테이너 시작 자체가 실패합니다. 고 숫자 UID를 사용하는 이미지가 있다면 업그레이드 전에 미리 점검하세요. 특히 레거시 이미지나 직접 빌드한 OCI spec을 쓰는 경우 주의가 필요합니다.

  • enhancementAppArmor 2.x 호환성 복구 — 구형 배포판 운영자 확인

    Ubuntu 20.04, Debian Bullseye 등 AppArmor 2.x를 탑재한 배포판에서 1.7.x 일부 버전이 AppArmor 프로파일 로드 오류를 일으켰습니다. abi 지시어를 조건부로 설정하도록 수정되었으니, 관련 오류를 겪었던 환경이라면 업그레이드 후 프로파일 로딩 상태를 확인하세요.

주요 변경 (5)
  • CVE-2026-46680 패치 — 1.7.x 사용자는 즉시 업그레이드 필요
  • 기본 seccomp 소켓 정책에서 AF_ALG 소켓 패밀리 차단으로 컨테이너 샌드박스 강화
  • OCI spec의 범위 초과 USER 값에 대해 이제 명시적 오류 반환 (기존에는 예측 불가한 사용자 조회 발생)
  • hosts.toml에서 [host] 섹션 없이 루트 레벨 필드만 있어도 파싱 가능하도록 수정
  • AppArmor abi 지시어를 조건부로 설정해 AppArmor 3.0 미만 버전과의 호환성 복구
원문

containerd

Kubernetes Core2026년 5월 20일

containerd 2.3.1은 CVE-2026-46680을 패치하고, 기본 seccomp 정책 강화 및 런타임/스냅샷터 버그를 수정한 패치 릴리스입니다.

  • securityCVE-2026-46680 즉시 패치 — 2.3.0에서 업그레이드 필수

    이번 릴리스에서 CVE-2026-46680이 수정됐습니다. 2.3.0을 운영 중이라면 취약점 세부 정보가 공개되기 전에 모든 노드에 2.3.1을 배포하세요. 패키지 매니저나 배포 파이프라인을 통해 빠르게 적용하는 것이 좋습니다.

  • security기본 seccomp 정책에서 AF_ALG 차단 — 커널 암호화 API 사용 워크로드 사전 검증 필요

    기본 seccomp 프로파일이 AF_ALG(커널 소켓 기반 암호화 API)를 차단하도록 강화됐습니다. 대부분의 컨테이너 워크로드에는 영향이 없지만, AF_ALG를 직접 사용하는 애플리케이션은 업그레이드 후 동작이 중단될 수 있습니다. 프로덕션 적용 전에 strace 또는 소켓 호출 감사를 통해 영향 여부를 확인하세요. 커스텀 seccomp 프로파일을 직접 지정한 경우엔 영향받지 않습니다.

  • breaking비-runc 런타임 사용자: 업그레이드 후 샌드박스 태스크 API 동작 검증 필요

    Kata Containers, gVisor 등 대체 런타임을 쓰는 환경이라면 샌드박스 태스크 API 수정 사항이 실제 컨테이너 생성 및 태스크 관리에 미치는 영향을 반드시 확인하세요. Runc 옵션의 태스크 필드가 deprecated 처리됐으니, 커스텀 Runc 옵션 설정에서 해당 필드를 제거하는 작업도 미리 진행해두는 것이 좋습니다.

주요 변경 (5)
  • CVE-2026-46680 보안 취약점 패치 — 2.3.0 사용 중이라면 즉시 업그레이드 필요
  • 기본 seccomp 정책에서 AF_ALG 소켓 패밀리 차단 추가
  • OCI 스펙의 범위 초과 USER 값 처리 시 예상치 못한 username/group 조회 대신 명시적 오류 반환
  • 비-runc 런타임의 샌드박스 태스크 API 엔드포인트 수정 및 Runc 옵션 태스크 필드 지원 중단(deprecated) 처리
  • 서버 종료 시 메타데이터·마운트 플러그인 BoltDB 파일이 정상적으로 닫히도록 수정
원문

OpenFGA

Security2026년 5월 20일

v1.16.0은 키 로테이션 후 OIDC 토큰 거부 버그를 수정하고, 실험적 weighted_graph_check의 두 가지 정합성 버그를 패치하며, Go 표준 라이브러리 취약점 대응을 위해 툴체인을 업데이트했습니다.

  • securityOIDC 인증 사용 중이거나 Go stdlib CVE 영향권이라면 즉시 업그레이드

    두 가지 보안 사항이 있습니다. 첫째, 발급자 키를 로테이션한 후 유효한 토큰이 401로 거부되는 현상이 있었다면 JWKS 갱신 버그가 원인입니다. 이번 패치로 미등록 kid 수신 시 JWKS를 즉시 갱신합니다. 둘째, Go 1.24.3이 패치하는 표준 라이브러리 취약점의 영향을 Go 릴리스 노트에서 직접 확인하고, v1.16.0으로 빠르게 업그레이드하세요.

  • breakingweighted_graph_check 사용 중이라면 업그레이드 후 결과 검증 필수

    이전 버전의 weighted_graph_check는 캐시 키 충돌과 고루틴 취소 시 false 결과 캐싱으로 인해 실제로는 허용되어야 할 요청을 거부할 수 있었습니다. 실험적 기능이지만 실제 트래픽에 적용 중이라면, 업그레이드 후 알려진 권한 시나리오로 결과를 검증해 이전 오동작의 영향을 확인하세요.

  • enhancementPingTimeout 설정으로 데이터스토어 연결 문제를 빠르게 감지

    새로 추가된 PingTimeout과 PingRetryMaxElapsedTime으로 시작 시 및 헬스체크 중 데이터스토어 연결 대기 시간을 명시적으로 제어할 수 있습니다. SLO에 맞게 타이트하게 설정해두면, 데이터스토어가 저하된 상태에서 서버가 그냥 올라오는 상황을 예방할 수 있습니다.

주요 변경 (5)
  • OIDC 인증: 미등록 kid 감지 시 JWKS 자동 갱신(분당 1회 제한)으로 키 로테이션 후 토큰 거부 문제 해결
  • Go 툴체인을 1.24.3으로 업데이트하여 표준 라이브러리 보안 취약점 대응
  • 실험적 weighted_graph_check의 union 해석 시 캐시 키 충돌 버그 수정
  • union 단락(short-circuit) 또는 재귀 해석으로 취소된 고루틴이 false 결과를 캐싱하던 버그 수정
  • 데이터스토어 ping 타임아웃 설정 추가: PingTimeout, PingRetryMaxElapsedTime
원문

containerd

Kubernetes Core2026년 5월 20일

runc 외 런타임(Kata, gVisor 등)에서 샌드박스 태스크 API 엔드포인트가 동작하지 않던 버그를 수정한 패치 릴리스입니다.

  • breakingnon-runc 런타임 사용 중이라면 즉시 업그레이드 필요

    api/v1.11.0에서 Kata Containers, gVisor, 커스텀 샌드박스 shim을 사용하는 경우 태스크 API 엔드포인트가 정상 동작하지 않는 버그가 있습니다. 태스크 생성·삭제·exec 등의 작업이 조용히 실패하거나 오작동할 수 있으니, api/v1.11.1로 업그레이드 후 태스크 라이프사이클 동작을 반드시 검증하세요.

  • enhancement커스텀 shim 관리자라면 프로토 변경 내용 확인

    이번 수정으로 CreateTaskRequest 프로토에 태스크 API 주소 필드가 추가됐습니다. 커스텀 shim을 직접 구현·관리하고 있다면, 해당 필드를 읽는 코드 경로가 있는지 검토하세요. 기존에 비어 있던 필드가 이제 채워져 전달되므로 동작 차이가 생길 수 있습니다. 일반 runc 워크로드는 별도 조치가 필요 없습니다.

주요 변경 (3)
  • CreateTaskRequest에 태스크 API 주소 포함 — non-runc 샌드박스 라우팅 문제 해결
  • 의존성 변경 없음 — 범위가 좁고 안전한 패치
  • 커밋 4개로 구성된 최소 변경
원문

NATS

Networking & Messaging2026년 5월 20일

NATS v2.14.1은 JetStream, 클러스터링, 핵심 메시징 전반에서 30여 개 버그를 수정한 대규모 패치 릴리스로, 데이터 무결성과 패닉 수준의 문제가 포함되어 있어 빠른 배포가 권장됩니다.

  • securitygolang.org/x/crypto v0.51.0으로 업데이트 — nats-server를 임베드한 경우 즉시 재빌드

    x/crypto와 x/sys 의존성 업데이트에는 CVE 수정이 포함되는 경우가 많습니다. nats-server를 Go 라이브러리로 임베드해 사용하는 엣지/IoT 환경이라면 재빌드 후 재배포가 필요합니다. 일반 배포 환경은 바이너리 업그레이드만으로 충분합니다. 메시징 서버의 암호화 라이브러리 업데이트는 선택이 아닙니다.

  • breaking배포 전 2.14 업그레이드 가이드 필수 확인 — 2.13.x 버전은 건너뜀

    릴리스 노트는 2.13.x가 아닌 2.12.x 대비 하위 호환성 주의사항을 안내합니다. 2.13.x 마이너 버전은 출시된 적이 없기 때문입니다. 2.12.x에서 올라오는 경우라면 2.14 업그레이드 가이드를 반드시 먼저 읽고, JetStream 컨슈머 및 스트림 API 변경이 클라이언트에 미치는 영향을 점검하세요.

  • enhancement새 클라이언트 트래픽 /varz 지표를 모니터링 대시보드에 즉시 추가

    신규 지표 4종(in/out client msgs/bytes)을 활용하면 클라이언트 트래픽과 클러스터·리프노드 내부 트래픽을 명확히 구분할 수 있습니다. Prometheus 스크레이프나 대시보드에 바로 연결해 기준값을 쌓아두세요. 혼합 트래픽을 처리하는 서버의 용량 계획에 특히 유용합니다. 기존에는 전체 지표에서 클라이언트 부하를 추정해야 했지만, 이제 직접 측정이 됩니다.

주요 변경 (5)
  • JetStream Raft, 컨슈머 상태, 파일스토어 암호화, 클러스터 라우팅 전반에 걸쳐 30개 이상 버그 수정
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가 (in_client_msgs, in_client_bytes, out_client_msgs, out_client_bytes)
  • 워크큐 스트림, max_deliver, purge/compaction 상황에서 컨슈머 재전달 드리프트 문제 수정
  • 암호화 모드 전환 시 파일스토어 블록 캐시 손상 패치 (데이터 무결성 관련 핵심 수정)
  • TLS 핸드셰이크 타임아웃 로그를 debug 레벨로 강등해 클러스터 운영 중 로그 노이즈 감소
원문

NATS

Networking & Messaging2026년 5월 20일

v2.12.9는 JetStream 안정성에 집중한 버그 수정 릴리스로, Raft 정합성 결함, 컨슈머 상태 손상, 파일스토어 암호화 버그 등 데이터 무결성에 직결된 문제들을 수정했습니다.

  • securitygolang.org/x/crypto v0.51.0 업데이트 확인 필요

    Go 1.25.10과 함께 x/crypto 의존성이 업데이트됐습니다. 조직에서 SBOM이나 CVE 추적 도구를 운영 중이라면 v2.12.9 업그레이드 후 갱신된 패키지가 제대로 반영됐는지 확인하세요. 애플리케이션 레벨에서 별도 회피 방법은 없으므로 서버 업그레이드가 유일한 조치입니다.

  • breaking암호화된 JetStream 운영 시 즉시 업그레이드 — 파일스토어 손상 위험

    암호화 모드를 전환할 때 블록 단위 데이터 손상이 발생할 수 있는 버그가 수정됐습니다(#8105, #8166). 기존 스트림에서 암호화 설정을 변경한 적이 있다면, 업그레이드 후 해당 스트림 상태를 점검하세요. 이미 손상이 발생했다면 암호화 전환 이전 스냅샷에서 복구해야 합니다.

  • enhancement신규 /varz 클라이언트 트래픽 지표를 용량 계획에 활용하세요

    새로 추가된 4개 지표를 활용하면 클러스터 내부 트래픽과 실제 클라이언트 부하를 분리해서 볼 수 있습니다. 지금 바로 Prometheus 스크레이프 설정에 추가하면 클러스터 적정 규모 산정과 트래픽 과다 클라이언트 탐지에 바로 쓸 수 있고, 커넥션별 데이터를 파싱할 필요도 없습니다.

주요 변경 (5)
  • /varz에 클라이언트 전용 트래픽 지표 4종 추가(in/out_client_msgs, in/out_client_bytes)
  • 파일스토어 암호화 모드 전환 시 블록 단위 손상 유발 버그 수정 — 암호화된 JetStream 운영 환경에 중요
  • workqueue/interest 스트림에서 max_deliver, 퍼지, 컴팩션 이후 컨슈머 재전달 상태 오류 다수 수정
  • Raft 락 경합 시 클러스터 정보 처리 중 발생하던 데드락 수정
  • WAL 잘라내기 캐시 무효화, 체크포인트 취소, 잘린 엔트리 패닉 등 Raft 정합성 개선
원문

Flux

CI/CD & App Delivery2026년 5월 20일

Flux v2.8.8은 go-git CVE 2건을 패치하고, helm-controller 메모리 누수를 수정하며, GCP 소버린 클라우드 레지스트리 지원을 추가한 패치 릴리스입니다.

  • securitygo-git CVE 2건 패치를 위해 즉시 업그레이드

    CVE-2026-45571과 CVE-2026-45570은 source-controller와 image-automation-controller에 영향을 줍니다. 대부분의 Flux 설치 환경에서 이 두 컨트롤러를 사용하므로, 별도 우회 방법 없이 v2.8.8로 즉시 업그레이드하는 것이 유일한 조치입니다.

  • breakingcrds/ 디렉터리에 비-CRD 리소스를 두는 차트 점검 필요

    기존 helm-controller는 차트의 crds/ 디렉터리 안의 모든 오브젝트를 강제 적용했는데, 이번에 CRD만 대상으로 동작이 교정됐습니다. 설치 순서 우회 목적으로 crds/ 아래에 비-CRD 매니페스트를 둔 차트(특히 서드파티 차트)가 있다면 영향을 받습니다. HelmRelease 목록을 검토하고, 프로덕션 배포 전 반드시 비운영 환경에서 테스트하세요.

  • enhancementreconciliation 정체 이력이 있다면 아티팩트 페치 타임아웃 설정 확인

    이번에 추가된 HTTP 타임아웃 설정은 페치 중 무기한 블로킹을 직접 해결합니다. helm-controller나 source-controller의 reconciliation이 명확한 오류 없이 멈추는 현상을 경험했다면, 이 수정이 원인이었을 가능성이 높습니다. 업그레이드 후 기본값에 의존하지 말고 타임아웃을 명시적으로 설정하세요. helm-controller v1.5.5 CHANGELOG에서 정확한 필드명을 확인하고, 메모리가 지속적으로 증가했던 환경이라면 업그레이드 전후 메모리 사용량도 비교해보세요.

주요 변경 (5)
  • go-git v5.19.1 업데이트로 source-controller·image-automation-controller의 CVE-2026-45571, CVE-2026-45570 취약점 패치
  • helm-controller: reconcile 루프마다 Kubernetes 클라이언트 전송 재시도 래퍼가 누적되던 메모리 증가 문제 수정
  • 아티팩트 페치 HTTP 타임아웃 설정 옵션 추가 — 무기한 블로킹으로 인한 reconciliation 정체 방지
  • helm-controller가 차트 crds/ 디렉터리의 비-CRD 오브젝트를 강제 적용하던 동작 수정 (운영 영향 가능성 있음)
  • source-controller·image-reflector-controller에 GCP 소버린 클라우드 아티팩트 레지스트리 지원 추가
원문

Emissary-Ingress

Networking & Messaging2026년 5월 19일

Emissary-Ingress v4.1.0은 Envoy를 1.37.2로 올리고, Istio mTLS 인증서 교체 실패를 유발하던 캐시 스테일 버그를 수정했습니다.

  • security업그레이드 전 Envoy 1.37.x 릴리스 노트 검토 필수

    이번 업그레이드는 Envoy 1.37.0~1.37.2 세 버전을 한 번에 포함합니다. 보안 패치뿐 아니라 xDS 필드 변경이나 동작 변경이 포함될 수 있으므로, 현재 Mapping/Ambassador 설정과 충돌하는 deprecated API가 있는지 Envoy 1.37.x 체인지로그를 사전에 확인하고 배포하세요.

  • breaking캐시 수정으로 인한 시작 시 동작 변화 검증 필요

    IR.check_deltas 수정으로 인해, 캐시가 있는 상태에서 빈 델타 스냅샷이 오면 이제는 전체 재구성이 실행됩니다. 기존의 '조용한' 동작에 의존하는 자동화 스크립트나 헬스체크가 있다면, 프로덕션 배포 전 스테이징 환경에서 먼저 검증하세요.

  • enhancementIstio와 함께 쓰는 환경이라면 즉시 업그레이드 권장

    Emissary와 Istio를 함께 운영 중이라면 이 릴리스가 직접적인 해결책입니다. 인증서 교체 시 캐시에 오래된 인증서가 남아 간헐적인 mTLS 연결 장애가 발생하던 문제(이슈 #4744)가 수정됐으며, 별도 설정 변경 없이 업그레이드만으로 해결됩니다.

주요 변경 (3)
  • Envoy 프록시 1.36.2 → 1.37.2 업그레이드 (마이너 릴리스 3개 포함)
  • IR.check_deltas 버그 수정: 빈 델타 스냅샷 수신 시 캐시된 항목을 그대로 두는 대신 전체 재구성을 강제 실행
  • 스테일 캐시로 인해 Istio mTLS 인증서 교체가 조용히 실패하던 문제 해결
원문

Backstage

CI/CD & App Delivery2026년 5월 19일

v1.51.0은 6개의 브레이킹 체인지와 카탈로그 쿼리 성능 대폭 개선, 새로운 AiResource 엔티티 종류, MCP/OIDC 보안 강화를 담고 있습니다. 업그레이드 전 마이그레이션 시간을 반드시 확보하세요.

  • breaking대규모 설치 환경은 배포 전 카탈로그 DB 마이그레이션 SQL 선행 실행 필수

    이번 마이그레이션은 search 테이블에 커버링 인덱스와 UNIQUE 제약을 추가합니다. 데이터가 많은 환경에서는 처리 시간이 길어질 수 있어, 릴리즈 노트에서도 배포 전 SQL 명령을 수동으로 먼저 실행하도록 명시적으로 권고하고 있습니다. 그냥 배포하면 예측 불가한 다운타임이 생길 수 있으니 changelog에서 정확한 SQL을 확인하고 진행하세요.

  • breaking업그레이드 전 OIDC 패턴 및 MsgGraph 설정 반드시 검토

    OIDC의 CIMD/DCR 기본 패턴이 와일드카드 '*'에서 특정 MCP 클라이언트 기본값으로 바뀌었습니다. 커스텀 MCP 클라이언트가 있다면 allow list에 명시적으로 추가하지 않으면 조용히 동작을 멈춥니다. Microsoft Graph는 이제 비활성 계정을 기본으로 제외하므로, 비활성 사용자를 인입해야 한다면 업그레이드 전에 필터를 명시적으로 설정해두세요. NavItemBlueprint는 PageBlueprint의 title/icon 파라미터로, PolicyQueryUser의 token/expiresInSeconds는 credentials로 각각 마이그레이션해야 합니다.

  • enhancement대규모 조직은 Microsoft Graph 증분 인입 모듈로 전환 검토

    신규 msgraph-incremental 모듈은 사용자와 그룹을 한 페이지씩 처리하고 커서 상태를 저장합니다. 파드가 재시작되더라도 전체 재인입 없이 이전 지점부터 이어갈 수 있어, 수만 명 규모의 조직에서는 실질적인 운영 부담이 줄어듭니다. 기존 MicrosoftGraphOrgEntityProvider는 전체 데이터셋을 메모리에 올리는 방식이라 대규모 환경에서는 새 모듈로 전환하는 게 낫습니다.

주요 변경 (6)
  • 6개 브레이킹 체인지: NavItemBlueprint 제거, PortableSchema.schema 메서드 전용 변경, OIDC/CIMD/DCR 패턴 강화, PolicyQueryUser 정리, 카탈로그 페이지네이션 동작 변경, Microsoft Graph 비활성 사용자 기본 제외
  • 카탈로그 백엔드 쿼리 성능 대폭 개선 — PostgreSQL 인덱스 활용으로 페이지네이션 응답 시간이 수 초에서 수 밀리초 수준으로 단축; 대규모 설치 환경에서는 배포 전 SQL 마이그레이션 명령 선행 실행 권장
  • 새로운 AiResource 카탈로그 엔티티 종류 및 mcp-server API 서브타입 추가로 AI 워크로드 모델링 지원 확대
  • Microsoft Graph 증분 인입 모듈 신규 추가 — 커서 기반 메모리 효율적 인입, 파드 재시작 후 마지막 페이지부터 재개
  • 스캐폴더 폼 데코레이터 안정(public) API로 승격; always()·failure() 스텝 제어 함수 추가
  • TechDocs에 외부 폰트 다운로드 비활성화 옵션 추가(에어갭 환경 지원); 약 24.8일 이상 스케줄 태스크의 타이머 오버플로 버그 수정
원문

OpenTelemetry

Observability2026년 5월 19일

v0.152.1은 버그 수정이 중심인 릴리스로, snappy 압축 해제 보안 수정과 Prometheus 메트릭 이름 회귀 버그 수정이 실무적으로 가장 중요합니다.

  • securityconfighttp snappy 수정으로 압축 페이로드 메모리 노출 위험 해소

    `pkg/confighttp`에서 snappy 압축 해제 관련 버그 세 건이 수정됐습니다. 압축 해제 라이브러리의 패닉을 잡아 HTTP 400을 반환하고, `max_request_body_size`를 버퍼 할당 전에 체크하도록 바뀌었습니다. 특히 크기 제한을 버퍼 할당 전에 적용하는 변경은, 악의적으로 조작된 압축 페이로드로 메모리를 급격히 소비시키는 공격을 막습니다. 신뢰할 수 없는 출처에서 OTLP HTTP 압축 요청을 받는다면 즉시 업그레이드하세요.

  • breaking텔레메트리 host를 명시 설정했다면 Prometheus 메트릭 이름 변경 확인 필요

    텔레메트리 설정의 `host` 필드를 명시적으로 지정했던 경우, Prometheus 메트릭 이름이 이 릴리스 전후로 달라질 수 있습니다. 버그로 인해 `WithoutScopeInfo`, `WithoutUnits`, `WithoutTypeSuffix`가 기본값 `true` 대신 `false`로 동작했기 때문에, scope 레이블이나 suffix가 붙은 이름으로 메트릭이 노출됐을 가능성이 있습니다. 업그레이드 후 메트릭 이름이 다시 바뀔 수 있으니, 관련 대시보드와 알람 쿼리를 확인하세요.

  • enhancementexporter in-flight 메트릭을 대시보드에 추가하세요

    `pkg/exporterhelper`에 `otelcol_exporter_in_flight_requests` UpDownCounter 메트릭이 추가됐습니다. exporter별 동시 요청 수를 직접 볼 수 있어서, 워커 풀 포화 여부를 기존보다 훨씬 쉽게 파악할 수 있습니다. 업그레이드 후 대시보드에 추가해 두세요.

주요 변경 (7)
  • exporter당 동시 export 요청 수를 추적하는 `otelcol_exporter_in_flight_requests` 메트릭 신규 추가
  • `pkg/confighttp` snappy 압축 해제 버그 3건 수정: 패닉 복구(400 반환), body 정리, 할당 전 크기 제한 적용
  • `pcommon.Value.AsString`이 map·slice 값에서 `<`, `>`, `&`를 HTML 이스케이프하지 않도록 변경 — 이스케이프된 출력에 의존하는 코드가 있다면 확인 필요
  • 정상적인 클라이언트 연결 해제 시 발생하던 gRPC `connection reset by peer` 메시지가 더 이상 WARN 레벨로 출력되지 않음
  • 텔레메트리 host 명시 설정 시 Prometheus 기본값이 잘못 적용되던 버그 수정
  • 트레이스 프로세서가 없을 때 noop tracer provider 반환으로 불필요한 오버헤드 제거
  • API: `xconfmap.Validator` deprecated — `confmap.Validator`와 `confmap.Validate`로 마이그레이션 필요
원문

SPIRE

Security2026년 5월 19일

SPIRE v1.15.0은 HashiCorp Vault 키 관리자 플러그인, rootless Podman 지원, PROXY 프로토콜 속도 제한을 추가하고 sigstore 증명을 정식 기능으로 승격했습니다. CLI JSON 출력 변경 사항은 업그레이드 전 반드시 확인해야 합니다.

  • breaking업그레이드 전 CLI JSON 파싱 코드 전수 점검

    CLI가 JSON 출력 시 객체를 슬라이스로 감싸던 방식이 제거됐습니다. spire-server 또는 spire-agent CLI의 JSON 출력을 파싱하는 스크립트, 파이프라인, 자동화 도구는 배열 대신 단일 객체를 받게 되어 동작이 깨질 겁니다. 프로덕션 배포 전에 비운영 환경에서 반드시 검증하세요.

  • breaking'bootstrapped' 레이블 변경으로 메트릭 쿼리 점검 필요

    메트릭 레이블 오타('bootstraped' → 'bootstrapped')가 수정됐습니다. 기존 레이블명을 참조하는 Prometheus 쿼리, Grafana 대시보드, 알림 규칙이 있다면 업그레이드 후 조용히 매칭이 끊깁니다. v1.15.0 배포 전에 관련 항목을 모두 찾아 수정하세요.

  • enhancementVault 운영 중이라면 Vault Key Manager 플러그인으로 통합 검토

    조직에서 HashiCorp Vault를 이미 운영 중이라면, 별도의 AWS KMS나 Azure Key Vault 없이 키 저장소를 Vault로 통합할 수 있습니다. 온프레미스나 멀티클라우드 환경에서 특히 유용합니다. 다만 기존 키는 자동으로 마이그레이션되지 않으니 키 이관 계획을 별도로 수립한 뒤 전환하세요.

  • enhancementsigstore 증명 프로덕션 적용 시점 도래

    k8s 및 docker 어테스터의 sigstore 기반 증명이 정식 기능으로 승격됐습니다. 실험적 플래그 때문에 도입을 미뤄왔다면 이번 릴리스가 적기입니다. 스테이징 환경에서 셀렉터 동작을 먼저 검증한 뒤 프로덕션에 적용하세요.

주요 변경 (6)
  • HashiCorp Vault Key Manager 플러그인 추가 — AWS KMS, Azure Key Vault 외 새로운 키 저장 옵션 확보
  • CLI JSON 출력 호환성 변경: 객체가 더 이상 슬라이스로 감싸지지 않아 기존 파싱 도구가 깨질 수 있음
  • k8s 및 docker 어테스터의 sigstore 지원이 실험적 단계를 벗어나 정식 기능으로 승격
  • Docker 워크로드 어테스터가 rootless Podman을 지원 — 비루트 컨테이너 런타임 환경 커버리지 확대
  • GCP IIT 노드 어테스터가 서비스 계정 이메일 조회 시 더 이상 'use_instance_metadata: true' 불필요
  • 메트릭 레이블 오타 수정: 'bootstraped' → 'bootstrapped' — 대시보드 및 알림 규칙 업데이트 필요
원문

hami

AI & ML2026년 5월 19일

v2.9.0은 HAMi-DRA(NVIDIA) 프로덕션 전환, Ascend HAMi-core 모드, VastAI 디바이스 지원을 추가하고 스케줄러 DoS 취약점을 패치합니다. Prometheus 메트릭 이름이 변경되어 업그레이드 전 대시보드 점검이 필요합니다.

  • security스케줄러 DoS 취약점 및 Go 보안 업그레이드 적용 필요

    이번 릴리즈에서 스케줄러 HTTP 라우트에 io.LimitReader를 추가해 DoS 공격 경로를 차단했고(이슈 #554), Go를 1.26.2로 업그레이드해 upstream 보안 패치도 반영했습니다. HAMi 스케줄러가 신뢰할 수 없는 네트워크에 노출된 환경이라면 빠르게 업그레이드하세요.

  • breakingPrometheus 메트릭 이름 변경 — 업그레이드 전 대시보드 점검 필수

    Prometheus 메트릭·레이블 이름이 best practices 기준으로 변경됐습니다. HAMi vGPU 메트릭 기반의 대시보드나 알림 규칙을 운영 중이라면, 업그레이드 전에 변경된 메트릭 이름을 반드시 확인하고 수정하세요. 업데이트된 dashboard.md를 참고하면 됩니다. Prometheus Operator를 쓴다면 새로 추가된 ServiceMonitor Helm 옵션도 함께 검토할 만합니다.

  • enhancementHAMi-DRA(NVIDIA) 프로덕션 준비 완료 — 도입 검토 시작

    HAMi-DRA(NVIDIA)가 이번 버전부터 프로덕션 사용 가능 상태로 전환됐습니다. Kubernetes 1.26 이상을 쓰면서 기존 device plugin 방식 외에 세밀한 GPU 리소스 관리가 필요하다면 지금이 DRA를 검토할 시점입니다. DRA는 스케줄러가 GPU 리소스를 인식하는 방식 자체를 바꾸므로, 프로덕션 적용 전에 별도 클러스터에서 먼저 검증하세요.

주요 변경 (6)
  • Ascend 디바이스용 HAMi-core 모드 추가 및 성능 최적화, 최신 벤치마크 공개
  • HAMi-DRA(NVIDIA) 프로덕션 사용 가능 전환; Volcano-vgpu-device-plugin v0.19 동기화로 CDI 지원 추가
  • 스케줄러 HTTP 라우트에 io.LimitReader 적용으로 DoS 방어; Go 1.26.2로 업그레이드
  • Prometheus 메트릭·레이블 이름 best practices 기준으로 변경 — 기존 대시보드 수정 필요
  • VastAI 디바이스 지원 추가; Ascend 910C SuperPod 모듈 페어 할당 지원; CDI 모드 MIG 버그 수정
  • 스케줄러 calcScore, leaderelection, ondelpod 등 여러 nil 포인터/패닉 버그 수정으로 안정성 개선
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.30은 AI 트래픽용 실험적 agentgateway, 앰비언트 모드 CIDR 지원, TrafficExtension API를 도입하고, 디버그 엔드포인트 인증을 기본 활성화로 변경했습니다.

  • breaking디버그 엔드포인트 인증이 기본 활성화 — 업그레이드 전 도구 점검 필수

    ENABLE_DEBUG_ENDPOINT_AUTH=true가 기본값이 되면서 포트 15010의 syncz, config_dump 엔드포인트에 인증이 강제됩니다. 인증 없이 이 엔드포인트를 호출하는 내부 대시보드, 스크립트, 모니터링 도구는 업그레이드 후 즉시 오류가 납니다. 업그레이드 전에 포트 15010을 호출하는 모든 컴포넌트를 파악하고, 인증을 추가하거나 DEBUG_ENDPOINT_AUTH_ALLOWED_NAMESPACES로 허용 네임스페이스를 지정하세요.

  • breakingWasmPlugin에서 TrafficExtension API로 마이그레이션 계획 수립 시작

    TrafficExtension이 공식 확장 API로 지정됐고, 앞으로 신규 기능은 WasmPlugin이 아닌 TrafficExtension에만 추가됩니다. WasmPlugin이 즉시 제거되지는 않지만, 프로덕션에서 Wasm 확장을 운영 중이라면 1.31 전에 TrafficExtension으로 전환 테스트를 마쳐두는 것이 좋습니다.

  • enhancement앰비언트 모드에서 CIDR ServiceEntry로 외부 IP 라우팅 단순화

    기존에는 앰비언트 모드에서 ServiceEntry에 개별 IP를 일일이 나열해야 했습니다. CIDR 지원으로 서브넷 단위로 커버가 가능해졌으니, 동적 IP를 쓰는 외부 DB나 온프레미스 서비스의 엔드포인트 목록을 CIDR로 통합해 운영 부담을 줄이세요.

주요 변경 (5)
  • 실험적 agentgateway 도입: AI/MCP 트래픽 전용 Envoy 대체 데이터 플레인, PILOT_ENABLE_AGENTGATEWAY=true로 활성화
  • 포트 15010 디버그 엔드포인트(syncz, config_dump) 인증이 기본값으로 활성화됨 — 기존 도구 영향 주의
  • TrafficExtension API가 WasmPlugin을 대체하는 프록시 확장 메커니즘으로 지정됨
  • 앰비언트 모드에서 ServiceEntry CIDR 주소 지원, 웨이포인트 XFCC 합성, HBONE 윈도우 크기 조정 가능
  • 사이드카에서 앰비언트 모드로의 단계적·가역적 마이그레이션 가이드 공개
원문

Istio

Networking & Messaging2026년 5월 18일

Istio 1.29.3은 AuthorizationPolicy 우회 취약점과 XDS 네임스페이스 간 설정 노출 문제 등 두 건의 보안 패치를 포함하며, 멀티클러스터 데드락과 AWS EKS 환경 문제도 수정했습니다.

  • security접미사 매칭 사용 중인 AuthorizationPolicy 즉시 점검 및 업그레이드 필요

    source.principals와 source.namespaces 필드에 포함된 점(.), 대괄호([) 등 정규식 메타문자가 Envoy SafeRegex에 이스케이핑 없이 삽입됐습니다. 예를 들어 'spiffe://cluster.local/ns/foo/sa/bar.admin'을 허용하는 정책이 'spiffe://cluster.local/ns/foo/sa/barXadmin' 같은 의도치 않은 identity까지 허용할 수 있었습니다. 와일드카드(*) 접두사를 사용하는 principals 규칙을 모두 점검하고, 1.29.3으로 즉시 업그레이드하세요.

  • securityXDS 디버그 엔드포인트 접근 이력 감사 필요

    StatusGen이 서빙하는 /debug/syncz와 /debug/config_dump 엔드포인트에 네임스페이스 경계 검증이 없었습니다. 네임스페이스 A의 워크로드가 네임스페이스 B의 Envoy 설정 전체를 열람할 수 있었던 셈입니다. 멀티테넌트 클러스터를 운영 중이라면 API 서버 감사 로그에서 해당 엔드포인트 접근 이력을 확인하고, 1.29.3으로 즉시 업그레이드하세요.

  • breaking멀티클러스터 운영 시 업그레이드 후 클러스터 연결/해제 동작 검증 필요

    멀티클러스터 시크릿 컨트롤러에서 원격 클러스터 업데이트 중 발생하던 데드락이 수정됐습니다. 기존에 컨트롤 플레인이 멀티클러스터 환경에서 간헐적으로 멈추는 증상을 겪었다면 이 수정으로 해결됩니다. 업그레이드 후 클러스터 조인/이탈 워크플로우를 스테이징 환경에서 검증한 뒤 프로덕션에 적용하는 것을 권장합니다.

주요 변경 (5)
  • 보안 수정: source.principals(접미사 매칭) 및 source.namespaces의 정규식 메타문자 미이스케이핑으로 인한 AuthorizationPolicy 우회 취약점 패치
  • 보안 수정: XDS 디버그 엔드포인트(/debug/syncz, /debug/config_dump)에 동일 네임스페이스 권한 검증 추가 — 기존에는 모든 인증된 워크로드가 타 네임스페이스 설정 덤프를 조회 가능했음
  • 멀티클러스터 시크릿 컨트롤러의 원격 클러스터 업데이트 중 데드락 수정
  • 리프 인증서의 NotAfter 시간이 서명 CA 만료 시간을 초과할 수 있던 문제 수정
  • AWS EKS 환경에서 Security Groups for Pods(branch ENI) 사용 시 kubelet 헬스 프로브 실패 문제 수정
원문

Litmus

Observability2026년 5월 18일

Litmus 3.29.0은 gRPC CVE 패치, 동시 조정(concurrent reconcile) 환경에서의 중복 실험 트리거 버그 수정, Prometheus 메트릭 지원 추가를 담고 있습니다.

  • securityCVE-2026-33186 패치 — 즉시 3.29.0으로 업그레이드

    gRPC 라이브러리가 CVE-2026-33186 취약점 수정을 위해 v1.79.3으로 올라갔습니다. 3.29.0 미만 버전을 운영 중이라면 컨트롤 플레인이 취약한 상태입니다. 다음 스프린트로 미룰 문제가 아니니 즉시 업그레이드하세요.

  • breaking업그레이드 후 event-tracker 트리거 동작 검증 필요

    동시 reconcile 환경에서의 중복 실험 트리거 수정은 event-tracker의 레이스 컨디션 처리 방식을 바꿉니다. 자동화 카오스 주입에 event-tracker를 사용 중이라면, 업그레이드 후 파이프라인을 테스트해 트리거 횟수가 의도한 대로인지 확인하세요. 기존에 중복 실행이 실험 커버리지 공백을 가리고 있었을 수도 있습니다.

  • enhancementPrometheus 메트릭을 기존 대시보드에 연동하세요

    ChaosCenter가 이제 Prometheus 메트릭을 네이티브로 노출합니다. 시작 가이드와 유닛 테스트가 함께 제공되어 연동이 어렵지 않습니다. Litmus를 스크랩 타겟으로 추가하고, 실험 성공/실패율, 실행 시간, 인프라 연결 상태 등을 추적하면 카오스 워크플로우의 오랜 관측 가능성 공백을 메울 수 있습니다.

주요 변경 (5)
  • 보안: CVE-2026-33186 대응을 위해 gRPC v1.79.3으로 업그레이드
  • 버그 수정: event-tracker의 동시 reconcile 환경에서 카오스 실험이 중복 실행되던 문제 해결
  • 신규 기능: ChaosCenter에 Prometheus 메트릭 추가(유닛 테스트 및 시작 가이드 포함)
  • 버그 수정: 인프라 연결이 끊긴 상태에서도 실험 중지 가능
  • 버그 수정: CronWorkflow 실행 이력 페이지가 공백으로 표시되던 UI 문제 해결
원문

Kyverno

Security2026년 5월 18일

Kyverno v1.18.1은 v1.18.0에서 발생한 generate 정책 및 mutate-existing 정책의 회귀 버그 두 건을 수정한 패치 릴리스입니다.

  • breaking클러스터 범위 리소스 generate 정책 사용 중이라면 즉시 업그레이드 필요

    v1.18.0에서 ClusterRole, Namespace, CRD 등 클러스터 범위 리소스를 대상으로 한 GeneratingPolicy가 조용히 동작하지 않았습니다. v1.18.1로 업그레이드한 뒤, v1.18.0 운영 기간 동안 생성되었어야 할 리소스가 실제로 존재하는지 확인하고, 누락된 리소스는 수동 생성이나 정책 재트리거로 보정하세요.

  • breakingv1.18.0에서 mutate-existing 정책이 잘못 적용되었을 가능성 있음

    UpdateRequest에 AdmissionRequest 컨텍스트가 전달되지 않아, 요청 정보(사용자 정보, object, oldObject)를 조건이나 패치에 활용하는 규칙이 의도와 다르게 동작했습니다. v1.18.1로 업그레이드한 후 v1.18.0 운영 중 변경된 리소스 상태를 감사하고, 영향받은 리소스를 올바른 상태로 되돌렸는지 검증하세요.

  • enhancementgenerate 또는 mutate-existing 정책 사용자라면 v1.18.0은 건너뛰세요

    두 수정 모두 main 브랜치에서 체리픽된 것으로, 해당 기능을 쓴다면 v1.18.0은 사실상 결함 버전입니다. v1.17.x에서 업그레이드를 검토 중이라면 v1.18.0 대신 v1.18.1부터 테스트를 시작하세요.

주요 변경 (3)
  • GeneratingPolicy에서 클러스터 범위 리소스 생성이 동작하지 않던 버그 수정
  • mutate-existing 정책의 UpdateRequest에 AdmissionRequest가 전달되지 않던 버그 수정
  • 신규 기능 및 API 변경 없음 — 버그 수정만 포함
원문
← 최신이전 →