RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Knative해제 ×

Knative

Orchestration & Management2026년 6월 2일

Knative Serving v1.22.1은 네트워크 프로버의 유휴 연결 누수, 웹훅 만료 매처의 메모리 누수를 수정하고, 웹훅 요청 본문 크기를 3MiB로 제한하는 패치 릴리스입니다.

  • security웹훅 본문 3MiB 제한 — 즉시 업그레이드 권장

    웹훅 요청 본문에 상한이 생겼습니다. 과도하게 큰 페이로드로 메모리를 고갈시킬 수 있는 경로가 차단된 셈입니다. 멀티테넌트 환경이나 외부 트래픽이 들어오는 클러스터라면 다음 정기 점검을 기다리지 말고 지금 업그레이드하세요.

  • breaking3MiB 초과 웹훅 요청은 거부됨 — 업그레이드 전 객체 크기 확인 필수

    Knative 어드미션 웹훅에 큰 오브젝트(환경 변수가 많거나 어노테이션이 방대한 Service, Configuration 등)를 제출하는 워크로드가 있다면 업그레이드 후 요청이 실패할 수 있습니다. 배포 전에 오브젝트 크기를 점검하고, 불필요한 메타데이터나 spec 필드를 정리해두세요.

  • enhancement연결·메모리 누수 수정 — 장기 운영 클러스터일수록 효과 큼

    프로버 연결 누수와 만료 매처 메모리 누수는 즉각적인 장애보다 시간이 지날수록 파드 상태를 서서히 악화시키는 유형입니다. v1.22.0을 오래 운영 중인 클러스터라면 이미 영향을 받고 있을 가능성이 높습니다. 업그레이드 후 activator와 웹훅 파드의 메모리 사용량 추이를 모니터링해 안정화를 확인하세요.

주요 변경 (3)
  • 네트워킹 프로버의 유휴 연결 누수 수정
  • knative/pkg의 만료된 매처로 인한 메모리 누수 수정
  • 웹훅 요청 본문 크기를 3MiB로 상한 적용 — 무제한 메모리 소비 방지
원문

Knative

Orchestration & Management2026년 3월 24일

Knative v1.21.2는 TLS 설정 개선 한 건과 v1.22에서 secure-pod-defaults 기본값 변경 예고를 담은 소규모 패치 릴리스입니다.

  • breakingv1.22 업그레이드 전 루트 의존 워크로드 점검 필수

    v1.22부터 AllowRootBounded가 secure-pod-defaults의 기본값이 됩니다. 루트 권한이 필요한 컨테이너(레거시 앱, 특정 베이스 이미지 등)는 업그레이드 후 동작하지 않을 수 있습니다. 지금 v1.21 환경에서 AllowRootBounded를 명시적으로 활성화해 해당 워크로드를 테스트하세요. 문제가 생긴다면 v1.22 업그레이드 전에 config-features ConfigMap에서 secure-pod-defaults를 'disabled'로 설정해두세요. 업그레이드 당일까지 미루지 마세요.

  • enhancementknative.dev/pkg/network/tls 전환으로 TLS 제어 강화

    공유 라이브러리인 knative.dev/pkg/network/tls로 전환되면서 Serving의 TLS 설정 유연성이 높아졌습니다. 내부 PKI 정책이 있거나 암호 스위트·최소 TLS 버전을 정책으로 강제하는 환경이라면, 이번 변경이 기존 TLS 동작에 영향을 주는지 확인해보세요.

주요 변경 (3)
  • Serving의 TLS 설정이 knative.dev/pkg/network/tls 라이브러리로 전환되어 유연한 구성 가능
  • v1.21에서 secure-pod-defaults 기본값은 여전히 disabled — v1.22에서 AllowRootBounded로 변경 예정
  • AllowRootBounded는 루트 실행이 필요한 이미지와의 호환성을 유지하면서 보안 수준을 높이는 설정
원문

Knative

Orchestration & Management2026년 2월 24일

Knative v1.21.1은 Kubernetes v1.25.7로 재빌드한 패치 릴리스이며, v1.22에서 예정된 보안 기본값 변경 사항을 사전 공지합니다.

  • security강화된 파드 보안 정책 준비

    root 권한으로 실행되는 컨테이너 이미지와 워크로드를 검토하세요. 예정된 AllowRootBounded 설정은 호환성을 유지하면서 root 접근을 제한합니다. 지금 애플리케이션을 감사하고 더 나은 보안 정렬을 위해 가능한 곳에서 root 실행에서 마이그레이션을 고려하세요.

  • breakingv1.22 보안 변경사항에 대한 워크로드 사전 테스트 필요

    v1.22에서 secure-pod-defaults가 disabled에서 AllowRootBounded로 변경됩니다. 지금 이 설정을 활성화하여 워크로드를 테스트하세요. 호환되지 않는다면 v1.22 업그레이드 전에 설정에서 secure-pod-defaults를 명시적으로 disabled로 설정하여 서비스 중단을 방지하세요.

주요 변경 (4)
  • 호환성 및 안정성을 위해 Kubernetes v1.25.7로 재빌드
  • secure-pod-defaults는 v1.21.1에서 기본값으로 비활성화 유지
  • 향후 v1.22 릴리스에서 secure-pod-defaults 기본값이 AllowRootBounded로 변경 예정
  • AllowRootBounded 설정은 root 권한 필요 이미지와의 호환성을 유지하면서 보안 강화 제공
원문