Kyverno 1.18은 HTTP 컨텍스트 보안을 강화하고 이미지 검증 우회 버그를 수정했으며, CLI에서 더 많은 정책 유형을 테스트할 수 있게 됐습니다.
security업그레이드 전 HTTP 컨텍스트 정책 전수 검토 필수
HTTP 컨텍스트를 사용하는 정책은 이제 블록리스트 강제 적용을 받습니다. 기존에 정상 동작하던 외부 HTTP 호출이 업그레이드 후 차단될 수 있습니다. 1.18로 전환하기 전에 HTTP 컨텍스트 항목이 있는 정책을 모두 파악하고, 대상 URL이 기본 블록리스트에 포함되지 않는지 확인하세요. 필요하다면 FLAG_HTTP_BLOCKLIST 오버라이드를 설정해야 합니다. 스코프 토큰 인증 방식도 바뀌었으므로 폭넓은 토큰 권한에 의존하는 정책이 있다면 비프로덕션 클러스터에서 먼저 검증하세요.
security이미지 검증 우회 버그 패치 — 실제 적용 여부 재확인 권장
processResourceWithPatches가 패치 실패 시 nil을 반환해 이미지 검증을 조용히 건너뛰는 버그가 수정됐습니다. 이미지 검증 정책을 운영 중이었다면 그동안 실제로 적용되고 있었는지 확신하기 어렵습니다. 업그레이드 후 준수 여부 스캔을 다시 실행해 결과를 확인하세요. CVE-2026-32280(중간 인증서 제한)과 CVE-2026-32283(Go 툴체인 업그레이드)도 포함됐으니 보안 측면에서 빠른 업그레이드를 권장합니다.
enhancementsuccessEventActions로 이벤트 과부하 해소
정책 범위가 넓은 대규모 클러스터에서는 성공 이벤트가 etcd를 압박하고 이벤트 스트림을 쓸모없게 만들기 쉽습니다. 새 successEventActions 파라미터를 Kyverno ConfigMap에 추가하면 어떤 성공 이벤트를 방출할지 직접 제어할 수 있습니다. 기존 omitEvents 설정과 충돌하면 경고가 발생하니 병행 설정 시 주의하세요.
주요 변경 (5)
- HTTP 컨텍스트 호출에 블록리스트 강제 적용 및 스코프 토큰 인증 추가 — 외부 HTTP 호출을 사용하는 정책은 업그레이드 전 검토 필요
- imageRegistryCredentials가 네임스페이스 시크릿과 파드 수준 imagePullSecrets를 참조할 수 있어 멀티테넌트 이미지 검증 구성이 훨씬 유연해짐
- 패치 실패 시 nil을 반환해 이미지 검증을 조용히 우회하던 processResourceWithPatches 버그 수정
- successEventActions 파라미터로 성공 이벤트 방출을 세밀하게 제어 가능 — 이벤트 폭증으로 고생하는 대규모 클러스터에 유용
- kyverno apply·test CLI가 cleanup 정책, HTTP/Envoy authz 정책, mutateExisting을 지원해 CI 파이프라인에서 오프라인 테스트 가능