RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Linkerd해제 ×

Linkerd

Networking & Messaging2026년 6월 16일

Linkerd edge-26.6.2는 정책 및 프로필 검증 버그를 고치고, 외부 워크로드에 네임스페이스 제한을 강화하며, Envoy 프록시 v2.357.0으로 업그레이드합니다.

  • security프로필 검증이 이제 nil 설정 거부

    프로필 검증의 nil 체크는 잘못된 설정으로 인한 크래시 경로를 닫습니다. 즉시 조치는 필요 없지만, 프로필을 프로그래밍 방식으로 생성한다면 적용 전에 항상 유효한 구조임을 확인하세요.

  • breaking네임스페이스 제한 외부 워크로드가 라우팅에 영향

    외부 워크로드와 엔드포인트가 이제 네임스페이스 경계를 준수합니다. Linkerd 설정에서 외부 워크로드 간 네임스페이스 호출을 하고 있다면, 업그레이드 후 라우팅이 정상 작동하는지 확인하세요. 기존 크로스 네임스페이스 접근에 의존하는 정책을 수정하세요.

  • enhancement통합 failure accrual로 로드 밸런싱 세부 조정

    통합 failure accrual 및 response-penalty 로드 biasing으로 프록시가 느리거나 실패한 엔드포인트를 처리하는 방식을 더 세밀하게 제어할 수 있습니다. 먼저 카나리 네임스페이스에서 테스트한 후 failure 임계값과 penalty 가중치를 SLO에 맞게 조정하세요. Linkerd 문서에서 새 정책 옵션을 확인하세요.

주요 변경 (5)
  • 정책 검증: 부적절한 AuthN 정책 체크 제거; 아웃바운드 인덱스 규칙 오타 수정.
  • 프로필 검증: nil 체크 추가로 검증 중 크래시 방지.
  • 네임스페이스 격리: 외부 워크로드와 엔드포인트가 네임스페이스 경계 준수하여 크로스 네임스페이스 누출 방지.
  • 로드 밸런싱: 정책 엔진에서 통합 failure accrual 및 response-penalty biasing 구현.
  • 프록시 업그레이드: Envoy v2.357.0, Go 1.25.11 빌드 사용.
원문

Linkerd

Networking & Messaging2026년 5월 15일

네이티브 사이드카가 GA로 승격되어 기본 활성화됐고, Server 리소스가 다른 네임스페이스 워크로드에 영향을 줄 수 없도록 보안 수정이 적용됐습니다.

  • securityServer 네임스페이스 격리 수정 — 크로스 네임스페이스 Server 리소스 즉시 점검

    Server 리소스가 자신이 속한 네임스페이스 외부 워크로드에 더 이상 영향을 줄 수 없도록 수정됐습니다. 의도적이든 실수든 크로스 네임스페이스로 작동하던 Server 정책이 있다면, 업그레이드 후 조용히 적용이 중단됩니다. 전체 네임스페이스의 Server 리소스를 점검하고 인가 정책이 여전히 의도대로 동작하는지 확인하세요.

  • breaking네이티브 사이드카 기본 활성화 — 업그레이드 전 클러스터 점검 필수

    Kubernetes init 컨테이너(restartPolicy: Always)를 사용하는 네이티브 사이드카 지원이 GA로 승격되면서 기본 활성화됐습니다. 클러스터가 Kubernetes 1.29 미만이라면 인젝션이 깨집니다. 지원되는 버전이더라도 admission webhook, 파드 라이프사이클 가정 등 워크로드 호환성을 사전에 확인하세요. 프로덕션 적용 전 스테이징에서 반드시 검증하고, 이전 동작이 필요하다면 install/upgrade 시 피처 플래그를 명시적으로 비활성화해야 합니다.

  • enhancementlinkerd-proxy PodMonitor에서 honorTimestamps 설정 가능

    Prometheus Operator를 사용 중이고 Linkerd 프록시 메트릭에서 타임스탬프 불일치(오래된 샘플, 순서 역전 등)가 발생했다면, 이제 Helm 차트에서 PodMonitor의 honorTimestamps를 직접 설정할 수 있습니다. 메트릭 수집 파이프라인에 민감한 팀이라면 다음 Helm 업그레이드 시 기본값에 맡기지 말고 명시적으로 지정하세요.

주요 변경 (6)
  • 네이티브 사이드카 인젝션 GA 승격 및 기본 활성화 — 별도 피처 게이트 불필요
  • 보안 수정: Server 리소스가 타 네임스페이스 워크로드에 영향을 줄 수 없도록 제한
  • 멀티클러스터 환경의 게이트웨이 liveness 동기화 개선
  • rustls 0.23.40, openssl, aws-lc-rs 업데이트로 암호화 스택 갱신
  • 프록시 v2.352.0, Go 툴체인 1.25.10, Helm 3.21.0으로 업그레이드
  • linkerd-proxy PodMonitor의 honorTimestamps 설정 가능해짐
원문

Linkerd

Networking & Messaging2026년 5월 1일

의존성 업데이트 중심의 일반적인 엣지 릴리스이며, 멀티클러스터 서비스 정리 버그 수정과 최소 지원 쿠버네티스 버전의 1.31 상향이 주요 변경 사항입니다.

  • securityRust TLS 관련 크레이트 일괄 업데이트

    aws-lc-rs 1.16.3, rustls-webpki 0.103.13, rustls-pki-types 1.14.1이 한 번에 업데이트됐습니다. 명시적인 CVE는 없지만, 이 패키지들은 Linkerd mTLS의 암호화 기반입니다. 보안 요구사항이 엄격한 환경이라면 이전 엣지 버전 대신 이 릴리스를 채택하는 근거가 됩니다.

  • breaking쿠버네티스 최소 지원 버전이 1.31로 상향됨

    MSKV가 1.31로 올라가면서 1.30 이하 클러스터는 공식 지원 범위를 벗어납니다. 이 엣지 릴리스를 적용하기 전에 클러스터 버전을 반드시 확인하세요. 아직 1.30을 사용 중이라면 쿠버네티스를 먼저 업그레이드하거나, 이 릴리스 적용을 보류하는 것이 맞습니다.

  • enhancement멀티클러스터 사용 시 업그레이드 후 미러 서비스 상태 점검 권장

    여러 네임스페이스에 걸쳐 멀티클러스터 서비스를 운영 중이라면, 이전 버전의 정리 로직이 의도치 않게 다른 네임스페이스에 영향을 줬을 가능성이 있습니다. 업그레이드 후에는 미러링된 서비스가 올바른 상태인지 확인하세요. 특히 기본 네임스페이스 외에 스테일 미러나 예상치 못한 서비스 삭제가 발생한 적 있다면 반드시 점검이 필요합니다.

주요 변경 (6)
  • 멀티클러스터 서비스 정리 로직이 네임스페이스 범위를 올바르게 준수하도록 수정
  • CLI Gateway API 버전 안내 오류 수정
  • 게이트웨이 배포를 위한 Helm 값 `gateway.healthCheckNodePort` 신규 추가
  • Destination 컨트롤러의 shared-filtering 로직 리팩터링
  • 최소 지원 쿠버네티스 버전(MSKV) 1.31로 상향
  • Rust 의존성 다수 업데이트: hyper 1.9.0, tokio 1.52.1, aws-lc-rs 1.16.3, rustls-webpki 0.103.13
원문

Linkerd

Networking & Messaging2026년 4월 24일

OpenSSL·rustls 보안 패치, Gateway 라우트 어드미션 웹훅 버그 수정, 인젝터의 어노테이션→메트릭 레이블 변환 개선이 포함된 유지보수 중심 엣지 릴리스입니다.

  • securityOpenSSL·rustls-webpki 패치 즉시 적용 권고

    이번 릴리스에 OpenSSL 크레이트가 두 번 업그레이드되고 rustls-webpki도 갱신됐습니다. 모두 프록시 TLS 스택에 위치한 의존성입니다. 보안 민감한 환경에서 Linkerd 엣지 빌드를 운영 중이라면, 다음 스테이블 릴리스를 기다리지 말고 edge-26.4.4로 업그레이드하는 것이 낫습니다.

  • breakingGateway 라우트 정책 우회 설정 검토 필요

    어드미션 웹훅이 Linkerd가 지원하지 않는 필드를 포함한 Gateway 라우트도 전체 검증하면서 정상 라우트가 거부되던 문제가 수정됐습니다. 이 버그를 피하기 위해 라우트 구성을 변경한 적 있다면, 해당 우회책이 여전히 필요한지, 혹은 실제 설정 오류를 가리고 있지는 않은지 지금 점검해야 합니다.

  • enhancement커스텀 Helm 오버라이드 사용 시 드라이런으로 확인하세요

    차트 설치 시 오버라이드 값이 적용되지 않던 버그가 수정됐습니다. 설치 자동화에서 특정 오버라이드 패턴을 사용하고 있다면, 프로덕션 배포 전에 이 버전으로 드라이런을 실행해 최종 values가 기대값과 일치하는지 반드시 검증하세요.

주요 변경 (5)
  • OpenSSL 크레이트 두 차례 업그레이드(0.10.76→0.10.78)와 rustls-webpki 패치 — 프록시 TLS 스택에 직접 영향
  • 지원되지 않는 필드가 포함된 Gateway 라우트에서 어드미션 웹훅이 불필요한 검증을 건너뛰도록 수정
  • 인젝터의 어노테이션→메트릭 레이블 변환 로직 강화로 엣지 케이스 레이블 오염 방지
  • Helm 차트 설치 시 오버라이드 값이 제대로 적용되도록 수정 — 오래된 설치 커스터마이징 버그 해소
  • proxy-init v2.4.8, cni-plugin v1.6.7, 프록시 v2.350.0으로 갱신
원문

Linkerd

Networking & Messaging2026년 4월 2일

프록시 두 차례 업데이트(v2.346.0, v2.347.0), 멀티클러스터 RBAC 누락 리소스 추가, Viz Prometheus 포트명 설정 수정이 핵심입니다. 나머지는 의존성 유지보수입니다.

  • security암호화 의존성 패치 업데이트 — 꾸준한 업그레이드 주기 유지

    openssl, rustls-webpki, aws-lc-rs, aws-lc-sys 모두 패치 버전 업데이트됐습니다. 공개된 CVE는 없지만 프록시 핵심 암호화 라이브러리인 만큼, 여러 릴리스를 건너뛰지 말고 정기적인 edge 업그레이드 주기를 유지하는 게 좋습니다.

  • breakingViz 사용 중이라면 업그레이드 후 Prometheus 메트릭 확인 필수

    admin 포트명 변경에 맞게 Prometheus 설정이 수정됐습니다. 이전 edge 빌드에서 업그레이드한 경우, 대시보드 메트릭이 정상적으로 표시되는지 바로 확인하세요. 수정 전에는 스크레이프가 조용히 실패하고 있었을 수 있으므로, Prometheus 타겟 상태를 직접 점검하는 게 좋습니다.

  • enhancement멀티클러스터 사용자: AuthorizationPolicy 커버리지 재검토

    멀티클러스터 익스텐션에 Server 및 AuthorizationPolicy 리소스가 누락되어 있었습니다. 업그레이드 후 크로스 클러스터 인가 정책이 의도대로 적용되는지 확인하세요. 기본 정책 설정에 따라 특정 트래픽 경로에서 예상치 못한 허용/차단이 발생했을 수 있습니다.

주요 변경 (5)
  • 프록시 v2.346.0 → v2.347.0 두 차례 업데이트 — 해당 프록시 릴리스의 버그 수정 포함
  • 멀티클러스터: Server/AuthorizationPolicy 리소스 누락 문제 수정으로 크로스 클러스터 RBAC 적용 범위 보완
  • Viz: Prometheus 스크레이프 설정이 변경된 admin 포트명과 불일치하던 문제 수정 — 메트릭 누락이 발생했을 수 있음
  • openssl, rustls-webpki, aws-lc-rs, zerocopy 등 암호화 관련 의존성 패치 업데이트
  • @olix0r(Oliver Gould) 명예 메인테이너(emeritus) 전환
원문