RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Strimzi해제 ×

Strimzi

Networking & Messaging2026년 6월 27일

Strimzi 1.1.0은 Kafka 4.3.0·4.2.1 지원을 추가하고 Kafka 4.1.x를 제거한 기능 릴리스입니다. 엔티티 오퍼레이터 헬스체크 포트 이름 변경과 KafkaBridge·KafkaMirrorMaker2의 TLS 형식 전환, 두 가지 브레이킹 체인지를 업그레이드 전에 반드시 확인해야 합니다.

  • breaking엔티티 오퍼레이터 헬스체크 포트 이름 변경

    엔티티 오퍼레이터의 헬스체크 포트 이름이 `healthcheck`에서 topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었습니다. 이 포트 이름을 참조하는 PodMonitor, ServiceMonitor, NetworkPolicy 등 커스텀 리소스가 있다면 업그레이드 전에 수정해야 합니다.

  • breakingKafka 4.1.x 지원 제거

    1.1.0부터 Kafka 4.1.x는 지원이 끊겼습니다. Kafka 4.1.x를 실행 중인 클러스터는 이 Strimzi 버전으로 올리기 전에 먼저 4.2.1 또는 4.3.0으로 업그레이드해야 합니다.

  • breakingKafkaBridge·KafkaMirrorMaker2의 TLS 트러스트스토어 형식이 PEM으로 변경

    KafkaBridge와 KafkaMirrorMaker2가 TLS 인증 및 트러스트스토어에 P12/JKS 대신 PEM 파일을 사용하도록 바뀌었습니다. 이 컴포넌트에서 P12/JKS 형식을 기대하는 외부 시스템이나 도구가 있다면 점검이 필요합니다.

  • breakingCRD v1만 지원 — 구 API 버전 사용 불가

    CRD API 버전 v1beta2, v1beta1, v1alpha1은 1.0.0부터 이미 지원이 종료되었습니다. 아직 리소스를 v1로 전환하지 않았다면 1.1.0 업그레이드 전에 변환을 완료해야 합니다.

주요 변경 (8)
  • Apache Kafka 4.3.0·4.2.1 지원 추가, Kafka 4.1.x 지원 제거.
  • 엔티티 오퍼레이터 헬스체크 포트 이름 변경: topic-operator는 `healthcheck-to`, user-operator는 `healthcheck-uo`로 바뀌었으므로 참조 리소스를 수정해야 합니다.
  • KafkaBridge·KafkaMirrorMaker2의 TLS 인증 및 트러스트스토어가 P12/JKS에서 PEM으로 전환되었으며, PEM 파일은 KubernetesSecretConfigProvider를 통해 시크릿에서 직접 읽습니다.
  • 실패한 KafkaConnector를 이제 중지할 수 있습니다. 실패 상태의 커넥터를 일시 중지하려 하면 Kafka Connect가 지원하지 않는 작업이라 거부됩니다.
  • 클러스터 오퍼레이터에 `STRIMZI_PKCS12_KEYSTORE_GENERATION` 옵션이 추가되어 CA·KafkaUser 시크릿에서 PKCS12 스토어 생성을 비활성화할 수 있습니다. KafkaUser별로 mTLS `validityDays`·`renewalDays`도 설정 가능해졌습니다.
  • Gateway API `tlsroute` 리스너 타입, 브로커별 리스너 어노테이션·레이블 템플릿, Kafka Connect Build에서 Maven 아티팩트 의존성 스코프 설정이 새로 지원됩니다.
  • `UseBackgroundPodDeletion` 피처 게이트(알파, 기본 비활성)가 추가되어 롤링 업데이트 중 파드 삭제 시 백그라운드 삭제 전파 방식을 선택할 수 있습니다.
  • Strimzi Drain Cleaner가 1.6.0으로, Strimzi Access Operator가 0.3.0으로 업데이트되어 설치 파일에 포함되었습니다.
원문

Strimzi

Networking & Messaging2026년 6월 17일

Strimzi 1.0.1은 CVE 두 건을 패치하고, Entity Operator의 cross-namespace 감시 기능을 기본 비활성화로 변경했습니다. v1 CRD만 지원하는 정책은 1.0.0에서 이어집니다.

  • securityCVE 두 건 수정 — 빠른 업그레이드 권장

    CVE-2026-55225와 CVE-2026-55226이 1.0.1에서 수정됐습니다. 패치 릴리스 한 번에 CVE 두 건이 포함된 만큼, 정기 유지보수 시점을 기다리지 말고 업그레이드를 우선시하는 게 낫습니다. 세부 내용은 Strimzi 보안 어드바이저리를 확인하세요.

  • breakingwatchedNamespace 사용 중이라면 환경 변수 설정 필수

    Kafka CR의 Entity Operator 섹션에 watchedNamespace를 Kafka 클러스터와 다른 네임스페이스로 설정해 두었다면, 업그레이드 후 Topic/User Operator가 해당 네임스페이스를 감시하지 않습니다. Cluster Operator 디플로이먼트에 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED=true를 추가해야 합니다. 설정 누락 시 토픽·유저 reconciliation이 조용히 멈추므로, 모든 네임스페이스의 Kafka CR을 미리 확인하세요.

  • breaking업그레이드 전 CRD를 반드시 v1로 변환

    1.0.1은 v1 CRD만 인식합니다. 1.0.0으로의 마이그레이션 때 변환을 건너뛰었거나 구버전에서 직접 올린다면, 오퍼레이터 매니페스트를 적용하기 전에 Strimzi 1.0.1 배포 가이드의 CRD 변환 절차를 먼저 실행하세요. 변환 없이 오퍼레이터를 배포하면 reconciliation이 실패합니다.

주요 변경 (4)
  • v1beta2, v1beta1, v1alpha1 CRD API 버전이 모두 제거됨 — 업그레이드 전 CRD 변환 필수
  • CVE-2026-55225, CVE-2026-55226 두 건 패치
  • Entity Operator cross-namespace 감시 기능이 기본 비활성화로 변경됨
  • 새 환경 변수 STRIMZI_ENTITY_OPERATOR_WATCHED_NAMESPACE_ENABLED로 해당 기능을 명시적으로 켜야 함
원문

Strimzi

Networking & Messaging2026년 4월 28일

Strimzi 1.0.0은 v1 이전의 모든 CRD API를 제거했습니다. 업그레이드 전 CRD 변환이 필수이며, Kafka 4.1.2 지원, HTTP Bridge TLS, 환경 변수 기반 rack awareness도 추가됐습니다.

  • breaking업그레이드 전 모든 CRD를 v1 API로 반드시 변환할 것

    Strimzi 1.0.0은 v1beta2, v1beta1, v1alpha1을 완전히 제거했습니다. 기존 커스텀 리소스가 이전 API 버전을 사용하고 있으면, 업그레이드 후 오퍼레이터가 해당 리소스를 조정하지 않아 클러스터 관리가 조용히 멈춥니다. KafkaTopic, KafkaUser도 별도 구버전 API가 있었으므로 반드시 포함해서 변환해야 합니다. Strimzi 공식 문서의 CRD 변환 절차를 먼저 완료한 뒤 업그레이드를 진행하세요.

  • enhancementRack awareness를 환경 변수 방식으로 전환해 ClusterRoleBinding 제거 가능

    새로 추가된 type: environment-variable rack awareness는 Kubernetes API 조회 대신 환경 변수에서 토폴로지 정보를 읽으므로 ClusterRoleBinding이 필요 없습니다. RBAC 정책이 엄격하거나 멀티 테넌트 클러스터를 운영 중이라면 전환을 검토할 만합니다. Kafka CR의 rack 설정에서 type 필드만 수정하면 되고, 인프라 변경은 필요하지 않습니다.

  • enhancementUseConnectBuildWithBuildah 기본 활성화 — Connect 빌드 파이프라인 사전 검증 필요

    이 피처 게이트가 베타로 승격되면서 Kafka Connect 커넥터 빌드의 기본 도구가 Buildah로 바뀝니다. Kaniko 고유 동작에 의존하거나 커스텀 빌드 설정이 있다면, 운영 환경 업그레이드 전에 스테이징에서 빌드를 먼저 검증하세요. 레이어 캐싱 방식이나 레지스트리 인증 처리에서 동작 차이가 나타날 수 있습니다.

주요 변경 (5)
  • v1beta2, v1beta1, v1alpha1 CRD API 완전 제거 — v1만 지원
  • Kafka 4.1.2 공식 지원 추가, Kafka 4.2.0 이미지도 포함
  • HTTP Bridge에 TLS/SSL 지원 추가
  • ClusterRoleBinding 없이 동작하는 환경 변수 기반 rack awareness 신규 지원
  • UseConnectBuildWithBuildah 피처 게이트가 베타로 승격되어 기본 활성화
원문

Strimzi

Networking & Messaging2026년 3월 13일

Strimzi 0.45.2는 0.45.x 브랜치의 마지막 패치 릴리스로, 주요 CVE 수정과 Kafka 3.9.2 지원에 집중하며 ZooKeeper 기반 클러스터를 지원하는 최종 버전입니다.

  • securityCVE 수정을 위한 즉시 패치 적용

    이번 릴리스는 ZooKeeper, JWT 라이브러리, 네트워킹 컴포넌트의 여러 고위험 CVE를 수정했습니다. 민감한 데이터를 다루거나 인터넷 연결 서비스를 운영한다면 이러한 취약점 패치를 위해 0.45.2로 즉시 업그레이드하세요.

  • breaking0.45.x 이후 업그레이드 전 KRaft 마이그레이션 필수

    Strimzi에서 ZooKeeper 기반 Kafka 클러스터를 실행할 수 있는 마지막 기회입니다. Strimzi 0.46+는 KRaft 모드만 지원하므로 지금 KRaft 마이그레이션을 계획하세요. 공식 KRaft 마이그레이션 가이드를 따르고 프로덕션 환경 적용 전 충분히 테스트하세요.

  • breaking향후 업그레이드 시 Kafka 3.9.2 어노테이션 문제 대응

    Kafka 3.9.2를 사용 중이라면 Strimzi 0.46-0.51로 업그레이드할 때 파드 어노테이션을 수동으로 업데이트해야 합니다. 오퍼레이터 실패를 방지하기 위해 제공된 kubectl 명령어를 업그레이드 시 사용하도록 저장해두세요.

주요 변경 (5)
  • 0.45.x 브랜치 최종 패치 릴리스 - 이후 추가 패치 없음
  • Apache Kafka 3.9.2 지원 추가 및 컨테이너 이미지 업데이트
  • ZooKeeper CVE-2024-47554, Nimbus Jose JWT CVE-2025-53864, GRPC Netty Shaded CVE-2025-55163 등 다수 CVE 수정
  • ZooKeeper 기반 Kafka 클러스터 및 MirrorMaker 1 지원하는 마지막 Strimzi 버전
  • 의존성 버전 업그레이드: Vert.x 4.5.24, Netty 4.1.130.Final, Apache Log4J 2.25.3, Cruise Control 2.5.146
원문

Strimzi

Networking & Messaging2026년 3월 6일

Strimzi 0.51.0은 중요한 보안 취약점을 수정하고 쿠버네티스 1.30 미만 버전 지원을 중단했으며, Kafka 4.2.0 지원과 ServerSideApplyPhase1 베타 전환을 포함합니다.

  • securityCVE 수정을 위한 즉시 업그레이드

    Strimzi 0.47.0 이상 버전에 영향을 주는 두 개의 중요한 CVE가 발견되었습니다. 보안 권고사항을 검토해서 본인 배포 환경이 영향받는지 확인한 후, 0.50.1 또는 0.51.0으로 즉시 업그레이드하세요. CVE 번호가 2026년으로 표시된 것은 공개 유예된 취약점일 가능성을 시사합니다.

  • breaking업그레이드 전 쿠버네티스 호환성 확인

    Strimzi 0.51.0은 쿠버네티스 1.30 이상이 필요합니다. 업그레이드 전에 클러스터 버전을 확인하세요. 쿠버네티스 1.27-1.29를 사용 중이면 먼저 클러스터를 업그레이드하거나 클러스터 업그레이드가 가능할 때까지 이전 Strimzi 버전을 유지하세요.

  • breaking업그레이드 시 CRD 및 KafkaUser 리소스 업데이트

    Strimzi 업그레이드 과정에서 CRD를 수동으로 업그레이드해야 하며, 특히 Helm 사용 시 주의하세요. 0.48 이하 버전에서 업그레이드하는 경우 먼저 KafkaUser 리소스를 새로운 `.spec.authorization.acls[]operations` 필드 형식으로 업데이트해야 합니다.

주요 변경 (5)
  • CVE-2026-27133, CVE-2026-27134 보안 취약점 수정으로 0.47.0 이상 버전 즉시 업그레이드 필요
  • 쿠버네티스 1.30 이상 버전만 지원 - 1.27, 1.28, 1.29 버전 지원 중단
  • Kafka 4.2.0 지원 추가, Kafka 4.0.0 및 4.0.1 호환성 제거
  • 리스너별 Kafka 연결 제한 및 재인증 설정 옵션 제공
  • 상위 프로젝트 아카이브로 인한 Ingress 리스너 타입 2026년 3월부터 지원 중단 예정
원문

Strimzi

Networking & Messaging2026년 2월 19일

Strimzi 0.50.1은 0.47.0 이상 버전에 영향을 미치는 두 개의 CVE를 해결하는 중요한 보안 패치로, CRD 업그레이드가 필수이며 Kubernetes 1.27-1.29를 지원하는 마지막 버전입니다.

  • securityCVE 수정을 위한 즉시 업그레이드 필요

    Strimzi 0.47.0 이상을 사용 중이라면 즉시 CVE 권고사항을 검토하고 0.50.1로 업그레이드하십시오. 프로덕션 환경에서 긴급한 패치가 필요한 중요 보안 취약점입니다.

  • breaking업그레이드 전 KafkaUser 리소스 업데이트

    업그레이드 전에 모든 KafkaUser 리소스를 업데이트하여 더 이상 사용되지 않는 .spec.authorization.acls[]operation 필드 대신 .spec.authorization.acls[]operations 필드를 사용하도록 하여 호환성 문제를 방지하십시오.

  • breakingStrimzi 0.51 이상을 위한 Kubernetes 업그레이드 계획

    이는 Kubernetes 1.27-1.29를 지원하는 마지막 버전입니다. 호환성 유지를 위해 Strimzi 0.51.0 이상으로 업그레이드하기 전에 클러스터를 Kubernetes 1.30 이상으로 업그레이드할 계획을 세우십시오.

주요 변경 (5)
  • Strimzi 0.47.0 이상에 영향을 미치는 중요 보안 취약점 CVE-2026-27133 및 CVE-2026-27134 수정
  • TLS 인증서 검증 개선을 위한 브로커 인증서에 전체 CA 체인 포함
  • v1 API 변환 도구의 숫자 변환 및 빈 YAML 문서 처리 버그 수정
  • Kubernetes 1.27, 1.28, 1.29를 지원하는 마지막 버전 - 향후 버전은 K8s 1.30 이상 필요
  • v1 API로의 마이그레이션 지속, 특히 Helm 사용자에게 중요한 CRD 업그레이드 필수
원문