WIPI

프로그래밍과 기술 이슈를 빠르게 정리하는 개발 블로그

목록으로

Programming Notes

Kubernetes v1.36 미리 보기

작성자

Kubernetes v1.36이 2026년 4월 말에 출시됩니다. 이번 릴리스에는 제거 및 사용 중단 사항이 포함되며, 인상적인 수의 개선 사항들로 가득합니다. 이번 주기에서 저희가 가장 기대하는 기능들을 소개합니다!

이 정보는 v1.36 개발의 현재 상태를 반영하며, 출시 전에 변경될 수 있습니다.

Kubernetes API 제거 및 사용 중단 과정

Kubernetes 프로젝트는 기능에 대한 잘 문서화된 사용 중단 정책을 가지고 있습니다. 이 정책은 안정적인 API는 동일한 API의 더 새로운 안정 버전이 출시되었을 때만 사용 중단될 수 있으며, API는 각 안정성 수준에 대해 최소한의 수명을 가진다고 명시하고 있습니다. 사용 중단된 API는 향후 Kubernetes 릴리스에서 제거될 예정임을 나타냅니다. 해당 API는 제거될 때까지 (사용 중단 후 최소 1년) 계속 작동하지만, 사용 시 경고가 표시됩니다. 제거된 API는 현재 버전에서 더 이상 사용할 수 없으며, 이 시점에서는 대체 API로 마이그레이션해야 합니다.

  • 일반적으로 사용 가능(GA)하거나 안정적인 API 버전은 사용 중단으로 표시될 수 있지만, Kubernetes의 주요 버전 내에서는 제거되어서는 안 됩니다.
  • 베타 또는 사전 릴리스 API 버전은 사용 중단 후 3개 릴리스 동안 지원되어야 합니다.
  • 알파 또는 실험적 API 버전은 사전 사용 중단 통지 없이 어느 릴리스에서든 제거될 수 있습니다. 동일한 기능에 대해 다른 구현이 이미 준비된 경우, 이 과정은 철회가 될 수 있습니다.

API가 베타에서 안정으로 졸업하여 제거되거나, 단순히 해당 API가 성공하지 못했기 때문에 제거되든, 모든 제거는 이 사용 중단 정책을 준수합니다. API가 제거될 때마다 사용 중단 가이드에서 마이그레이션 옵션이 안내됩니다.

이 원칙이 실제로 적용된 최근 사례는 SIG-Security가 2026년 3월 24일에 발표한 ingress-nginx 프로젝트의 은퇴입니다. 프로젝트의 관리 책임이 전환됨에 따라, 커뮤니티는 현재의 보안 및 유지 관리 모범 사례에 부합하는 대체 인그레스 컨트롤러를 평가하도록 권장되었습니다. 이러한 전환은 Kubernetes 자체를 뒷받침하는 동일한 수명 주기 규율을 반영하여, 갑작스러운 중단 없이 지속적인 발전을 보장합니다.

Ingress NGINX 은퇴

생태계의 안전과 보안을 최우선으로 하기 위해, Kubernetes SIG Network와 보안 대응 위원회는 2026년 3월 24일부로 Ingress NGINX를 은퇴시켰습니다. 그 날짜 이후로는 더 이상의 릴리스, 버그 수정, 그리고 발견된 보안 취약점 해결을 위한 업데이트가 제공되지 않습니다. 기존 Ingress NGINX 배포는 계속 작동하며, Helm 차트 및 컨테이너 이미지와 같은 설치 아티팩트는 계속 사용할 수 있습니다.

자세한 내용은 공식 은퇴 발표를 참조하십시오.

Kubernetes v1.36의 사용 중단 및 제거 사항

Service의 .spec.externalIPs 사용 중단

Service specexternalIPs 필드가 사용 중단될 예정이며, 이는 Service로 임의의 externalIP를 라우팅하는 빠른 방법을 곧 잃게 된다는 의미입니다. 이 필드는 CVE-2020-8554에 문서화된 바와 같이 클러스터 트래픽에 대한 중간자 공격을 가능하게 하여 수년 동안 알려진 보안 문제였습니다. Kubernetes v1.36부터는 이 필드를 사용할 때 사용 중단 경고가 표시되며, v1.43에서 완전히 제거될 예정입니다.

Service가 여전히 externalIPs에 의존하고 있다면, 클라우드 관리 인그레스를 위한 LoadBalancer 서비스, 간단한 포트 노출을 위한 NodePort, 또는 외부 트래픽을 보다 유연하고 안전하게 처리하기 위한 Gateway API 사용을 고려해 보세요.

이 개선 사항에 대한 자세한 내용은 KEP-5707: service.spec.externalIPs 사용 중단을 참조하십시오.

gitRepo 볼륨 드라이버 제거

gitRepo 볼륨 타입은 v1.11부터 사용 중단되었습니다. Kubernetes v1.36부터 gitRepo 볼륨 플러그인은 영구적으로 비활성화되며 다시 켤 수 없습니다. 이 변경 사항은 gitRepo를 사용하면 공격자가 노드에서 root 권한으로 코드를 실행할 수 있는 심각한 보안 문제로부터 클러스터를 보호합니다.

gitRepo는 수년 동안 사용 중단되었고 더 나은 대안이 권장되었지만, 이전 릴리스에서는 기술적으로 여전히 사용할 수 있었습니다. v1.36부터는 해당 경로가 완전히 차단되므로, gitRepo에 의존하는 기존 워크로드는 init 컨테이너 또는 외부 git-sync 스타일 도구와 같은 지원되는 방식으로 마이그레이션해야 합니다.

이 개선 사항에 대한 자세한 내용은 KEP-5040: gitRepo 볼륨 드라이버 제거를 참조하십시오.

Kubernetes v1.36의 주요 개선 사항

다음 개선 사항 목록은 다가오는 v1.36 릴리스에 포함될 가능성이 높습니다. 이는 약속이 아니며, 릴리스 내용은 변경될 수 있습니다.

볼륨에 대한 더 빠른 SELinux 레이블 지정 (GA)

Kubernetes v1.36은 SELinux 볼륨 마운트 개선 사항을 일반 가용(GA) 상태로 만듭니다. 이 변경 사항은 재귀적인 파일 재레이블링을 mount -o context=XYZ 옵션으로 대체하여 마운트 시 전체 볼륨에 올바른 SELinux 레이블을 적용합니다. 이는 SELinux 적용 시스템에서 더욱 일관된 성능을 제공하고 Pod 시작 지연을 줄입니다.

이 기능은 ReadWriteOncePod 볼륨용으로 v1.28에서 베타로 도입되었습니다. v1.32에서는 메트릭과 충돌 감지를 돕기 위한 옵트아웃 옵션(securityContext.seLinuxChangePolicy: Recursive)을 추가했습니다. 이제 v1.36에서 안정화되어 모든 볼륨에 기본으로 적용되며, Pod 또는 CSIDriver는 spec.SELinuxMount를 통해 옵트인합니다.

그러나 이 기능은 특권 Pod와 비특권 Pod의 혼합 가능성 때문에 향후 Kubernetes 릴리스에서 호환성을 깨는 변경의 위험을 초래할 것으로 예상됩니다. seLinuxChangePolicy 필드와 Pod의 SELinux 볼륨 레이블을 올바르게 설정하는 것은 Pod 작성자의 책임입니다. 개발자들은 Deployment, StatefulSet, DaemonSet 또는 Pod 템플릿을 포함하는 사용자 정의 리소스를 작성할 때 이러한 책임을 집니다. 이러한 설정을 부주의하게 다루면 Pod가 볼륨을 공유할 때 다양한 문제가 발생할 수 있습니다.

이 개선 사항에 대한 자세한 내용은 KEP-1710: 재귀적 SELinux 레이블 변경 속도 향상을 참조하십시오.

ServiceAccount 토큰의 외부 서명

베타 기능으로서 Kubernetes는 이미 ServiceAccount 토큰의 외부 서명을 지원합니다. 이를 통해 클러스터는 내부에서 관리되는 키에만 의존하는 대신 외부 키 관리 시스템 또는 서명 서비스와 통합할 수 있습니다.

이 개선 사항을 통해 kube-apiserver는 토큰 서명을 클라우드 키 관리 서비스 또는 하드웨어 보안 모듈과 같은 외부 시스템에 위임할 수 있습니다. 이는 중앙 집중식 서명 인프라에 의존하는 클러스터의 보안을 개선하고 키 관리 서비스를 단순화합니다. 이 기능은 Kubernetes v1.36에서 안정(GA)으로 전환될 것으로 예상됩니다.

이 개선 사항에 대한 자세한 내용은 KEP-740: Service Account 토큰의 외부 서명 지원을 참조하십시오.

DRA 드라이버의 Device taint 및 toleration 지원

Kubernetes v1.33은 동적 리소스 할당(DRA)을 통해 관리되는 물리적 장치에 대한 taint 및 toleration 지원을 도입했습니다. 일반적으로 모든 장치를 스케줄링에 사용할 수 있습니다. 그러나 이 개선 사항을 통해 DRA 드라이버는 장치를 tainted로 표시할 수 있으며, 이는 스케줄링 목적에 사용되지 않도록 보장합니다. 또는 클러스터 관리자는 특정 선택 기준(예: 특정 드라이버의 모든 장치)과 일치하는 장치를 tainted로 표시하기 위해 DeviceTaintRule을 생성할 수 있습니다. 이는 스케줄링 제어를 개선하고 특수 하드웨어 리소스가 명시적으로 요청하는 워크로드에만 사용되도록 보장합니다.

Kubernetes v1.36에서는 이 기능이 더욱 포괄적인 테스트를 완료하여 베타로 졸업하며, 기능 플래그 없이 기본적으로 접근 가능하고 사용자 피드백을 받을 수 있습니다.

taint 및 toleration에 대해 알아보려면 taint 및 toleration을 참조하십시오. 이 개선 사항에 대한 자세한 내용은 KEP-5055: DRA: device taints and tolerations를 참조하십시오.

DRA의 분할 가능한 장치 지원

Kubernetes v1.36은 분할 가능한 장치에 대한 지원을 도입하여 동적 리소스 할당(DRA)을 확장합니다. 이는 단일 하드웨어 가속기를 여러 논리적 단위로 분할하여 워크로드 간에 공유할 수 있도록 합니다. 이는 GPU와 같은 고비용 리소스에 특히 유용하며, 단일 워크로드에 전체 장치를 할당하면 활용도가 낮아질 수 있습니다.

이 개선 사항을 통해 플랫폼 팀은 각 워크로드에 장치의 필요한 부분만 할당하고 전체를 예약하는 대신, 전반적인 클러스터 효율성을 향상시킬 수 있습니다. 이를 통해 격리 및 제어를 유지하면서 동일한 하드웨어에서 여러 워크로드를 더 쉽게 실행할 수 있으며, 조직이 인프라에서 더 많은 가치를 얻을 수 있도록 돕습니다.

이 개선 사항에 대해 자세히 알아보려면 KEP-4815: DRA Partitionable Devices를 참조하십시오.

더 알고 싶으신가요?

새로운 기능 및 사용 중단 사항은 Kubernetes 릴리스 노트에서도 발표됩니다. Kubernetes v1.36의 새로운 기능은 해당 릴리스의 CHANGELOG의 일부로 공식적으로 발표될 예정입니다.

Kubernetes v1.36 릴리스는 2026년 4월 22일 수요일로 예정되어 있습니다. 업데이트를 계속 지켜봐 주세요!

다음 릴리스의 변경 사항 발표도 확인할 수 있습니다:

참여하기

Kubernetes에 참여하는 가장 간단한 방법은 관심사에 맞는 여러 Special Interest Groups(SIG) 중 하나에 가입하는 것입니다. Kubernetes 커뮤니티에 전하고 싶은 이야기가 있으신가요? 주간 커뮤니티 미팅과 아래 채널을 통해 여러분의 목소리를 공유해 주세요. 지속적인 피드백과 지원에 감사드립니다.