Kubernetes v1.36: 하루 (Haru) | WIPI의 프로그래밍 및 기술 블로그

편집자: Chad M. Crowell, Kirti Goyal, Sophia Ugochukwu, Swathi Rao, Utkarsh Umre

이전 릴리스와 마찬가지로, Kubernetes v1.36은 새로운 안정(Stable), 베타(Beta) 및 알파(Alpha) 기능을 도입했습니다. 고품질의 릴리스를 일관되게 제공할 수 있었던 것은 강력한 개발 사이클과 커뮤니티의 활기찬 지원 덕분입니다.

이번 릴리스는 총 70개의 개선 사항으로 구성되어 있습니다. 이 중 18개는 안정(Stable) 단계로 졸업했으며, 25개는 베타(Beta) 단계로 진입했고, 25개는 알파(Alpha) 단계로 새롭게 도입되었습니다.

또한 이번 릴리스에는 일부 지원 중단 및 삭제 사항이 포함되어 있으니 반드시 확인하시기 바랍니다.

릴리스 테마 및 로고

우리는 계절이 바뀌고 산 위의 빛이 변화하는 시기에 맞춰 2026년의 첫 시작을 Kubernetes v1.36과 함께 엽니다. **하루(Haru, はる)**는 일본어로 여러 가지 의미를 담고 있는 소리입니다. 그중 우리가 가장 소중하게 여기는 의미는 春(봄), 晴れ(맑은 하늘), 그리고 遥か(아득히 먼)입니다. 계절, 하늘, 그리고 지평선. 이 모든 것을 이번 릴리스에서 발견하실 수 있을 것입니다.

avocadoneko / Natsuho Ide가 제작한 이 로고는 가쓰시카 호쿠사이의 유명한 연작 후지산 36경(富嶽三十六景)에서 영감을 얻었습니다. 이 연작은 세계적으로 잘 알려진 가나가와 해변의 높은 파도 아래를 탄생시킨 작품이기도 합니다. v1.36 로고는 이 연작 중 가장 유명한 작품 중 하나인 개풍쾌청(凱風快晴), 일명 '붉은 후지'(赤富士)를 재해석했습니다. 긴 해빙기 끝에 눈이 녹아내린 여름 새벽, 붉게 빛나는 산의 모습입니다. v1.36이라는 버전에 맞춰 '36경'이라는 숫자는 매우 적절한 선택이었으며, 호쿠사이가 거기서 멈추지 않았다는 사실을 상기시켜 줍니다.¹ 산과 함께 하늘에는 쿠버네티스 조타 장치(Helm)가 이 장면을 지켜보고 있습니다.

후지산 기슭에는 쿠버네티스 조타 장치가 달린 목걸이를 한 두 마리의 고양이, 스텔라(왼쪽)와 나초(오른쪽)가 앉아 있습니다. 이들은 일본 신사를 지키는 사자-개 수호신인 코마이누의 역할을 대신합니다. 두 마리인 이유는, 그 무엇도 혼자서는 지킬 수 없기 때문입니다. 스텔라와 나초는 훨씬 더 큰 규모의 기여자들을 상징합니다. 바로 각 SIG(Special Interest Group)와 워킹 그룹, 메인테이너와 리뷰어, 문서·블로그·번역 담당자, 릴리스 팀, 첫걸음을 뗀 초보 기여자, 그리고 매 시즌 돌아오는 오랜 기여자들입니다. Kubernetes v1.36은 언제나 그렇듯 수많은 손길에 의해 지탱되고 있습니다.

로고의 붉은 후지산 위에는 晴れに翔け(하레니 카케), 즉 "맑은 하늘로 비상하라"는 서예 문구가 적혀 있습니다. 이는 산에 다 담기에는 너무 길었던 시구의 전반부입니다.

晴れに翔け、未来よ明け hare ni kake, asu yo ake "맑은 하늘로 비상하라; 내일의 일출을 향해."²

이것이 우리가 이번 릴리스에 담은 소망입니다. 릴리스 자체뿐만 아니라 프로젝트, 그리고 이를 함께 만들어가는 모든 이들이 맑은 하늘로 비상하는 것입니다. 붉은 후지산 위로 밝아오는 새벽은 끝이 아니라 통로입니다. 이번 릴리스는 우리를 다음으로, 그리고 그다음으로 이끌며, 단 하나의 시선으로는 다 담을 수 없는 저 너머의 지평선을 향해 나아갈 것입니다.

_{1. 이 연작은 매우 인기가 높아서 호쿠사이가 10점을 추가하여 총 46점이 되었습니다.} _{2. 未来(미래)는 넓은 의미의 미래를 뜻하지만, 여기서는 '내일'이라는 의미의 'asu'로 읽습니다.}

주요 업데이트 집중 조명

Kubernetes v1.36은 새로운 기능과 개선 사항으로 가득 차 있습니다. 릴리스 팀이 선정한 몇 가지 주요 업데이트를 소개합니다!

안정(Stable): 세분화된 API 권한 인증 (Fine-grained API authorization)

Kubernetes SIG Auth와 SIG Node를 대신하여, Kubernetes v1.36에서 세분화된 kubelet API 권한 인증 기능이 정식 출시(GA)되었음을 알려드립니다!

KubeletFineGrainedAuthz 기능 게이트는 v1.32에서 선택적 알파 기능으로 도입되었으며, v1.33에서 베타(기본 활성화)로 승격되었습니다. 이제 이 기능은 정식으로 사용 가능합니다. 이 기능은 kubelet의 HTTPS API에 대해 더 정밀한 최소 권한 접근 제어를 가능하게 하여, 일반적인 모니터링 및 관찰 용도로 지나치게 넓은 nodes/proxy 권한을 부여해야 했던 필요성을 대체합니다.

이 작업은 SIG Auth 및 SIG Node가 주도한 KEP #2862의 일환으로 진행되었습니다.

베타(Beta): 리소스 상태 정보 (Resource health status)

v1.34 이전에는 할당된 장치의 상태를 보고하는 기본 기능이 부족하여, 하드웨어 장애로 인한 Pod 충돌을 진단하기가 어려웠습니다. 장치 플러그인(Device Plugins)에 초점을 맞췄던 v1.31의 초기 알파 릴리스를 바탕으로, Kubernetes v1.36에서는 각 Pod의 .status 내에 있는 allocatedResourcesStatus 필드를 베타로 승격하여 이 기능을 확장했습니다. 이 필드는 모든 특수 하드웨어에 대해 통합된 상태 보고 메커니즘을 제공합니다.

이제 사용자는 하드웨어가 기존의 플러그인을 통해 프로비저닝되었든 최신 DRA 프레임워크를 통해 되었든 관계없이, kubectl describe pod 명령을 통해 컨테이너의 충돌 루프가 Unhealthy 또는 Unknown 장치 상태 때문인지 확인할 수 있습니다. 향상된 가시성을 통해 관리자와 자동화된 컨트롤러는 결함이 있는 하드웨어를 신속하게 식별하고 고성능 워크로드의 복구 작업을 간소화할 수 있습니다.

이 작업은 SIG Node가 주도한 KEP #4680의 일환으로 진행되었습니다.

알파(Alpha): 워크로드 인식 스케줄링 (WAS) 기능

기존에 Kubernetes 스케줄러와 잡(Job) 컨트롤러는 Pod를 독립된 단위로 관리했기 때문에 복잡한 분산 워크로드의 경우 스케줄링이 파편화되거나 리소스가 낭비되는 경우가 많았습니다. Kubernetes v1.36은 워크로드 인식 스케줄링(WAS) 기능 세트를 알파 단계로 도입하여, 잡 컨트롤러를 개편된 워크로드 API 및 새로운 분리형 PodGroup API와 기본적으로 통합함으로써 관련 Pod들을 하나의 논리적 엔티티로 처리합니다.

Kubernetes v1.35는 이미 Pod가 노드에 바인딩되기 전에 최소 개수의 Pod가 스케줄링 가능해야 하는 갱 스케줄링(Gang scheduling)을 지원하고 있었습니다. v1.36은 여기서 더 나아가 전체 그룹을 원자적으로 평가하는 새로운 PodGroup 스케줄링 사이클을 도입하여, 그룹 내의 모든 Pod가 함께 바인딩되거나 아니면 아무것도 바인딩되지 않도록 합니다.

이 작업은 SIG Scheduling 및 SIG Apps가 주도한 여러 KEP(#4671, #5547, #5832, #5732, #5710 등)를 통해 진행되었습니다.

안정(Stable) 단계로 승격된 기능

v1.36 릴리스에서 안정화된 주요 개선 사항들입니다.

볼륨 그룹 스냅샷 (Volume group snapshots)

여러 사이클의 베타 단계를 거쳐, VolumeGroupSnapshot 지원이 Kubernetes v1.36에서 정식 출시(GA)되었습니다. 이 기능은 여러 PersistentVolumeClaim에 대해 동시에 충돌 일관성(crash-consistent)이 있는 스냅샷을 찍을 수 있게 해줍니다. 이 기능은 그룹 스냅샷용 확장 API 세트에 의존합니다. 사용자는 이 API를 통해 일련의 볼륨에 대해 충돌 일관성이 있는 스냅샷을 생성할 수 있습니다. 주요 목표는 해당 스냅샷 세트를 새 볼륨으로 복구하여 워크로드를 충돌 일관성 복구 지점으로 복구할 수 있도록 하는 것입니다.

이 작업은 SIG Storage가 주도한 KEP #3476의 일환으로 진행되었습니다.

가변 볼륨 연결 제한 (Mutable volume attach limits)

Kubernetes v1.36에서는 가변(mutable) CSINode 할당 가능(allocatable) 기능이 안정 단계로 승격되었습니다. 이 개선 사항을 통해 CSI(Container Storage Interface) 드라이버는 노드가 처리할 수 있는 최대 볼륨 수를 동적으로 업데이트하여 보고할 수 있습니다.

이번 업데이트를 통해 kubelet은 노드의 볼륨 제한 및 용량 정보를 동적으로 업데이트할 수 있습니다. kubelet은 구성 요소를 재시작할 필요 없이 주기적인 점검이나 CSI 드라이버의 리소스 고갈 오류에 대응하여 이러한 제한을 조정합니다. 이를 통해 Kubernetes 스케줄러는 스토리지 가용성에 대한 정확한 상태를 유지하여 오래된 볼륨 제한 정보로 인한 Pod 스케줄링 실패를 방지할 수 있습니다.

이 작업은 SIG Storage가 주도한 KEP #4876의 일환으로 진행되었습니다.

서비스 계정 토큰의 외부 서명을 위한 API

Kubernetes v1.36에서 외부 ServiceAccount 토큰 서명자(signer) 기능이 안정화되었습니다. 이를 통해 토큰 서명 작업을 외부 시스템으로 오프로드하면서도 Kubernetes API와 깔끔하게 통합할 수 있습니다. 이제 클러스터는 외부 JWT 서명자를 활용하여 표준 서비스 계정 토큰 형식을 따르는 프로젝션된 서비스 계정 토큰을 발행할 수 있으며, 필요한 경우 확장된 만료 시간 지원도 포함할 수 있습니다. 이는 이미 외부 ID 또는 키 관리 시스템을 사용 중인 클러스터에서 제어 평면 내부에 키 관리를 중복으로 유지할 필요 없이 통합할 수 있어 특히 유용합니다.

kube-apiserver는 외부 서명자로부터 공개 키를 탐색하고 캐싱하며 직접 서명하지 않은 토큰을 검증하도록 구성되어 기존의 인증 및 인가 워크플로우가 예상대로 계속 작동합니다. 알파 및 베타 단계를 거치며 외부 서명자 플러그인, 경로 검증 및 OIDC 탐색을 위한 API와 설정이 실제 배포 환경과 순환(rotation) 패턴을 안전하게 처리할 수 있도록 강화되었습니다.

이 작업은 SIG Auth가 주도한 KEP #740의 일환으로 진행되었습니다.

안정 단계로 승격된 DRA 기능들

동적 리소스 할당(DRA) 생태계의 일부가 Kubernetes v1.36에서 주요 거버넌스 및 선택 기능이 안정화됨에 따라 완전한 생산 준비 단계를 마쳤습니다. **DRA 관리자 접근(admin access)**의 GA 전환은 클러스터 관리자가 전역적으로 하드웨어 리소스에 액세스하고 관리할 수 있는 영구적이고 안전한 프레임워크를 제공하며, **우선순위 목록(prioritized lists)**의 안정화는 리소스 선택 로직이 모든 클러스터 환경에서 일관되고 예측 가능하게 유지되도록 보장합니다.

이제 조직은 장기적인 API 안정성과 하위 호환성을 보장받으며 중요한 하드웨어 자동화 기능을 배포할 수 있습니다. 이러한 기능은 대규모 GPU 클러스터 및 멀티테넌트 AI 플랫폼에 필수적인 정교한 리소스 공유 정책과 관리자 오버라이드를 구현할 수 있게 하며, 차세대 리소스 관리의 핵심 아키텍처 토대를 완성했습니다.

이 작업은 SIG Auth 및 SIG Scheduling이 주도한 KEP #5018 및 #4816의 일환으로 진행되었습니다.

변조 어드미션 정책 (Mutating admission policies)

Kubernetes v1.36에서 MutatingAdmissionPolicies가 안정 단계로 승격됨에 따라 선언적 클러스터 관리가 한 단계 더 정교해졌습니다. 이 이정표는 관리자가 CEL(Common Expression Language)을 사용하여 API 서버에서 직접 리소스 변조를 정의할 수 있게 함으로써, 많은 공통 사용 사례에 대해 외부 인프라의 필요성을 완전히 대체하는 고성능 기본 대안을 제공합니다.

이제 클러스터 운영자는 맞춤형 어드미션 웹훅 관리와 관련된 지연 시간 및 운영 복잡성 없이 들어오는 요청을 수정할 수 있습니다. 변조 로직을 선언적이고 버전이 지정된 정책으로 이동함으로써 조직은 더 예측 가능한 클러스터 동작, 감소된 네트워크 오버헤드, 그리고 장기적인 API 안정성이 보장된 강화된 보안 모델을 달성할 수 있습니다.

이 작업은 SIG API Machinery가 주도한 KEP #3962의 일환으로 진행되었습니다.

`validation-gen`을 통한 Kubernetes 네이티브 타입의 선언적 검증

Kubernetes v1.36에서 **선언적 검증(validation-gen 포함)**이 안정 단계로 승격됨에 따라 사용자 정의 리소스 개발의 효율성이 높아졌습니다. 이 기능은 개발자가 CEL을 사용하여 Go 구조체 태그 내에 직접 정교한 검증 로직을 정의할 수 있게 함으로써, 복잡한 OpenAPI 스키마를 수동으로 작성하던 오류 발생 가능성이 높은 작업을 대체합니다.

이제 커스텀 검증 함수를 작성하는 대신, IDL 마커 주석(예: +k8s:minimum 또는 +k8s:enum)을 사용하여 API 타입 정의(types.go) 내에 직접 검증 규칙을 정의할 수 있습니다. validation-gen 도구는 이러한 주석을 파싱하여 컴파일 시점에 견고한 API 검증 코드를 자동으로 생성합니다.

이 작업은 SIG API Machinery가 주도한 KEP #5073의 일환으로 진행되었습니다.

Kubernetes API 타입에서 gogo protobuf 의존성 제거

Kubernetes v1.36에서 gogoprotobuf 제거 작업이 완료됨에 따라 코드베이스의 보안과 장기적인 유지 관리성이 크게 향상되었습니다. 이 이정표는 보안 취약점의 원인이자 현대적인 Go 언어 기능 채택을 방해하던 유지 관리되지 않는 gogoprotobuf 라이브러리에 대한 의존성을 제거했습니다.

Kubernetes API 타입의 호환성 위험이 있는 표준 Protobuf 생성으로 마이그레이션하는 대신, 프로젝트는 필요한 생성 로직을 k8s.io/code-generator 내에 포크하여 내재화하는 방식을 택했습니다. 이 접근 방식은 기존 API 동작과 직렬화 호환성을 유지하면서 종속성 그래프에서 유지 관리되지 않는 런타임 의존성을 성공적으로 제거했습니다.

이 작업은 SIG API Machinery가 주도한 KEP #5589의 일환으로 진행되었습니다.

노드 로그 쿼리 (Node log query)

이전에는 제어 평면 또는 워커 노드와 관련된 문제를 디버깅하기 위해 SSH를 통해 노드에 로그인하거나 클라이언트 측 리더를 구현해야 했습니다. 이제 kube-proxy나 kubelet의 로그를 검사하여 문제를 진단할 수 있는 기능이 제공됩니다. 노드 로그 쿼리는 관리자가 Pod나 컨테이너의 문제를 디버깅하는 것과 유사하게, 노드에 로그인하지 않고도 kubelet API와 kubectl 플러그인을 사용하여 로그를 볼 수 있는 방법을 제공합니다. 이 방식은 운영 체제에 구애받지 않으며 서비스나 노드가 /var/log에 로그를 기록해야 합니다.

이 기능은 프로덕션 워크로드에서의 철저한 성능 검증을 거쳐 v1.36에서 GA에 도달했으며, NodeLogQuery 기능 게이트를 통해 kubelet에서 기본적으로 활성화됩니다. 또한 enableSystemLogQuery kubelet 구성 옵션도 활성화되어야 합니다.

이 작업은 SIG Windows가 주도한 KEP #2258의 일환으로 진행되었습니다.

Pod의 사용자 네임스페이스(User Namespaces) 지원

Kubernetes v1.36에서 사용자 네임스페이스 지원이 안정 단계로 승격됨에 따라 컨테이너 격리 및 노드 보안이 큰 성숙 단계에 도달했습니다. 이 기능은 컨테이너의 루트 사용자를 호스트의 비특권 사용자로 매핑할 수 있게 하여, 프로세스가 컨테이너를 탈출하더라도 기본 노드에 대해 관리 권한을 가질 수 없도록 하는 중요한 방어 계층을 제공합니다.

이제 클러스터 운영자는 컨테이너 탈출 취약점의 영향을 완화하기 위해 프로덕션 워크로드에서 이 강화된 격리 기능을 자신 있게 활성화할 수 있습니다. 컨테이너의 내부 ID를 호스트의 ID와 분리함으로써, Kubernetes는 멀티테넌트 환경과 민감한 인프라를 무단 액세스로부터 보호하는 견고하고 표준화된 메커니즘을 제공합니다.

이 작업은 SIG Node가 주도한 KEP #127의 일환으로 진행되었습니다.

cgroupv2 기반의 PSI 지원

Kubernetes v1.36에서 PSI(Pressure Stall Information) 메트릭 내보내기가 안정화됨에 따라 노드 리소스 관리 및 관찰 기능이 더 정밀해졌습니다. 이 기능을 통해 kubelet은 CPU, 메모리 및 I/O에 대한 '압력(pressure)' 메트릭을 보고할 수 있으며, 이는 기존의 사용률(utilization) 메트릭보다 리소스 경합에 대해 더 상세한 뷰를 제공합니다.

클러스터 운영자와 오토스케일러는 이러한 메트릭을 사용하여 단순히 바쁜 시스템과 리소스 고갈로 인해 실제로 지연(stalling)이 발생하는 시스템을 구분할 수 있습니다. 이러한 신호를 활용하여 사용자는 Pod 리소스 요청을 더 정확하게 튜닝하고, 수직형 오토스케일링의 신뢰성을 높이며, 노드 불안정성으로 이어지기 전에 '시끄러운 이웃(noisy neighbor)' 효과를 감지할 수 있습니다.

이 작업은 SIG Node가 주도한 KEP #4205의 일환으로 진행되었습니다.

볼륨 소스: OCI 아티팩트 및/또는 이미지

Kubernetes v1.36에서 OCI 볼륨 소스 지원이 안정화됨에 따라 컨테이너 데이터 배포가 더 유연해졌습니다. 이 기능은 외부 스토리지 프로바이더나 컨피그맵에서 볼륨을 마운트해야 했던 기존의 요구 사항을 넘어, kubelet이 컨테이너 이미지나 아티팩트 저장소와 같은 OCI 준수 레지스트리에서 직접 콘텐츠를 가져와 마운트할 수 있도록 합니다.

이제 개발자와 플랫폼 엔지니어는 애플리케이션 데이터, 모델 또는 정적 자산을 OCI 아티팩트로 패키징하고, 컨테이너 이미지에 사용하는 것과 동일한 레지스트리 및 버전 관리 워크플로우를 사용하여 Pod에 전달할 수 있습니다. 이미지와 볼륨 관리의 통합은 CI/CD 파이프라인을 단순화하고, 읽기 전용 콘텐츠를 위한 특수 스토리지 백엔드 의존성을 줄여줍니다.

이 작업은 SIG Node가 주도한 KEP #4639의 일환으로 진행되었습니다.

베타(Beta) 단계의 새로운 기능

v1.36 릴리스에서 베타 단계로 진입한 주요 개선 사항들입니다.

컨트롤러의 정체(Staleness) 완화

Kubernetes 컨트롤러의 데이터 정체 문제는 많은 컨트롤러에 영향을 미치며 동작에 미묘한 문제를 일으킬 수 있습니다. 대개 프로덕션 환경의 컨트롤러가 잘못된 조치를 취한 후에야 작성자의 근본적인 가정 때문에 정체 문제가 발생했음을 발견하게 됩니다. 이는 캐시가 정체된 동안 컨트롤러 조정(reconciliation) 과정에서 충돌하는 업데이트나 데이터 손상을 초래할 수 있습니다.

Kubernetes v1.36에는 컨트롤러 정체를 완화하고 컨트롤러 동작의 가시성을 높이는 데 도움이 되는 새로운 기능이 포함되었습니다. 이를 통해 종종 해로운 동작으로 이어질 수 있는 오래된 클러스터 상태 보기를 기반으로 한 조정을 방지합니다.

이 작업은 SIG API Machinery가 주도한 KEP #5647의 일환으로 진행되었습니다.

IP/CIDR 검증 개선

Kubernetes v1.36에서는 API IP 및 CIDR 필드에 대한 StrictIPCIDRValidation 기능이 베타로 승격되었습니다. 이를 통해 이전에는 통과되었던 잘못된 형식의 주소와 접두사를 잡아낼 수 있도록 검증이 강화되었습니다. 이는 서비스, Pod, 네트워크 정책 등이 유효하지 않은 IP를 참조하여 런타임 동작이 혼란스러워지거나 보안 사고가 발생하는 설정 버그를 방지하는 데 도움이 됩니다.

이 작업은 SIG Network가 주도한 KEP #4858의 일환으로 진행되었습니다.

클러스터 설정과 kubectl 사용자 설정 분리

kubectl 사용자 기본 설정을 사용자 지정하는 .kuberc 기능이 베타 단계로 유지되며 기본적으로 활성화됩니다. ~/.kube/kuberc 파일을 통해 사용자는 클러스터 엔드포인트와 자격 증명이 포함된 kubeconfig 파일과 별도로 별칭(alias), 기본 플래그 및 기타 개인 설정을 저장할 수 있습니다. 이러한 분리는 개인 설정이 CI 파이프라인이나 공유 kubeconfig 파일에 간섭하는 것을 방지합니다.

v1.36에서 .kuberc는 자격 증명 플러그인에 대한 정책(허용 목록 또는 거부 목록)을 정의할 수 있는 기능이 확장되어 더 안전한 인증 관행을 적용할 수 있게 되었습니다.

이 작업은 SIG Auth의 도움을 받아 SIG CLI가 주도한 KEP #3104의 일환으로 진행되었습니다.

suspended 잡(Job)의 컨테이너 리소스 수정 가능

Kubernetes v1.36에서 MutablePodResourcesForSuspendedJobs 기능이 베타로 승격되어 기본 활성화됩니다. 이 업데이트는 잡이 중지(suspended)된 상태일 때 컨테이너의 CPU, 메모리, GPU 및 확장 리소스 요청 및 제한을 업데이트할 수 있도록 잡 검증을 완화합니다.

이 기능을 통해 큐(queue) 컨트롤러와 운영자는 실시간 클러스터 상황에 따라 배치 워크로드 요구 사항을 조정할 수 있습니다. 이 기능은 실행 중인 Pod에 대한 파괴적인 변경을 방지하기 위해 중지된 잡(또는 중지 시 Pod가 종료된 잡)으로 변경 가능 범위를 엄격히 제한합니다.

이 작업은 SIG Apps가 주도한 KEP #5440의 일환으로 진행되었습니다.

제약된 가장(Constrained Impersonation)

Kubernetes v1.36에서 사용자 가장(impersonation)을 위한 ConstrainedImpersonation 기능이 베타로 승격되었습니다. 이는 역사적으로 '전부 아니면 전무'였던 메커니즘을 최소 권한 원칙을 따를 수 있도록 강화합니다. 이 기능이 활성화되면 가장자는 특정 ID를 가장할 수 있는 권한과 해당 ID를 대신하여 특정 작업을 수행할 수 있는 권한이라는 두 가지 구별된 권한 세트를 가져야 합니다.

이 작업은 SIG Auth가 주도한 KEP #5284의 일환으로 진행되었습니다.

베타 단계의 DRA 기능들

동적 리소스 할당(DRA) 프레임워크는 여러 핵심 기능이 베타로 승격되고 기본 활성화됨에 따라 또 다른 성숙 단계에 도달했습니다. 이번 전환으로 DRA는 분할 가능한 장치(partitionable devices) 및 소비 가능한 용량(consumable capacity)을 도입하여 GPU와 같은 하드웨어의 정밀한 공유를 가능하게 했으며, 장치 테인트 및 톨러레이션(device taints and tolerations)을 통해 특수 리소스가 적절한 워크로드에 의해서만 사용되도록 보장합니다.

이 작업은 SIG Scheduling 및 SIG Node가 주도한 여러 KEP(#5004, #4817, #5055, #5075, #4815, #5007 등)를 통해 진행되었습니다.

Kubernetes 구성 요소를 위한 Statusz

v1.36에서 핵심 구성 요소를 위한 ComponentStatusz 기능 게이트가 베타로 승격되어, 각 구성 요소의 실시간 빌드 및 버전 세부 정보를 제공하는 /statusz 엔드포인트(기본 활성화)를 제공합니다. 이 저오버헤드 z-page는 시작 시간, 업타임, Go 버전, 바이너리 버전 등을 노출하여 운영자와 개발자가 로그를 뒤지지 않고도 실행 중인 내용을 정확히 확인할 수 있게 해줍니다.

이 작업은 SIG Instrumentation이 주도한 KEP #4827의 일환으로 진행되었습니다.

Kubernetes 구성 요소를 위한 Flagz

v1.36에서 핵심 구성 요소를 위한 ComponentFlagz 기능 게이트가 베타로 승격되어, 각 구성 요소가 시작될 때 사용된 유효한 명령줄 플래그를 노출하는 /flagz 엔드포인트를 표준화합니다. 이는 클러스터 운영자와 개발자에게 구성에 대한 실시간 가시성을 제공하여 예상치 못한 동작을 디버깅하거나 플래그 적용 여부를 확인하는 데 도움을 줍니다.

이 작업은 SIG Instrumentation이 주도한 KEP #4828의 일환으로 진행되었습니다.

혼합 버전 프록시 (Mixed version proxy)

v1.36에서 혼합 버전 프록시(알려지지 않은 버전 상호 운용성 프록시라고도 함) 기능이 베타로 승격되었습니다. 이는 v1.28에서 알파로 도입된 이후 혼합 버전 클러스터에서 더 안전한 제어 평면 업그레이드를 제공합니다. 각 API 요청은 이제 요청된 그룹, 버전 및 리소스를 제공하는 API 서버 인스턴스로 라우팅될 수 있어 버전 차이로 인한 404 오류 및 실패를 줄여줍니다.

이 작업은 SIG API Machinery가 주도한 KEP #4020의 일환으로 진행되었습니다.

cgroups v2를 사용한 메모리 QoS

Kubernetes는 이제 Linux cgroup v2 노드에서 Pod 요청 및 제한에 더 잘 부합하는 스마트한 계층형 메모리 보호 기능을 통해 메모리 QoS를 강화합니다. 이번 반복 버전에서는 kubelet이 memory.high 및 memory.min을 프로그래밍하는 방식을 개선하고, 라이브락을 방지하기 위한 메트릭과 안전장치를 추가했습니다.

이 작업은 SIG Node가 주도한 KEP #2570의 일환으로 진행되었습니다.

알파(Alpha) 단계의 새로운 기능

v1.36 릴리스에서 알파 단계로 도입된 주요 개선 사항들입니다.

커스텀 메트릭을 위한 HPA 0으로 스케일링

지금까지 HorizontalPodAutoscaler(HPA)는 실행 중인 Pod의 메트릭(CPU, 메모리 등)을 기반으로 스케일링을 계산했기 때문에 최소 한 개의 복제본을 유지해야 했습니다. v1.36에서는 HPA 0으로 스케일링 기능의 개발을 알파 단계에서 이어가며, 오브젝트(Object) 또는 외부(External) 메트릭을 사용할 때 워크로드를 0개로 축소할 수 있게 합니다.

이 작업은 SIG Autoscaling이 주도한 KEP #2021의 일환으로 진행되었습니다.

알파 단계의 DRA 기능들

역사적으로 DRA 프레임워크는 상위 수준 컨트롤러와의 통합이 부족하고 장치별 메타데이터나 가용성에 대한 가시성이 제한적이었습니다. v1.36은 워크로드를 위한 네이티브 ResourceClaim 지원과 CPU 관리에 DRA의 유연성을 제공하는 DRA 네이티브 리소스를 포함하여 여러 DRA 강화 사항을 알파 단계로 도입합니다.

이 작업은 SIG Scheduling 및 SIG Node가 주도한 여러 KEP(#5729, #5304, #5517, #5677, #5491 등)를 통해 진행되었습니다.

Kubernetes 메트릭을 위한 네이티브 히스토그램 지원

v1.36에서 네이티브 히스토그램 지원이 알파로 도입됨에 따라 고해상도 모니터링이 새로운 이정표를 세웠습니다. 기존의 Prometheus 히스토그램은 정적인 버킷에 의존하여 데이터 정확도와 메모리 사용량 사이에서 타협해야 했으나, 이번 업데이트는 실시간 데이터에 따라 해상도를 동적으로 조정하는 희소 히스토그램(sparse histograms)을 내보낼 수 있게 합니다.

이 작업은 SIG Instrumentation이 주도한 KEP #5808의 일환으로 진행되었습니다.

매니페스트 기반 어드미션 제어 구성

v1.36에서 매니페스트 기반 어드미션 제어 구성이 알파 단계로 도입됨에 따라 어드미션 컨트롤러 관리가 더 선언적이고 일관된 모델로 이동합니다. 이 변경 사항은 구조화된 매니페스트를 통해 직접 어드미션 제어의 상태를 정의할 수 있게 함으로써 명령줄 플래그나 복잡한 설정 파일로 관리하던 문제를 해결합니다.

이 작업은 SIG API Machinery가 주도한 KEP #5793의 일환으로 진행되었습니다.

CRI 목록 스트리밍 (CRI list streaming)

v1.36은 새로운 내부 스트리밍 작업을 도입하는 CRI 목록 스트리밍을 알파 단계로 선보입니다. 이 개선 사항은 kubelet과 컨테이너 런타임 간의 전통적인 단일 List 요청을 더 효율적인 서버 측 스트리밍 RPC로 대체하여 대규모 노드에서 발생하는 메모리 압박과 지연 시간 스파이크 문제를 해결합니다.

이 작업은 SIG Node가 주도한 KEP #5825의 일환으로 진행되었습니다.

기타 주요 변경 사항

Ingress NGINX 은퇴

생태계의 안전과 보안을 최우선으로 하기 위해, Kubernetes SIG Network와 보안 대응 위원회는 2026년 3월 24일부로 Ingress NGINX를 은퇴시켰습니다. 해당 날짜 이후로는 더 이상의 릴리스나 버그 수정, 보안 취약점 업데이트가 제공되지 않습니다. 기존 배포된 Ingress NGINX는 계속 작동하며 Helm 차트와 컨테이너 이미지와 같은 설치 아티팩트도 계속 이용 가능합니다.

자세한 내용은 공식 은퇴 발표를 참조하세요.

볼륨 SELinux 레이블링 가속화 (GA)

v1.36은 SELinux 볼륨 마운트 개선 사항을 정식 출시(GA)했습니다. 이 변경 사항은 재귀적인 파일 재레이블링을 mount -o context=XYZ 옵션으로 대체하여 마운트 시점에 전체 볼륨에 올바른 SELinux 레이블을 적용합니다. 이는 SELinux가 적용된 시스템에서 일관된 성능을 제공하고 Pod 시작 지연을 줄여줍니다.

그러나 이 기능은 향후 릴리스에서 특권 Pod와 비특권 Pod 간의 볼륨 공유 등으로 인해 파괴적 변경(breaking changes)이 발생할 위험이 있습니다. 클러스터를 감사하기에 v1.36은 이상적인 릴리스입니다. 자세한 내용은 SELinux 볼륨 레이블 변경 GA 블로그를 확인하세요.

이 개선 사항에 대한 자세한 내용은 KEP-1710: 재귀적 SELinux 레이블 변경 가속화를 참조하세요.

v1.36의 승격, 지원 중단 및 삭제

안정(Stable) 단계 승격 목록

이번 릴리스에서 안정 단계(GA)로 승격된 총 18개의 개선 사항은 다음과 같습니다.

지원 중단, 삭제 및 커뮤니티 업데이트

Service `.spec.externalIPs` 지원 중단 예정

이번 릴리스부터 Service 스펙의 externalIPs 필드가 지원 중단(deprecated)됩니다. 기능은 유지되지만 미래의 Kubernetes 버전에서는 작동하지 않을 것임을 의미합니다. 이 필드는 수년 동안 보안 문제(중간자 공격 등)의 원인이 되어왔습니다. v1.36부터는 사용 시 경고가 표시되며, v1.43에서 완전히 삭제될 예정입니다.

대안으로 LoadBalancer 서비스, NodePort, 또는 더 안전한 Gateway API 사용을 고려하시기 바랍니다.

`gitRepo` 볼륨 드라이버 삭제

v1.11부터 지원 중단되었던 gitRepo 볼륨 타입이 v1.36에서 완전히 비활성화되며 다시 켤 수 없게 되었습니다. 이 변경은 공격자가 노드에서 루트 권한으로 코드를 실행할 수 있는 심각한 보안 문제를 방지하기 위함입니다. 이제 gitRepo를 사용하는 모든 워크로드는 init 컨테이너나 외부 git-sync 도구와 같은 지원되는 방식으로 마이그레이션해야 합니다.

자세한 내용은 KEP-5040: gitRepo 볼륨 드라이버 삭제를 참조하세요.

릴리스 노트

전체 세부 사항은 릴리스 노트를 확인하세요.

가용성

Kubernetes v1.36은 GitHub 또는 Kubernetes 다운로드 페이지에서 다운로드할 수 있습니다. kubeadm을 사용하여 v1.36을 설치할 수도 있습니다.

릴리스 팀

v1.36 릴리스를 위해 수고해주신 모든 릴리스 팀 멤버들에게 감사의 인사를 전합니다. 특히 이번 릴리스를 성공적으로 이끌어주신 릴리스 리드, **사와다 료타(Ryota Sawada)**님께 특별한 감사를 드립니다.

프로젝트 속도

v1.36 릴리스 사이클(2026년 1월 12일 ~ 4월 22일) 동안 Kubernetes는 106개의 기업과 491명의 개인으로부터 기여를 받았습니다. 더 넓은 클라우드 네이티브 생태계 전체로는 370개의 기업과 2235명의 기여자가 참여했습니다.

데이터 소스:

이벤트 업데이트

2026년에 예정된 주요 Kubernetes 및 클라우드 네이티브 이벤트입니다.

2026년 6월: KubeCon + CloudNativeCon India 2026 (인도 뭄바이)
2026년 7월: KubeCon + CloudNativeCon Japan 2026 (일본 요코하마)
2026년 11월: KubeCon + CloudNativeCon North America 2026 (미국 솔트레이크시티)

전체 이벤트 목록은 여기에서 확인할 수 있습니다.

릴리스 웨비나 예정

**2026년 5월 20일 수요일 오후 4:00 (UTC)**에 열리는 v1.36 릴리스 하이라이트 웨비나에 참여하세요. 등록은 CNCF 온라인 프로그램 사이트에서 가능합니다.

참여하기

Kubernetes에 기여하는 가장 쉬운 방법은 관심 있는 SIG(Special Interest Group)에 가입하는 것입니다.

Bluesky 팔로우: @kubernetes.io
커뮤니티 토론: Discuss
슬랙: Slack
블로그: Kubernetes Blog

지속적인 피드백과 지원에 감사드립니다.