スペインでCloudflareのサッカー関連ブロックによりDocker Pullが失敗

 (news.ycombinator.com)
1 ポイント 投稿者 GN⁺ 17 일 전 | 1件のコメント | WhatsAppで共有
  • スペイン地域で Dockerイメージのダウンロード(docker pull リクエストがブロックされる現象が発生
  • 原因は Cloudflareのサッカー試合中継に関するブロックポリシー がDocker Hubトラフィックにも影響したためと確認
  • このブロックにより 開発環境の構築およびデプロイ自動化プロセス が一時的に中断される問題が発生
  • ネットワーク経路上でCloudflareが 誤ったドメインフィルタリング を行ったものと推定される
  • グローバルCDNのブロックポリシーが 開発インフラ運用にも直接的な影響を及ぼし得る ことを示す事例

スペイン地域で発生したDocker Hubアクセス遮断

  • スペイン国内の一部ネットワークで Docker Hubのイメージダウンロード要求が失敗 する事例が報告された
  • トラフィックが Cloudflareを経由する区間で遮断 されたことが確認された
  • 遮断理由は サッカー試合の違法配信防止のためのCloudflareのフィルタリングポリシー が誤作動したためとされる

開発環境への影響

  • Docker Hubへのアクセスが遮断されたことで CI/CDパイプラインおよび自動デプロイプロセスが中断 する問題が発生
  • ローカル開発環境でも 必須イメージのダウンロード失敗 により新規コンテナを起動できない状況が発生
  • 一時的なネットワークポリシーの変更が 世界中の開発インフラ運用に直接的な障害 を引き起こし得ることを示している

関連記事

1件のコメント

 
GN⁺ 17 일 전
Hacker Newsのコメント

  • 私のISPはそのIP宛てのトラフィックを完全にドロップしている。pingもtracerouteも通らず、ブラウザは延々と読み込み続けた末に「ページが見つかりません」で終わる。
    LaLigaはこうした問題を「一部のオタクだけが困る些細なこと」として無視している。だが実際には、スマートホーム機器認知症患者追跡アプリのようなサービスが試合中に止まってしまう事例がある。例えば、ある女性が父親を見つけられず助けを求めた事件があった(記事リンク
    こんなことは起きるべきではないが、こうした現実の被害が出て初めて、大衆が検閲問題の深刻さを認識するという現実が悲しい

    • 中国のGFW(グレート・ファイアウォール)も似たように動く。DNSブロックというより、インターネットがどこか中途半端に壊れているように感じられる。意図せずブロックされるサイトも多く、ルーティングの問題も頻繁に起きる。
      こうした検閲体制は国家や企業に利益をもたらすこともあるが、結局は通信インフラの崩壊を自ら招いている。自由の問題だけでなく、私たちが苦労して築いてきたインターネットそのものを壊している点を考えるべきだ
    • 被害を受けた人たちは、ISPとOficina de Atención al Usuario de Telecomunicacionesに苦情を申し立て、金銭的損失への補償を求めるべきだ
    • LaLigaの行動はばかげているが、今回の件をきっかけにCloudflareへの集中の危険性を改めて考えるべきだ
    • 問題の根本原因は、インターネットが切れると文鎮化してしまうIoT機器の設計不良にある
    • CI作業にVPNを入れることも検討すべき時だ

  • LaLigaの試合中はCloudflare R2全体がブロックされ、Docker Hubも**巻き添え被害(collateral)**を受ける。CF経由でプロキシされるすべてのサービスが止まる。
    試合中かどうか確認できるサイト hayahora.futbol がある。ここで自分のドメインが影響を受けるかも確認できる

    • なぜこんなことをするのかわからない。スペイン語がわからないので理由を理解しにくいらしい
    • サイト背景のシェーダー効果が印象的だ。Shadertoyの例のように、Web開発者の通過儀礼みたいなものだ

  • HNではLaLigaのブロックへの怒りがたびたび見られるが、変化はない
    私はスペインに住んでいないが、次のような段階が必要だと思う。

    1. 被害事例を共有するオンラインコミュニティ(Telegram、Discord、subredditなど)を作る
    2. 法的根拠と対応策を整理したWikiを構築する
    3. 一般人にも理解できるブラックアウト日程と影響説明サイトを運営する
    4. 政治的行動につながる請願制度を活用する — 例えばポルトガルの公式請願システムのように
      要求事項としては、LaLigaによるインターネット料金の補償、あるいは試合開始・終了時に「インターネット接続制限のお知らせ」字幕を挿入することなどを提案できる

  • こうしたIP全体ブロックは本当に非効率な取り締まり方法だ。Cloudflareは数十万のサービスを共有IPで運用しているため、1つを止めるとDockerレジストリやAPIまで一緒に麻痺する。
    一時的な回避策としては、スペイン国外のVPSにpull-through registry cacheを置き、Dockerデーモンをそちらにつなぐ方法がある。こうすればブロックを避けられ、Docker Hubのrate limitも回避できる。
    サッカー配信の取り締まり命令ひとつで国全体のdocker pullが止まるというのは、本当にあきれた現実

    • 実際にはIP全体ブロックではなく、DNS・IPハイジャックを試みる方式だ。証明書の不一致で大半は失敗するが、結果としては同じくアクセス不能になる。
    • 次はAzureまで止めて、LaLiga公式サイトまで落ちるかもしれない

  • インターネット大手が訴訟を起こさない限り、この状況は変わらなさそうだ。
    誰かスペインを舞台にしたハイスト映画を書くべきだ — 試合中のLaLigaのブロックを利用してセキュリティ網を突破する設定で

  • これはまるで、ある人の家に水漏れ問題があるからといって街全体の水道を止めるようなものだ。社会的被害のほうがはるかに大きい。

    • もしこれがスペイン政府の最悪の行為だと思うなら、Catalunyaの人権侵害事例を調べてみるといい(関連リンク

  • スペイン在住者として、私も同じ問題を経験している。解決策はVPNの利用またはDNSサーバーの変更だ。
    CloudflareのDNSは**EDNS Client Subnet(ECS)**を使って地域ごとに異なるIPを返す。スペイン国外のリゾルバやDoH/DoTを使えば、ブロックされていないIPを取得できる。AdGuard DNSがうまく動く

  • 人間は新しい政策をきちんと実験せずに導入しがちだ。こうしたブロック政策も同じだ。

    • まず小規模テストを行うべきだ
    • 政策の影響を受けた人のためのフィードバック経路を設けるべきだ(HTTP 451コードではっきり示すなど)
    • 政策には見直し時期を明記すべきだ
      こうした原則はあらゆる政策設計に適用すべきだ

  • LaLigaの試合中にドメインやIPをブロックするのは、もはや日常的なルーチンになってしまっている。
    類似事例としては、「スペインで試合中にゲームサーバーがブロックされたケース」(リンク)や「LaLigaがfreedom.govへのアクセスをブロックした事例」(リンク)がある

  • スペイン人として、いっそCloudflareがスペイン向けサービスを停止してくれたほうがいいと思う。国際的な圧力がなければこの乱用は終わらない気がする。

    • せめて1日くらいは「認識向上の日」として、実際の試合のように同じIPをブロックするイベントをやってほしい。でも契約上無理だろう
    • 別のスペイン人として、完全に同意する。この状況は本当にひどい