เหตุขัดข้องของ Tailscale.com เมื่อวันที่ 7 มีนาคม 2024

 (tailscale.com)
2 คะแนน โดย GN⁺ 2024-04-01 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

เกี่ยวกับการหยุดให้บริการของ Tailscale.com เมื่อวันที่ 7 มีนาคม 2024

  • เมื่อวันที่ 7 มีนาคม 2024 Tailscale.com ไม่สามารถเข้าถึงได้เป็นเวลาประมาณ 90 นาที เนื่องจากใบรับรอง TLS หมดอายุ
  • ปัญหานี้ถูกระบุและแก้ไขได้อย่างรวดเร็ว และส่งผลกระทบหลักกับสื่อการตลาดและเอกสาร
  • การหยุดให้บริการโดยไม่คาดคิดถือเป็นปัญหา และต้องการอธิบายสาเหตุ ผลกระทบ และมาตรการป้องกันไม่ให้เกิดซ้ำ

สิ่งที่เกิดขึ้น

  • ในเดือนธันวาคม 2023 ได้มีการปรับปรุงเว็บไซต์ครั้งใหญ่ รวมถึงการย้ายไปยังผู้ให้บริการโฮสติ้งรายใหม่
  • เนื่องจากผู้ให้บริการโฮสติ้งไม่รองรับ IPv6 โดยปริยาย จึงได้ใช้งานพร็อกซีแยกต่างหากเพื่อจัดการคำขอ IPv6
  • การกำหนดค่านี้ถูกผู้ให้บริการโฮสติ้งมองว่าเป็น “การตั้งค่าที่ไม่ถูกต้อง” และมีการแจ้งเตือน แต่ไม่ได้ตระหนักว่าจะรบกวนการต่ออายุใบรับรองอัตโนมัติ
  • แม้จะมีตัวตรวจสอบที่คอยยืนยันการหมดอายุของใบรับรอง แต่ตรวจสอบผ่าน IPv6 เท่านั้น จึงตรวจพบเพียงใบรับรองที่ยังใช้ได้ซึ่งอยู่ภายใต้การจัดการของพร็อกซี และไม่สามารถตรวจจับการหมดอายุที่กำลังจะเกิดขึ้นได้

ผลกระทบ

  • การทำงานส่วนใหญ่ของ Tailscale ไม่จำเป็นต้องเข้าถึงเว็บไซต์หลัก ทำให้ผู้ใช้จำนวนมากยังสามารถใช้งานได้ตามปกติโดยไม่มีปัญหา
  • เอกสาร บล็อก และเอกสารอ้างอิงอื่น ๆ ไม่สามารถเข้าถึงได้ ส่วนคอนโซลผู้ดูแลระบบและหน้าการตั้งค่าไม่ได้รับผลกระทบ แต่ผู้ใช้ที่ไม่ทราบวิธีเข้าถึงโดยตรงอาจเข้าใจผิดว่าระบบออฟไลน์
  • สคริปต์ติดตั้งแบบด่วนไม่สามารถเข้าถึงได้ จึงรบกวนการติดตั้งบางส่วน รวมถึงการติดตั้งอัตโนมัติ
  • โดเมนที่ให้บริการแพ็กเกจ Tailscale ยังคงเข้าถึงได้ และผลกระทบต่อการแก้ปัญหาผ่านกลไก go get ของ Go ลดลงเหลือน้อยมากเพราะมีการแคชไว้

มาตรการแก้ไข

  • หลังจากระบุปัญหาได้แล้ว ได้ลบระเบียน AAAA “เพิ่มเติม” ออกชั่วคราว และต่ออายุใบรับรองนั้นด้วยตนเอง
  • จากนั้นได้กู้คืนระเบียนเพื่อคงการเข้าถึงเว็บไซต์และบริการผ่าน IPv6 ไว้
  • ในระยะสั้น มีแผนจะตั้งการแจ้งเตือนในปฏิทินหลายรายการแบบซ้ำซ้อน และกำหนดช่วงเวลาสำหรับการต่ออายุด้วยตนเองไว้โดยเฉพาะ
  • จะอัปเดตโครงสร้างพื้นฐานของตัวตรวจสอบให้ตรวจสอบ endpoint ของ IPv4 และ IPv6 แยกจากกัน
  • หวังว่าจะรองรับ IPv6 ได้โดยตรงมากขึ้นในโครงสร้างพื้นฐานเว็บไซต์ เพื่อให้ไม่จำเป็นต้องใช้พร็อกซี
  • ด้วยการออกแบบของ Tailscale ผู้ใช้ส่วนใหญ่จึงไม่ได้รับผลกระทบจากเหตุหยุดชะงักครั้งนี้สำหรับการใช้งานส่วนใหญ่

ความเห็นของ GN⁺

  • กรณีการหยุดให้บริการของ Tailscale เน้นย้ำความสำคัญของการจัดการโครงสร้างพื้นฐานไอที โดยเฉพาะอย่างยิ่งแสดงให้เห็นว่างานบำรุงรักษาพื้นฐานอย่างการต่ออายุใบรับรองมีความสำคัญเพียงใด
  • เหตุการณ์นี้ชี้ให้เห็นถึงความสำคัญของการรองรับ IPv6 ขณะเดียวกันก็สะท้อนถึงความจำเป็นของแนวทางที่สร้างสรรค์เพื่อแก้ปัญหาความเข้ากันได้กับโครงสร้างพื้นฐานเดิม
  • บริการอื่นที่ให้ความสามารถคล้ายกัน ได้แก่ Cloudflare และ Let's Encrypt ซึ่งมีฟังก์ชันต่ออายุใบรับรองอัตโนมัติเพื่อป้องกันปัญหาลักษณะเดียวกัน
  • เมื่อนำเทคโนโลยีมาใช้ ควรพิจารณาความเข้ากันได้ของโครงสร้างพื้นฐาน ความเป็นไปได้ในการทำงานอัตโนมัติ และความสะดวกในการบำรุงรักษา เหตุการณ์ลักษณะนี้แสดงให้เห็นว่าเหตุใดจึงต้องประเมินข้อดีและข้อเสียอย่างรอบคอบเมื่อเลือกเทคโนโลยี
  • บทความนี้อาจช่วยกระตุ้นให้ผู้ใช้และผู้ดูแลระบบตระหนักถึงงานดูแลระบบพื้นฐาน เช่น การหมดอายุของใบรับรอง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-04-01
ความคิดเห็นจาก Hacker News

  • ปัญหาใบรับรองที่กำลังจะหมดอายุ

    ใบรับรองที่กำลังจะหมดอายุกำลังก่อให้เกิดปัญหา DNS ขัดข้องครั้งใหม่ ผู้แสดงความคิดเห็นเล่าประสบการณ์การใช้ Tailscale เพื่อทำงานได้อย่างปลอดภัยจากทุกที่ โดยใช้ Tailscale เพื่อเข้าถึงเซิร์ฟเวอร์ on-premise และการตั้งค่า production บน AWS และแม้ Wi‑Fi ในเครื่องจะช้า ก็ยังแก้ปัญหาจากที่อื่นผ่าน SSH ได้ Tailscale ยังมีฟังก์ชันที่ช่วยให้มอบและเพิกถอนสิทธิ์เข้าถึงเครือข่ายได้ง่าย

  • ปัญหาที่เกิดจากใบรับรองหมดอายุ

    ปัญหาใบรับรองหมดอายุเกิดขึ้นอีกครั้ง มีข้อเสนอว่าในส่วนหนึ่งของ postmortem ควรแยกเส้นทางสำคัญของเว็บไซต์การตลาดออกจากระบบปฏิบัติการของลูกค้า พร้อมชี้ว่าการหยุดให้บริการของเว็บไซต์อย่าง GitHub หรือ Zendesk เกิดขึ้นบ่อยกว่าที่คิด

  • ปัญหาการเชื่อมโยงระหว่างเว็บไซต์การตลาดกับแอป

    มีการเล่าปัญหาที่เกิดจากการวางลิงก์หน้าเข้าสู่ระบบแอปไว้บนเว็บไซต์การตลาด เมื่อเว็บไซต์การตลาดล่ม ผู้ใช้อาจเข้าใจผิดว่าแอปก็ล่มไปด้วย หลายคนมักเดินตามเส้นทางที่ถูกจัดไว้ให้และไม่รู้ว่ามีเส้นทางอื่นอยู่

  • ความไม่พอใจต่อนโยบายราคา

    แม้จะชอบบริการของ Tailscale แต่ก็ขายให้ผู้บริหารได้ยาก เพราะการควบคุมสิทธิ์เข้าถึงที่เหมาะสมสำหรับ VPN มีราคาแพงถึง 18 ดอลลาร์ต่อเดือน ขณะที่แพ็กเกจระดับล่างหากไม่มีการควบคุมสิทธิ์เข้าถึงก็ยิ่งขายยาก

  • ข้อสงสัยเกี่ยวกับผู้ให้บริการเว็บไซต์

    มีการตั้งคำถามว่าผู้ให้บริการเว็บไซต์คือใคร และเหตุใดจึงต้องผ่านขั้นตอนที่ซับซ้อนเพราะไม่มีการรองรับ IPv6

  • คำชมต่อวัฒนธรรมวิศวกรรม

    มีการแสดงความชื่นชมที่สามารถทำอัปเดตใหญ่ในเดือนธันวาคมได้ โดยมี CI/CD และกระบวนการมอนิเตอร์ที่เชื่อถือได้รองรับ อย่างไรก็ตาม ยังมีคำถามที่ไม่ได้รับคำตอบ เช่น เหตุใดการต่ออายุใบรับรองจึงล้มเหลวเพราะปัญหาการตั้งค่า IPv6 เหตุใดการแก้ปัญหาจึงใช้เวลา 90 นาที และเหตุใดจึงยังไม่ย้ายไปใช้ผู้ให้บริการ DNS ที่รองรับ IPv6

  • ข้อสงสัยว่าทำไมต้องทำ TLS termination

    มีการตั้งคำถามว่า proxy จำเป็นต้องทำ TLS termination หรือไม่ หรือเพียงใช้ TCP proxy ธรรมดาก็น่าจะเพียงพอ ซึ่งหากใช้ TCP proxy ก็อาจทำให้ต่ออายุอัตโนมัติได้

  • การกล่าวถึงการแจ้งเตือนปฏิทินแบบเสียดสี

    ผู้แสดงความคิดเห็นชอบถ้อยคำเชิงขำขันเกี่ยวกับการตั้งการแจ้งเตือนในปฏิทินซ้ำหลายรายการแบบบรรพบุรุษของเรา

  • ความกังวลด้านความปลอดภัย

    มีการชี้ว่า หาก Tailscale พลาดเรื่องเล็กน้อยที่เกี่ยวข้องกับความปลอดภัยแม้เพียงครั้งเดียว ก็อาจถือว่าเสี่ยงเกินไปสำหรับคนที่มีความระแวงอยู่บ้าง และควรมีทางออกที่ดีกว่านี้

  • ข้อเสนอเรื่องการมอนิเตอร์โครงสร้างพื้นฐานและการต่ออายุอัตโนมัติ

    มีข้อเสนอว่าควรมีการมอนิเตอร์โครงสร้างพื้นฐาน และเพิ่มโค้ดที่เชื่อมต่อทั้ง IPv4 และ IPv6 สำหรับทุก public domain เพื่อแจ้งเตือนก่อนใบรับรองหมดอายุ 19 วัน โดยตั้งการต่ออายุอัตโนมัติไว้ที่ 20 วันก่อนหมดอายุเพื่อป้องกันการหยุดชะงักที่เกี่ยวข้องกับ SSL