การบล็อกทราฟฟิกเกี่ยวกับฟุตบอลของ Cloudflare ในสเปนทำให้ Docker Pull ล้มเหลว

 (news.ycombinator.com)
1 คะแนน โดย GN⁺ 17 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เกิดปัญหาที่คำขอ ดาวน์โหลดอิมเมจ Docker (docker pull) ถูกบล็อกในพื้นที่สเปน
  • พบว่าสาเหตุมาจาก นโยบายการบล็อกของ Cloudflare ที่เกี่ยวข้องกับการถ่ายทอดสดฟุตบอล ซึ่งส่งผลกระทบต่อทราฟฟิกของ Docker Hub ด้วย
  • การบล็อกดังกล่าวทำให้เกิดปัญหาที่ กระบวนการตั้งค่าสภาพแวดล้อมการพัฒนาและระบบอัตโนมัติในการดีพลอย หยุดชะงักชั่วคราว
  • คาดว่า Cloudflare ได้ทำ การกรองโดเมนผิดพลาด บนเส้นทางเครือข่าย
  • เป็นกรณีตัวอย่างที่แสดงให้เห็นว่า นโยบายการบล็อกของ CDN ระดับโลกอาจส่งผลกระทบโดยตรงต่อการดำเนินงานของโครงสร้างพื้นฐานสำหรับนักพัฒนาได้

การบล็อกการเข้าถึง Docker Hub ที่เกิดขึ้นในสเปน

  • มีรายงานว่าบางเครือข่ายในสเปน ไม่สามารถดาวน์โหลดอิมเมจจาก Docker Hub ได้สำเร็จ
  • ยืนยันแล้วว่าทราฟฟิกถูก บล็อกในช่วงที่วิ่งผ่าน Cloudflare
  • ทราบว่าสาเหตุของการบล็อกคือ นโยบายการกรองของ Cloudflare เพื่อป้องกันการถ่ายทอดสดฟุตบอลแบบผิดกฎหมาย ทำงานผิดพลาด

ผลกระทบต่อสภาพแวดล้อมการพัฒนา

  • เมื่อการเข้าถึง Docker Hub ถูกบล็อก จึงเกิดปัญหาที่ CI/CD pipeline และกระบวนการดีพลอยอัตโนมัติหยุดชะงัก
  • แม้แต่ในสภาพแวดล้อมการพัฒนาแบบโลคัล ก็เกิดสถานการณ์ที่ ไม่สามารถรันคอนเทนเนอร์ใหม่ได้ เนื่องจากดาวน์โหลดอิมเมจที่จำเป็นไม่สำเร็จ
  • แสดงให้เห็นว่าการเปลี่ยนแปลงนโยบายเครือข่ายเพียงชั่วคราว สามารถก่อให้เกิดเหตุขัดข้องโดยตรงต่อการดำเนินงานของโครงสร้างพื้นฐานการพัฒนาทั่วโลกได้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 17 일 전
ความคิดเห็นจาก Hacker News

  • ISP ของฉันถึงขั้น ทิ้ง ทราฟฟิกไปยัง IP นั้นเลย ทั้ง ping และ traceroute ใช้ไม่ได้ ส่วนเบราว์เซอร์ก็แค่โหลดค้างก่อนจะจบด้วย “ไม่พบหน้าเว็บ”
    LaLiga เมินปัญหานี้โดยบอกว่าเป็น “เรื่องเล็กน้อยที่เกิดกับแค่พวก เนิร์ด บางคน” แต่ในความเป็นจริงมีกรณีที่บริการอย่าง อุปกรณ์สมาร์ตโฮม หรือ แอปติดตามผู้ป่วยสมองเสื่อม หยุดทำงานระหว่างการแข่งขัน ตัวอย่างเช่นเคยมีเหตุการณ์ที่ผู้หญิงคนหนึ่งตามหาพ่อไม่เจอจนต้องขอความช่วยเหลือ (ลิงก์ข่าว)
    เรื่องแบบนี้ไม่ควรเกิดขึ้นเลย แต่ก็น่าเศร้าที่ดูเหมือนต้องมี ความเสียหายในชีวิตจริง เสียก่อน ผู้คนถึงจะตระหนักถึงความร้ายแรงของปัญหาการเซ็นเซอร์

    • GFW (Great Firewall) ของจีน ก็ทำงานคล้ายกัน ไม่ใช่การบล็อก DNS ตรง ๆ แต่เป็นความรู้สึกว่าอินเทอร์เน็ต พังแบบไม่สมบูรณ์ อยู่ที่ไหนสักแห่ง เว็บไซต์ที่ถูกบล็อกโดยไม่ตั้งใจก็มีมาก และปัญหาเรื่อง routing ก็เกิดบ่อย
      ระบบเซ็นเซอร์แบบนี้อาจเป็นประโยชน์ต่อรัฐหรือบริษัทในบางครั้ง แต่สุดท้ายเรากำลังเร่งให้เกิด การพังทลายของโครงสร้างพื้นฐานการสื่อสาร เอง ไม่ใช่แค่เรื่องเสรีภาพ แต่ต้องคิดด้วยว่าเรากำลังทำลายอินเทอร์เน็ตที่สร้างกันมาอย่างยากลำบาก
    • คนที่ได้รับผลกระทบควรยื่นเรื่องร้องเรียนต่อ ISP และ Oficina de Atención al Usuario de Telecomunicaciones เพื่อเรียกร้องค่าชดเชยสำหรับความเสียหายทางการเงิน
    • การกระทำของ LaLiga นั้นเหลวไหล แต่เหตุการณ์นี้ก็ควรทำให้เรากลับมาคิดถึงความเสี่ยงของการ รวมศูนย์อยู่ที่ Cloudflare อีกครั้ง
    • ต้นตอของปัญหาจริง ๆ คือ การออกแบบอุปกรณ์ IoT ที่ย่ำแย่ ซึ่งจะกลายเป็นก้อนอิฐทันทีเมื่ออินเทอร์เน็ตล่ม
    • ถึงเวลาที่ควรพิจารณาใส่ VPN เข้าไปในงาน CI แล้ว

  • ระหว่างการแข่งขัน LaLiga มีการบล็อกทั้ง Cloudflare R2 ทำให้ Docker Hub กลายเป็น ความเสียหายลูกหลง (collateral) ไปด้วย บริการทุกอย่างที่ถูกพร็อกซีผ่าน CF หยุดทำงาน
    มีเว็บไซต์ hayahora.futbol สำหรับเช็กว่ากำลังมีการแข่งขันอยู่หรือไม่ และยัง ตรวจสอบได้ ด้วยว่าโดเมนของตัวเองได้รับผลกระทบหรือเปล่า

    • ไม่เข้าใจว่าทำไมถึงทำแบบนี้ บางคนบอกว่าตัวเองไม่รู้ภาษาสเปน เลยเข้าใจเหตุผลได้ยาก
    • เอฟเฟ็กต์ shader บนพื้นหลังเว็บน่าประทับใจ เหมือนเป็นพิธีผ่านทางของนักพัฒนาเว็บ คล้าย ตัวอย่างใน Shadertoy

  • ใน HN มักเห็นความโกรธต่อการบล็อกของ LaLiga อยู่บ่อย ๆ แต่ ไม่มีอะไรเปลี่ยนแปลง
    ฉันไม่ได้อาศัยอยู่ในสเปน แต่คิดว่าจำเป็นต้องมีขั้นตอนแบบนี้

    1. สร้าง ชุมชนออนไลน์ สำหรับแชร์กรณีความเสียหาย (Telegram, Discord, subreddit ฯลฯ)
    2. สร้าง วิกิ ที่รวบรวมฐานกฎหมายและแนวทางรับมือ
    3. เปิดเว็บอธิบาย ตาราง blackout และผลกระทบ ให้คนทั่วไปเข้าใจได้
    4. ใช้ระบบคำร้องที่อาจนำไปสู่ การเคลื่อนไหวทางการเมือง — เช่น ระบบคำร้องอย่างเป็นทางการ ของโปรตุเกส
      ข้อเรียกร้องอาจเป็นการให้ LaLiga ชดเชยค่าอินเทอร์เน็ต หรือแทรกคำบรรยาย “มีข้อจำกัดการเชื่อมต่ออินเทอร์เน็ต” ตอนเริ่มและจบการแข่งขัน

  • การ บล็อกทั้ง IP แบบนี้เป็นวิธีบังคับใช้ที่ไร้ประสิทธิภาพมาก Cloudflare ให้บริการหลายแสนบริการบน shared IP ดังนั้นพอบล็อกหนึ่งอย่าง ก็ทำให้ Docker registry หรือ API ใช้งานไม่ได้ไปด้วย
    ทางแก้ชั่วคราวคือวาง pull-through registry cache ไว้บน VPS นอกสเปน แล้วตั้งค่า Docker daemon ให้เชื่อมไปทางนั้น แบบนี้จะทั้งหลบการบล็อกและเลี่ยง rate limit ของ Docker Hub ได้
    แค่คำสั่งปราบสตรีมฟุตบอลฉบับเดียวกลับทำให้ docker pull ใช้งานไม่ได้ทั้งประเทศ นี่มันเป็น ความจริงที่เหลือเชื่อ มาก

    • จริง ๆ แล้วไม่ใช่การบล็อกทั้ง IP ตรง ๆ แต่เป็นการพยายาม ดัก DNS และ IP ซึ่งส่วนใหญ่ล้มเหลวเพราะ certificate ไม่ตรงกัน แต่ผลลัพธ์สุดท้ายก็คือเข้าไม่ได้เหมือนเดิม
    • รอบหน้าอาจถึงขั้นบล็อก Azure จนเว็บทางการของ LaLiga ล่มไปด้วยก็ได้

  • ถ้าบริษัทยักษ์ใหญ่บนอินเทอร์เน็ตไม่ยื่นฟ้อง สถานการณ์นี้ก็คงไม่เปลี่ยน
    น่าจะมีใครสักคนเขียน หนังปล้น ที่มีฉากหลังเป็นสเปน — โดยใช้การบล็อกของ LaLiga ระหว่างการแข่งขันเป็นช่องทางเจาะระบบรักษาความปลอดภัย

  • มันเหมือนกับว่าบ้านหลังหนึ่งมี ปัญหาน้ำรั่ว แล้วเมืองทั้งเมืองกลับไปปิดน้ำประปาทั้งหมด ความเสียหายต่อสังคมใหญ่กว่ามาก

    • ถ้าคิดว่านี่คือการกระทำที่แย่ที่สุดของรัฐบาลสเปน ก็ลองไปดู กรณีละเมิดสิทธิมนุษยชนใน Catalunya (ลิงก์ที่เกี่ยวข้อง)

  • ในฐานะคนที่อาศัยอยู่ในสเปน ฉันก็เจอปัญหาเดียวกัน วิธีแก้คือ ใช้ VPN หรือ เปลี่ยน DNS server
    DNS ของ Cloudflare ใช้ EDNS Client Subnet (ECS) เพื่อคืนค่า IP ต่างกันตามภูมิภาค ถ้าใช้ resolver นอกสเปนหรือ DoH/DoT ก็จะได้ IP ที่ยังไม่ถูกบล็อก AdGuard DNS ใช้งานได้ดี

  • มนุษย์มีแนวโน้มจะออกนโยบายใหม่โดย ไม่ทดลองให้ดีเสียก่อน และนโยบายบล็อกแบบนี้ก็เหมือนกัน

    • ควรเริ่มจาก การทดสอบขนาดเล็ก ก่อน
    • ควรมี ช่องทางรับฟีดแบ็ก สำหรับคนที่ได้รับผลกระทบจากนโยบาย (เช่น แสดงให้ชัดเจนด้วย HTTP 451)
    • ควรกำหนด เวลาทบทวนนโยบาย ไว้ชัดเจน
      หลักการเหล่านี้ควรถูกนำไปใช้กับการออกแบบนโยบายทุกประเภท

  • การบล็อกโดเมนและ IP ระหว่างการแข่งขัน LaLiga กลายเป็น กิจวัตรประจำวัน ไปแล้ว
    กรณีคล้ายกันมีเช่น “การบล็อกเกมเซิร์ฟเวอร์ในสเปนระหว่างการแข่งขัน” (ลิงก์) และ “กรณีที่ LaLiga บล็อกการเข้าถึง freedom.gov” (ลิงก์)

  • ในฐานะคนสเปน ฉันกลับหวังว่า Cloudflare จะ ระงับบริการในสเปน ไปเลย ถ้าไม่มีแรงกดดันจากนานาชาติ การ ใช้อำนาจในทางที่ผิด นี้ก็คงไม่จบ

    • อย่างน้อยน่าจะกำหนดสักวันเป็น “วันสร้างการตระหนักรู้” แล้วจัดอีเวนต์บล็อก IP แบบเดียวกับการแข่งขันจริง แต่ก็คงทำไม่ได้เพราะติดข้อสัญญา
    • ในฐานะคนสเปนอีกคน ฉันเห็นด้วยเต็มที่ สถานการณ์นี้มัน ไร้สาระ จริง ๆ