Falha no Docker Pull na Espanha devido ao bloqueio relacionado a futebol pela Cloudflare

 (news.ycombinator.com)
1 pontos por GN⁺ 17 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Na Espanha, ocorreu um problema em que solicitações de download de imagens Docker (docker pull) estavam sendo bloqueadas
  • Foi confirmado que a causa foi que a política de bloqueio da Cloudflare relacionada à transmissão de partidas de futebol também afetou o tráfego do Docker Hub
  • Esse bloqueio causou a interrupção temporária da configuração de ambientes de desenvolvimento e dos processos de automação de deploy
  • Suspeita-se que a Cloudflare tenha realizado um filtro incorreto de domínios ao longo da rota de rede
  • Este é um caso que mostra que políticas globais de bloqueio em CDNs podem afetar diretamente a operação da infraestrutura de desenvolvimento

Bloqueio de acesso ao Docker Hub na Espanha

  • Foram relatados casos em que solicitações de download de imagens do Docker Hub falharam em algumas redes na Espanha
  • Foi confirmado que o tráfego foi bloqueado em trechos que passavam pela Cloudflare
  • O motivo do bloqueio teria sido um mau funcionamento da política de filtragem da Cloudflare para impedir transmissões ilegais de partidas de futebol

Impacto no ambiente de desenvolvimento

  • Com o acesso ao Docker Hub bloqueado, surgiram problemas de interrupção de pipelines de CI/CD e processos de deploy automatizado
  • Também em ambientes locais de desenvolvimento, a falha no download de imagens essenciais impediu a execução de novos contêineres
  • Isso mostra que mudanças temporárias em políticas de rede podem causar falhas diretas na operação da infraestrutura de desenvolvimento em todo o mundo

Leituras relacionadas

1 comentários

 
GN⁺ 17 일 전
Comentários do Hacker News

  • Meu ISP simplesmente derruba o tráfego para esse IP. Nem ping nem traceroute funcionam, e o navegador só fica carregando até terminar em “página não encontrada”
    A LaLiga trata isso como “um probleminha que só alguns nerds enfrentam”. Mas, na prática, há casos em que serviços como dispositivos de casa inteligente ou apps de rastreamento de pacientes com demência param de funcionar durante as partidas. Por exemplo, houve um caso em que uma mulher pediu ajuda por não conseguir localizar o pai (link da matéria)
    Isso não deveria acontecer, mas é triste que só quando surgem prejuízos reais no dia a dia o público passe a perceber a gravidade do problema da censura

    • O GFW (Grande Firewall) da China funciona de forma parecida. Não é só bloqueio de DNS; dá a sensação de que a internet está quebrada de maneira incompleta em algum lugar. Muitos sites acabam bloqueados sem querer, e problemas de roteamento são frequentes
      Esses sistemas de censura às vezes beneficiam governos ou empresas, mas no fim estamos provocando o colapso da infraestrutura de comunicação. Não é só uma questão de liberdade; também estamos desmontando a própria internet que construímos com tanto esforço
    • As pessoas afetadas por isso deveriam registrar reclamações junto ao ISP e à Oficina de Atención al Usuario de Telecomunicaciones e exigir compensação pelos prejuízos financeiros
    • A atitude da LaLiga é absurda, mas este caso também deveria servir para repensarmos os riscos da centralização em torno da Cloudflare
    • A causa raiz do problema está no mau design de dispositivos IoT que viram tijolos quando a internet cai
    • Já passou da hora de considerar colocar uma VPN nos jobs de CI

  • Durante jogos da LaLiga, toda a Cloudflare R2 é bloqueada, e o Docker Hub também vira dano colateral (collateral). Todos os serviços proxied via CF param
    Existe o site hayahora.futbol para verificar se há jogo acontecendo. Lá também dá para checar se o seu domínio está sendo afetado

    • Não entendo por que fazem isso. Dizem que, por não saber espanhol, é difícil entender a justificativa
    • O efeito de shader no fundo do site é impressionante. Parece um rito de passagem dos desenvolvedores web, tipo este exemplo do Shadertoy

  • No HN, a indignação com os bloqueios da LaLiga aparece com frequência, mas nada muda
    Eu não moro na Espanha, mas acho que seriam necessários os seguintes passos

    1. Criar uma comunidade online (Telegram, Discord, subreddit etc.) para compartilhar casos de impacto
    2. Montar uma wiki com a base legal e formas de reação
    3. Manter um site explicando o calendário dos apagões e seus impactos de forma compreensível para leigos
    4. Usar mecanismos de ação política como petições — por exemplo, como o sistema oficial de petições de Portugal
      Entre as reivindicações, poderiam estar compensação da LaLiga pela conta de internet, ou a inserção de avisos na transmissão no início e no fim do jogo informando “restrições na conexão de internet”

  • Esse tipo de bloqueio de IP inteiro é um método de repressão extremamente ineficiente. A Cloudflare opera centenas de milhares de serviços em IPs compartilhados, então bloquear um derruba junto registries do Docker e APIs
    Uma solução temporária seria colocar um pull-through registry cache em um VPS fora da Espanha e apontar o daemon do Docker para lá. Assim dá para evitar o bloqueio e também contornar o rate limit do Docker Hub
    É realmente absurdo que uma única ordem para reprimir streaming de futebol consiga parar o docker pull do país inteiro

    • Na prática, não é um bloqueio puro do IP inteiro, mas uma tentativa de interceptação de DNS e IP. Na maioria dos casos falha por incompatibilidade de certificado, mas o resultado final é o mesmo: sem acesso
    • Na próxima vão bloquear até a Azure e derrubar o site oficial da LaLiga também

  • A menos que alguma big tech da internet entre com processo, essa situação provavelmente não vai mudar.
    Alguém deveria escrever um filme de assalto ambientado na Espanha — com a trama usando os bloqueios da LaLiga durante os jogos para furar o perímetro de segurança

  • Isso é como fechar o abastecimento de água da cidade inteira porque uma única casa está com vazamento. O prejuízo social é muito maior

    • Se você acha que esse é o pior comportamento do governo espanhol, mandam procurar os casos de violações de direitos humanos na Catalunya (link relacionado)

  • Como morador da Espanha, eu também estou sofrendo com o mesmo problema. A solução é usar VPN ou trocar o servidor DNS
    O DNS da Cloudflare usa EDNS Client Subnet (ECS) para retornar IPs diferentes por região. Se você usar um resolver fora da Espanha ou DoH/DoT, pode receber um IP que não esteja bloqueado. O AdGuard DNS funciona bem

  • Os seres humanos têm a tendência de adotar novas políticas sem testá-las direito. Essas políticas de bloqueio são mais um exemplo

    • Primeiro, deveria haver testes em pequena escala
    • Também é preciso criar canais de feedback para as pessoas afetadas pela política (por exemplo, sinalizando claramente com código HTTP 451)
    • A política deveria indicar quando será revisada
      Esses princípios deveriam ser aplicados ao desenho de qualquer política pública

  • Bloquear domínios e IPs durante jogos da LaLiga já virou uma rotina normal
    Casos parecidos incluem “servidores de jogo bloqueados na Espanha durante partidas” (link) e “a LaLiga bloqueando o acesso a freedom.gov” (link)

  • Como espanhol, eu preferiria que a Cloudflare simplesmente suspendesse seus serviços na Espanha. Sem pressão internacional, esse abuso não vai acabar

    • No mínimo, poderiam instituir um “dia de conscientização” de umas 24 horas, com um evento bloqueando os mesmos IPs das partidas reais. Mas provavelmente seria inviável por contrato
    • Como outro espanhol, concordo totalmente. Essa situação é realmente ridícula