In Spanien schlägt `docker pull` wegen Cloudflares fußballbezogener Sperre fehl

 (news.ycombinator.com)
1 Punkte von GN⁺ 17 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • In Spanien kommt es zu einem Phänomen, bei dem Anfragen zum Herunterladen von Docker-Images (docker pull) blockiert werden
  • Als Ursache wurde bestätigt, dass Cloudflares Sperrrichtlinie im Zusammenhang mit der Übertragung von Fußballspielen auch den Traffic zu Docker Hub beeinträchtigte
  • Durch diese Sperre kam es zu Problemen, bei denen der Aufbau von Entwicklungsumgebungen und automatisierte Deployment-Prozesse vorübergehend unterbrochen wurden
  • Es wird vermutet, dass Cloudflare auf dem Netzwerkpfad fehlerhaftes Domain-Filtering durchgeführt hat
  • Ein Beispiel dafür, dass globale CDN-Sperrrichtlinien auch den Betrieb von Entwicklungsinfrastruktur direkt beeinflussen können

In Spanien auftretende Zugriffssperre auf Docker Hub

  • Es wurden Fälle gemeldet, in denen in einigen Netzwerken in Spanien Anfragen zum Herunterladen von Images von Docker Hub fehlschlugen
  • Es wurde bestätigt, dass der Traffic in einem Abschnitt blockiert wurde, der über Cloudflare lief
  • Als Grund für die Sperre gilt eine Fehlfunktion von Cloudflares Filterrichtlinie zur Verhinderung illegaler Übertragungen von Fußballspielen

Auswirkungen auf die Entwicklungsumgebung

  • Da der Zugriff auf Docker Hub blockiert wurde, kam es zu Problemen, bei denen CI/CD-Pipelines und automatisierte Deployment-Prozesse unterbrochen wurden
  • Auch in lokalen Entwicklungsumgebungen entstand eine Situation, in der neue Container nicht gestartet werden konnten, weil der Download notwendiger Images fehlschlug
  • Dies zeigt, dass eine vorübergehende Änderung von Netzwerkrichtlinien direkt Störungen im Betrieb von Entwicklungsinfrastruktur weltweit verursachen kann

Verwandte Beiträge

1 Kommentare

 
GN⁺ 17 일 전
Hacker-News-Kommentare

  • Mein ISP droppt den Traffic zu dieser IP komplett. Weder Ping noch Traceroute funktionieren, und der Browser lädt einfach nur, bis am Ende „Seite nicht gefunden“ erscheint
    LaLiga tut solche Probleme als eine Kleinigkeit ab, die nur ein paar Nerds betreffe. Tatsächlich gibt es aber Fälle, in denen Dienste wie Smart-Home-Geräte oder Tracking-Apps für Demenzpatienten während eines Spiels ausfallen. So gab es etwa einen Fall, in dem eine Frau Hilfe suchte, weil sie ihren Vater nicht finden konnte (Artikel-Link)
    So etwas darf nicht passieren, aber es ist traurig, dass offenbar erst solcher Schaden im echten Leben nötig ist, damit die Öffentlichkeit die Schwere des Zensurproblems erkennt

    • Chinas GFW (Great Firewall) funktioniert ähnlich. Es ist keine reine DNS-Sperre, sondern fühlt sich eher so an, als wäre das Internet irgendwo unvollständig kaputt. Viele Seiten werden unbeabsichtigt blockiert, und Routing-Probleme treten ebenfalls häufig auf
      Solche Zensursysteme können für Staaten oder Unternehmen kurzfristig nützlich sein, aber letztlich treiben wir damit den Zusammenbruch der Kommunikationsinfrastruktur selbst voran. Es geht nicht nur um Freiheit, sondern auch darum, dass wir das Internet, das wir mühsam aufgebaut haben, selbst wieder einreißen
    • Betroffene sollten bei ihrem ISP und beim Oficina de Atención al Usuario de Telecomunicaciones Beschwerde einlegen und Entschädigung für finanzielle Verluste verlangen
    • Das Verhalten von LaLiga ist absurd, aber dieser Vorfall sollte uns auch die Risiken der Zentralisierung um Cloudflare noch einmal vor Augen führen
    • Die eigentliche Ursache des Problems ist das schlechte Design von IoT-Geräten, die zu einem nutzlosen Klotz werden, sobald das Internet ausfällt
    • Es ist vielleicht an der Zeit, auch für CI-Jobs ein VPN in Betracht zu ziehen

  • Während LaLiga-Spielen wird ganz Cloudflare R2 blockiert, und auch Docker Hub erleidet Kollateralschäden (collateral). Alle Dienste, die über CF geproxyt werden, fallen aus
    Es gibt die Seite hayahora.futbol, auf der man prüfen kann, ob gerade ein Spiel läuft. Dort kann man auch überprüfen, ob die eigene Domain betroffen ist

    • Ich verstehe nicht, warum sie so etwas tun. Da ich kein Spanisch kann, ist es schwer, die Begründung zu verstehen
    • Der Shader-Effekt im Hintergrund der Website ist beeindruckend. So etwas wirkt wie ein Initiationsritus für Webentwickler, ähnlich wie dieses Shadertoy-Beispiel

  • Auf HN sieht man oft Wut über die LaLiga-Sperren, aber es ändert sich nichts
    Ich lebe nicht in Spanien, aber ich denke, dass folgende Schritte nötig wären

    1. Eine Online-Community aufbauen, in der Betroffene ihre Fälle teilen können (Telegram, Discord, Subreddit usw.)
    2. Ein Wiki erstellen, das die rechtliche Grundlage und mögliche Gegenmaßnahmen zusammenfasst
    3. Eine Website betreiben, die auch für Laien verständlich Blackout-Zeiten und Auswirkungen erklärt
    4. Instrumente für politisches Handeln wie Petitionen nutzen — zum Beispiel nach dem Vorbild des offiziellen Petitionssystems in Portugal
      Als Forderungen könnte man etwa eine Erstattung der Internetkosten durch LaLiga oder die Einblendung eines Hinweises wie „Einschränkungen der Internetverbindung“ zu Beginn und Ende eines Spiels vorschlagen

  • Diese Art von vollständiger IP-Blockierung ist eine extrem ineffiziente Durchsetzungsmaßnahme. Cloudflare betreibt Hunderttausende Dienste auf gemeinsam genutzten IPs, daher legt man mit einer einzigen Sperre auch Docker-Registries und APIs lahm
    Als Workaround kann man auf einem VPS außerhalb Spaniens einen pull-through registry cache betreiben und den Docker-Daemon dorthin verbinden. So lässt sich die Sperre umgehen, und zugleich auch das Rate Limit von Docker Hub
    Dass ein einzelner Sperrbeschluss gegen Fußball-Streams dazu führt, dass im ganzen Land docker pull ausfällt, ist wirklich eine absurde Realität

    • Tatsächlich handelt es sich nicht um eine vollständige IP-Sperre, sondern eher um den Versuch von DNS-/IP-Abfangung. Wegen Zertifikatsfehlern schlägt das meistens fehl, aber das Ergebnis ist praktisch dasselbe: kein Zugriff
    • Als Nächstes sperren sie vielleicht noch Azure, und dann fällt sogar die offizielle Website von LaLiga aus

  • Solange kein großer Internetkonzern dagegen klagt, wird sich die Situation wohl nicht ändern.
    Jemand sollte einen Heist-Film schreiben, der in Spanien spielt — mit dem Setting, dass während eines Spiels die LaLiga-Sperren ausgenutzt werden, um ein Sicherheitsnetz zu umgehen

  • Das ist so, als würde man die Wasserversorgung einer ganzen Stadt abstellen, weil es in einem einzigen Haus ein Leck gibt. Der gesellschaftliche Schaden ist viel größer

    • Wer glaubt, das sei schon das Schlimmste, was der spanische Staat getan hat, sollte sich die Menschenrechtsverletzungen in Katalonien ansehen (relevanter Link)

  • Ich lebe in Spanien und habe dasselbe Problem. Lösungen sind die Nutzung eines VPN oder das Ändern des DNS-Servers
    Cloudflares DNS verwendet EDNS Client Subnet (ECS) und liefert je nach Region unterschiedliche IPs zurück. Nutzt man einen Resolver außerhalb Spaniens oder DoH/DoT, bekommt man möglicherweise eine nicht blockierte IP. AdGuard DNS funktioniert gut

  • Menschen führen neue Richtlinien oft ein, ohne sie ordentlich zu testen. Diese Sperrpolitik ist ein weiteres Beispiel dafür

    • Zuerst sollte man Tests im kleinen Rahmen durchführen
    • Es sollte einen Feedback-Kanal für Betroffene geben (zum Beispiel durch eine klare Kennzeichnung mit HTTP-Statuscode 451)
    • In einer Richtlinie sollte ein Zeitpunkt zur Überprüfung festgelegt sein
      Diese Prinzipien sollten auf jede Politikgestaltung angewendet werden

  • Das Sperren von Domains und IPs während LaLiga-Spielen ist inzwischen zu einer alltäglichen Routine geworden
    Ähnliche Fälle sind „In Spanien werden während Spielen Game-Server blockiert“ (Link) und „LaLiga blockierte den Zugriff auf freedom.gov“ (Link)

  • Als Spanier würde ich mir fast wünschen, dass Cloudflare seine Dienste in Spanien einstellt. Ohne internationalen Druck wird dieser Missbrauch wohl nicht enden

    • Wenigstens für einen Tag könnte man einen Tag des Bewusstseins ausrufen und ein Event veranstalten, bei dem wie bei echten Spielen dieselben IPs blockiert werden. Vertraglich ist das aber wohl unmöglich
    • Als weiterer Spanier stimme ich vollkommen zu. Diese Situation ist wirklich lächerlich