En Espagne, des blocages de Cloudflare liés au football provoquent l’échec de `docker pull`

 (news.ycombinator.com)
1 points par GN⁺ 21 일 전 | 1 commentaires | Partager sur WhatsApp
  • En Espagne, des requêtes de téléchargement d’images Docker (docker pull) ont été bloquées
  • La cause identifiée est que la politique de blocage de Cloudflare liée à la diffusion de matchs de football a aussi affecté le trafic de Docker Hub
  • Ce blocage a temporairement interrompu la mise en place d’environnements de développement et les processus d’automatisation du déploiement
  • Il est supposé que Cloudflare a effectué un filtrage erroné de domaines sur le trajet réseau
  • Un cas qui montre que les politiques globales de blocage d’un CDN peuvent avoir un impact direct sur l’exploitation des infrastructures de développement

Blocage de l’accès à Docker Hub observé en Espagne

  • Des cas d’échec des requêtes de téléchargement d’images depuis Docker Hub ont été signalés sur certains réseaux en Espagne
  • Il a été confirmé que le trafic était bloqué dans une portion du trajet passant par Cloudflare
  • La raison du blocage serait un dysfonctionnement de la politique de filtrage de Cloudflare destinée à empêcher la diffusion illégale de matchs de football

Impact sur les environnements de développement

  • Le blocage de l’accès à Docker Hub a provoqué l’arrêt des pipelines CI/CD et des processus de déploiement automatisé
  • Même dans les environnements de développement locaux, l’échec du téléchargement des images nécessaires a empêché le lancement de nouveaux conteneurs
  • Cela montre qu’un changement temporaire de politique réseau peut provoquer directement des perturbations dans l’exploitation des infrastructures de développement à l’échelle mondiale

À lire aussi

1 commentaires

 
GN⁺ 21 일 전
Réactions sur Hacker News

  • Mon FAI bloque carrément le trafic vers cette IP. Ni ping ni traceroute ne passent, et le navigateur reste simplement en chargement avant d’afficher « page introuvable »
    LaLiga balaie ce problème en disant qu’il ne s’agit que d’un désagrément mineur qui ne touche que « quelques geeks ». Mais en réalité, des services comme des appareils domotiques ou des applications de suivi pour patients atteints de démence cessent de fonctionner pendant les matchs. Par exemple, il y a eu le cas d’une femme qui a demandé de l’aide parce qu’elle n’arrivait pas à retrouver son père (lien vers l’article)
    Cela ne devrait jamais arriver, mais il est triste de constater qu’il faut des préjudices concrets dans la vie réelle pour que le public prenne conscience de la gravité de la censure

    • Le GFW (Grand Firewall) chinois fonctionne de façon similaire. Ce n’est pas juste un blocage DNS, cela donne plutôt l’impression qu’Internet est cassé de manière incomplète quelque part. Il y a aussi beaucoup de sites bloqués par inadvertance, et des problèmes de routage fréquents
      Ce type de système de censure peut parfois servir les intérêts d’un État ou d’une entreprise, mais au final nous sommes en train de provoquer nous-mêmes l’effondrement de l’infrastructure de communication. Ce n’est pas seulement une question de liberté : il faut aussi penser au fait que nous sommes en train de démanteler l’Internet lui-même, que nous avons mis tant d’efforts à construire
    • Les personnes touchées devraient déposer plainte auprès de leur FAI et de l’Oficina de Atención al Usuario de Telecomunicaciones pour demander une indemnisation des pertes financières subies
    • Le comportement de LaLiga est absurde, mais cette affaire devrait aussi nous amener à repenser les risques de la centralisation autour de Cloudflare
    • La cause profonde du problème, c’est la mauvaise conception des appareils IoT, qui deviennent inutilisables dès que l’accès à Internet est coupé
    • Il est peut-être temps d’envisager d’ajouter un VPN dans les jobs CI

  • Pendant les matchs de LaLiga, c’est tout Cloudflare R2 qui est bloqué, et Docker Hub subit aussi des dommages collatéraux. Tous les services proxifiés via CF s’arrêtent
    Il existe un site, hayahora.futbol, pour vérifier si un match est en cours. On peut aussi y vérifier si son domaine est affecté

    • Je ne comprends pas pourquoi ils font ça. Comme je ne parle pas espagnol, j’ai du mal à saisir la raison
    • L’effet shader en arrière-plan du site est impressionnant. On dirait presque un rite de passage pour les développeurs web, comme les exemples sur Shadertoy

  • Sur HN, on voit souvent de la colère contre les blocages de LaLiga, mais rien ne change
    Je ne vis pas en Espagne, mais j’ai l’impression qu’il faudrait passer par les étapes suivantes

    1. créer une communauté en ligne (Telegram, Discord, subreddit, etc.) pour partager les cas affectés
    2. mettre en place un wiki récapitulant la base juridique et les moyens de réponse
    3. faire tourner un site expliquant le calendrier des blackouts et leurs effets dans des termes compréhensibles par le grand public
    4. utiliser les mécanismes de mobilisation politique, par exemple un système de pétition comme le système officiel portugais
      Parmi les demandes possibles : une compensation des frais Internet par LaLiga, ou l’ajout d’un bandeau « restriction de la connexion Internet en cours » au début et à la fin des matchs

  • Ce genre de blocage d’IP en masse est une méthode de répression vraiment inefficace. Cloudflare fait tourner des centaines de milliers de services sur des IP partagées, donc en en bloquant un, on paralyse aussi des registres Docker et des API
    Comme solution temporaire, on peut placer un pull-through registry cache sur un VPS hors d’Espagne et configurer le démon Docker pour l’utiliser. Cela permet à la fois de contourner le blocage et d’éviter les rate limits de Docker Hub
    Qu’un simple ordre de répression contre le streaming de football puisse interrompre les docker pull de tout un pays est une réalité franchement hallucinante

    • En pratique, ce n’est pas un blocage total d’IP mais une tentative d’interception DNS et IP. Cela échoue le plus souvent à cause des incohérences de certificat, mais au final le résultat est le même : service inaccessible
    • À ce rythme, la prochaine étape sera peut-être de bloquer aussi Azure, ce qui mettra hors ligne le site officiel de LaLiga lui-même

  • À moins qu’un grand acteur de l’Internet n’engage une action en justice, il est peu probable que la situation change.
    Quelqu’un devrait écrire un film de casse se déroulant en Espagne, où des personnages profitent des blocages de LaLiga pendant les matchs pour percer des systèmes de sécurité

  • C’est comme couper l’eau de toute une ville parce qu’il y a une fuite dans la maison d’une seule personne. Les dégâts pour la société sont bien plus importants

    • Si vous pensez que c’est là le pire comportement du gouvernement espagnol, on vous conseille de regarder les atteintes aux droits humains en Catalogne (lien connexe)

  • En tant que résident espagnol, je subis moi aussi le même problème. Les solutions sont d’utiliser un VPN ou de changer de serveur DNS
    Le DNS de Cloudflare utilise EDNS Client Subnet (ECS) pour renvoyer des IP différentes selon la région. En utilisant un résolveur hors d’Espagne, ou bien DoH/DoT, on peut obtenir une IP non bloquée. AdGuard DNS fonctionne bien

  • Les humains ont tendance à mettre en place de nouvelles politiques sans les tester correctement. Cette politique de blocage ne fait pas exception

    • Il faut d’abord passer par des tests à petite échelle
    • Il faut prévoir un canal de retour pour les personnes affectées par la politique (par exemple avec un code HTTP 451 explicite)
    • Il faut indiquer dans la politique une date de réexamen
      Ces principes devraient s’appliquer à toute conception de politique publique

  • Bloquer des domaines et des IP pendant les matchs de LaLiga est désormais devenu une routine ordinaire
    Parmi les cas similaires, on peut citer « des serveurs de jeu bloqués en Espagne pendant les matchs » (lien) et « le cas où LaLiga a bloqué l’accès à freedom.gov » (lien)

  • En tant qu’Espagnol, j’aimerais presque que Cloudflare suspende ses services en Espagne. Sans pression internationale, il semble que ces abus ne cesseront jamais

    • À défaut, on pourrait au moins désigner une journée comme une « journée de sensibilisation » et organiser un événement bloquant les mêmes IP que pendant les vrais matchs. Mais cela serait probablement impossible contractuellement
    • Un autre Espagnol ici, et je suis entièrement d’accord. La situation est vraiment absurde