İspanya'da Cloudflare'ın futbol kaynaklı engellemesi Docker pull işlemlerinin başarısız olmasına yol açtı

 (news.ycombinator.com)
1 puan yazan GN⁺ 17 일 전 | 1 yorum | WhatsApp'ta paylaş
  • İspanya bölgesinde Docker imajı indirme (docker pull) isteklerinin engellendiği bir durum yaşandı
  • Nedebin, Cloudflare'ın futbol maçı yayınlarına yönelik engelleme politikasının Docker Hub trafiğini de etkilemesi olduğu doğrulandı
  • Bu engelleme nedeniyle geliştirme ortamı kurulumu ve dağıtım otomasyonu süreçleri geçici olarak durdu
  • Ağ güzergâhında Cloudflare'ın yanlış alan adı filtreleme yaptığı tahmin ediliyor
  • Bu olay, küresel CDN engelleme politikalarının geliştirme altyapısının işletimini de doğrudan etkileyebileceğini gösteriyor

İspanya bölgesinde yaşanan Docker Hub erişim engeli

  • İspanya'daki bazı ağlarda Docker Hub'ın imaj indirme isteklerinin başarısız olduğu vakalar bildirildi
  • Trafiğin Cloudflare üzerinden geçtiği bölümde engellendiği doğrulandı
  • Engelleme nedeninin, futbol maçlarının yasa dışı yayınını önlemeye yönelik Cloudflare filtreleme politikasının hatalı çalışması olduğu belirtiliyor

Geliştirme ortamına etkisi

  • Docker Hub erişimi engellenince CI/CD boru hatları ve otomatik dağıtım süreçleri durdu
  • Yerel geliştirme ortamlarında da gerekli imajların indirilememesi nedeniyle yeni container'ların çalıştırılamadığı durumlar ortaya çıktı
  • Bu durum, geçici ağ politikası değişikliklerinin küresel geliştirici altyapısının işletiminde doğrudan kesintilere yol açabileceğini gösteriyor

İlgili okumalar

1 yorum

 
GN⁺ 17 일 전
Hacker News görüşleri

  • Benim ISP’m ilgili IP’ye giden trafiği doğrudan drop ediyor. Ne ping ne traceroute çalışıyor, tarayıcı da sadece yükleniyor gibi görünüp sonunda “sayfa bulunamadı” hatası veriyor
    LaLiga bu tür sorunları “sadece birkaç inek insanın yaşadığı önemsiz bir şey” diye geçiştiriyor. Ama gerçekte maç sırasında akıllı ev cihazları ya da demans hastası takip uygulamaları gibi hizmetlerin durduğu vakalar var. Örneğin bir kadının babasını bulamayınca yardım istemek zorunda kaldığı bir olay yaşanmış (haber linki)
    Böyle bir şeyin hiç yaşanmaması gerekir, ama insanların sansür sorununun ciddiyetini ancak bu tür gerçek hayat zararları ortaya çıkınca fark etmesi üzücü

    • Çin’in GFW’si (Büyük Güvenlik Duvarı) da benzer şekilde çalışıyor. Mesele DNS engellemesi değil; internet sanki bir yerlerde kısmen bozulmuş gibi hissettiriyor. İstenmeden engellenen birçok site oluyor ve yönlendirme sorunları da sık yaşanıyor
      Bu tür sansür sistemleri bazen devletin ya da şirketlerin işine yarıyor olabilir, ama sonunda kendi elimizle iletişim altyapısının çöküşünü hazırlıyoruz. Bu sadece özgürlük meselesi değil; büyük emekle kurduğumuz internetin kendisini de yıkıyoruz
    • Bu durumdan zarar görenler ISP’ye ve Oficina de Atención al Usuario de Telecomunicaciones kurumuna şikayette bulunup maddi kayıpları için tazminat talep etmeli
    • LaLiga’nın yaptıkları saçma, ama bu olay vesilesiyle Cloudflare merkezileşmesinin risklerini de yeniden düşünmek gerekiyor
    • Sorunun temelinde, internet kesilince işe yaramaz hale gelen IoT cihazlarının kötü tasarımı var
    • CI işlerine VPN eklemeyi düşünmenin zamanı gelmiş olabilir

  • LaLiga maçları sırasında Cloudflare R2’nin tamamı engelleniyor ve Docker Hub da yan etki (collateral) olarak zarar görüyor. CF üzerinden proxy edilen tüm hizmetler duruyor
    O anda maç olup olmadığını gösteren hayahora.futbol diye bir site var. Buradan kendi alan adınızın etkilenip etkilenmediğini de kontrol edebilirsiniz

    • Neden böyle bir şey yaptıklarını anlamıyorum. İspanyolca bilmediğim için gerekçeyi kavramak zor diyor
    • Sitenin arka planındaki shader efekti etkileyici. Shadertoy örneği gibi, sanki web geliştiricilerin bir tür rite of passage’ı

  • HN’de LaLiga engellemelerine yönelik öfke sık sık görülüyor ama hiçbir değişiklik olmuyor
    İspanya’da yaşamıyorum ama bence şu adımlar gerekli

    1. Mağduriyet örneklerinin paylaşılacağı bir çevrimiçi topluluk kurmak (Telegram, Discord, subreddit vb.)
    2. Hukuki dayanakları ve yapılabilecekleri toparlayan bir wiki oluşturmak
    3. Sıradan insanların da anlayabileceği bir kararma takvimi ve etki açıklama sitesi işletmek
    4. siyasi eyleme dönüşebilecek dilekçe mekanizmalarını kullanmak — örneğin Portekiz’deki resmi dilekçe sistemi gibi
      Talepler arasında LaLiga’nın internet ücretlerini karşılaması ya da maç başlangıç/bitişlerinde “internet bağlantısı kısıtlaması uyarısı” altyazısı gösterilmesi önerilebilir

  • Bu tür IP’nin tamamını engelleme yöntemi gerçekten çok verimsiz bir denetim biçimi. Cloudflare yüz binlerce hizmeti paylaşımlı IP’ler üzerinde çalıştırdığı için, birini engelleyince Docker registry’leri ve API’ler de birlikte felç oluyor
    Geçici çözüm olarak, İspanya dışındaki bir VPS üzerinde pull-through registry cache kurup Docker daemon’unu oraya bağlamak mümkün. Bu sayede hem engel aşılır hem de Docker Hub rate limit kısıtlaması dolanılabilir
    Tek bir futbol yayını engelleme emriyle ülke çapında docker pull komutunun durması gerçekten akıl almaz bir durum

    • Aslında yapılan şey tüm IP’yi engellemekten ziyade DNS·IP ele geçirme/interception denemesi. Sertifika uyumsuzluğu nedeniyle çoğunlukla başarısız oluyor ama sonuçta yine erişim olmuyor
    • Bir dahaki sefere Azure’u da engelleyip LaLiga’nın resmi sitesini bile durdurabilirler

  • İnternet devleri dava açmadıkça bu durumun değişeceğini sanmıyorum.
    Birinin İspanya’da geçen bir soygun filmi yazması lazım — maç sırasında LaLiga’nın engellemelerini kullanarak güvenlik ağını aşma fikriyle

  • Bu, sanki bir kişinin evinde su sızıntısı var diye tüm şehrin suyunu kesmeye benziyor. Toplumsal zarar çok daha büyük

    • Eğer bunun İspanya hükümetinin yaptığı en kötü şey olduğunu düşünüyorsanız, Catalunya’daki insan hakları ihlalleri vakalarına bakın diyor (ilgili link)

  • İspanya’da yaşayan biri olarak ben de aynı sorunu yaşıyorum. Çözüm VPN kullanmak ya da DNS sunucusunu değiştirmek
    Cloudflare DNS, EDNS Client Subnet (ECS) kullanarak bölgeye göre farklı IP’ler döndürüyor. İspanya dışındaki resolver’ları ya da DoH/DoT kullanırsanız engellenmemiş IP alabilirsiniz. AdGuard DNS iyi çalışıyor

  • İnsanlar yeni politikaları gerektiği gibi test etmeden yürürlüğe koyma eğiliminde. Bu engelleme politikası da buna dahil

    • Önce küçük ölçekli testler yapılmalı
    • Politikadan etkilenenler için geri bildirim kanalları sağlanmalı (örneğin HTTP 451 koduyla açıkça göstermek gibi)
    • Politikada bir yeniden değerlendirme tarihi belirtilmeli
      Bu ilkeler tüm politika tasarımlarına uygulanmalı

  • LaLiga maçları sırasında alan adlarını ve IP’leri engellemek artık gündelik bir rutin haline geldi
    Benzer örnekler arasında “İspanya’da maç sırasında oyun sunucularının engellenmesi”(link) ve “LaLiga’nın freedom.gov erişimini engellemesi”(link) var

  • Bir İspanyol olarak, keşke Cloudflare İspanya’daki hizmetlerini askıya alsa diyorum. Uluslararası baskı olmadan bu kötüye kullanımın biteceğini sanmıyorum

    • En azından bir günlüğüne “farkındalık günü” ilan edilip, gerçek maçlardakiyle aynı IP’lerin engellendiği bir etkinlik yapılsa iyi olurdu. Ama sözleşmeler yüzünden mümkün görünmüyor
    • Bir başka İspanyol olarak buna tamamen katılıyorum. Bu durum gerçekten saçmalık