Docker Pull thất bại tại Tây Ban Nha do Cloudflare chặn liên quan đến bóng đá

Ý kiến trên Hacker News

• ISP của tôi chặn hẳn lưu lượng tới IP đó. Không ping được, không traceroute được, trình duyệt thì cứ tải mãi rồi cuối cùng báo “không tìm thấy trang”
  LaLiga phớt lờ vấn đề này và coi đó là “chuyện nhỏ chỉ vài mọt công nghệ mới gặp”. Nhưng trên thực tế đã có các dịch vụ như thiết bị nhà thông minh hay ứng dụng theo dõi bệnh nhân sa sút trí tuệ bị ngừng hoạt động trong lúc trận đấu diễn ra. Ví dụ, đã có vụ một phụ nữ phải cầu cứu vì không thể tìm thấy cha mình (liên kết bài báo)
  Điều này lẽ ra không bao giờ được xảy ra, nhưng thật đáng buồn là phải có những thiệt hại ngoài đời thực như vậy thì công chúng mới nhận ra mức độ nghiêm trọng của vấn đề kiểm duyệt

  • GFW (Vạn Lý Tường Lửa) của Trung Quốc cũng hoạt động theo kiểu tương tự. Không phải chỉ là chặn DNS, mà tạo cảm giác Internet bị hỏng một cách không hoàn toàn ở đâu đó. Có rất nhiều trang bị chặn ngoài ý muốn, và sự cố định tuyến cũng xảy ra thường xuyên
    Kiểu hệ thống kiểm duyệt này đôi khi có lợi cho nhà nước hoặc doanh nghiệp, nhưng rốt cuộc chúng ta đang tự đẩy mình tới sự sụp đổ của hạ tầng truyền thông. Không chỉ là vấn đề tự do, mà còn là việc chúng ta đang phá hủy chính Internet mà mình đã rất vất vả xây dựng
  • Những người bị thiệt hại bởi việc này nên khiếu nại với ISP và Oficina de Atención al Usuario de Telecomunicaciones để yêu cầu bồi thường cho tổn thất tài chính
  • Hành động của LaLiga là vô lý, nhưng vụ việc này cũng là dịp để nghĩ lại về rủi ro của sự tập trung quanh Cloudflare
  • Nguyên nhân gốc rễ của vấn đề nằm ở thiết kế IoT kém chất lượng: cứ mất Internet là thiết bị thành cục gạch
  • Đã đến lúc cân nhắc đưa VPN vào các tác vụ CI

• Trong lúc LaLiga thi đấu, toàn bộ Cloudflare R2 bị chặn nên Docker Hub cũng trở thành thiệt hại collateral. Mọi dịch vụ được proxy qua CF đều ngừng hoạt động
  Có trang hayahora.futbol để kiểm tra xem hiện có đang diễn ra trận đấu hay không. Tại đây cũng có thể kiểm tra xem domain của mình có bị ảnh hưởng không

  • Tôi không hiểu tại sao họ lại làm vậy. Có người nói vì không biết tiếng Tây Ban Nha nên khó hiểu được lý do
  • Hiệu ứng shader ở nền trang khá ấn tượng. Nó giống như một nghi thức trưởng thành của các web developer, kiểu ví dụ trên Shadertoy

• Trên HN thường xuyên thấy sự phẫn nộ về việc LaLiga chặn, nhưng không có thay đổi nào
  Tôi không sống ở Tây Ban Nha, nhưng nghĩ rằng cần những bước sau

  1. Tạo cộng đồng trực tuyến để chia sẻ các trường hợp bị ảnh hưởng (Telegram, Discord, subreddit, v.v.)
  2. Xây dựng wiki tổng hợp cơ sở pháp lý và cách đối phó
  3. Vận hành trang giải thích lịch blackout và tác động mà cả người bình thường cũng hiểu được
  4. Tận dụng cơ chế kiến nghị có thể dẫn tới hành động chính trị — ví dụ như hệ thống kiến nghị chính thức của Bồ Đào Nha
     Các yêu cầu có thể gồm bồi hoàn phí Internet từ LaLiga, hoặc chèn phụ đề “hạn chế kết nối Internet” vào lúc bắt đầu và kết thúc trận đấu

• Kiểu chặn toàn bộ IP này thực sự là một cách thực thi cực kỳ kém hiệu quả. Cloudflare vận hành hàng trăm nghìn dịch vụ trên IP dùng chung, nên chặn một cái là Docker registry hay API cũng tê liệt theo
  Một giải pháp tạm thời là đặt pull-through registry cache trên VPS bên ngoài Tây Ban Nha rồi trỏ Docker daemon sang đó. Làm vậy vừa tránh được chặn, vừa vượt qua rate limit của Docker Hub
  Việc chỉ vì một lệnh trấn áp stream bóng đá mà docker pull trên cả nước ngừng hoạt động đúng là một thực tế lố bịch

  • Trên thực tế không hẳn là chặn toàn bộ IP, mà là cố chiếm đoạt DNS và IP. Phần lớn thất bại do chứng chỉ không khớp, nhưng kết quả cuối cùng vẫn là không thể truy cập
  • Lần tới có khi họ còn chặn cả Azure, khiến trang chính thức của LaLiga cũng sập luôn

• Có vẻ tình hình này sẽ không thay đổi trừ khi các tập đoàn Internet lớn khởi kiện.
  Ai đó nên viết một bộ phim heist lấy bối cảnh Tây Ban Nha — trong đó người ta lợi dụng việc LaLiga chặn lúc trận đấu diễn ra để xuyên thủng hệ thống an ninh

• Chuyện này chẳng khác nào vì một nhà bị rò rỉ nước mà khóa nguồn nước của cả thành phố. Thiệt hại cho xã hội lớn hơn nhiều

  • Nếu bạn nghĩ đây là hành động tệ nhất của chính phủ Tây Ban Nha, hãy tìm đọc các trường hợp xâm phạm nhân quyền ở Catalunya (liên kết liên quan)

• Là người sống ở Tây Ban Nha, tôi cũng gặp đúng vấn đề này. Cách giải quyết là dùng VPN hoặc đổi máy chủ DNS
  DNS của Cloudflare dùng EDNS Client Subnet (ECS) để trả về IP khác nhau theo khu vực. Nếu dùng resolver ngoài Tây Ban Nha hoặc DoH/DoT thì có thể nhận được IP không bị chặn. AdGuard DNS hoạt động tốt

• Con người có xu hướng đưa ra chính sách mới mà không thử nghiệm cho đàng hoàng. Chính sách chặn này cũng vậy

  • Trước hết phải có thử nghiệm quy mô nhỏ
  • Cần có kênh phản hồi cho những người bị ảnh hưởng bởi chính sách (ví dụ hiển thị rõ bằng mã HTTP 451)
  • Chính sách phải nêu rõ thời điểm rà soát lại
    Những nguyên tắc này nên được áp dụng cho mọi thiết kế chính sách

• Việc chặn domain và IP trong lúc LaLiga thi đấu giờ đã trở thành thói quen thường nhật
  Các trường hợp tương tự gồm “máy chủ game bị chặn trong lúc thi đấu ở Tây Ban Nha” (liên kết) và “LaLiga chặn quyền truy cập vào freedom.gov” (liên kết)

• Là người Tây Ban Nha, tôi thà Cloudflare ngừng cung cấp dịch vụ ở Tây Ban Nha còn hơn. Nếu không có áp lực quốc tế thì có lẽ sự lạm dụng này sẽ không chấm dứt

  • Ít nhất nên có một ngày gọi là “ngày nâng cao nhận thức”, tổ chức sự kiện chặn cùng các IP như trong trận đấu suốt khoảng một ngày. Nhưng có lẽ hợp đồng sẽ không cho phép điều đó
  • Là một người Tây Ban Nha khác, tôi hoàn toàn đồng ý. Tình hình này thật sự khó tin