Lệnh Docker pull thất bại tại Tây Ban Nha do việc chặn IP của Cloudflare vì bóng đá

Một kỹ sư phần mềm tại Tây Ban Nha vừa trải qua một tình huống "dở khóc dở cười" khi dành hơn một giờ để gỡ lỗi hệ thống CI/CD của mình. Vấn đề không phải đến từ mã nguồn hay cấu hình máy chủ, mà xuất phát từ... một trận đấu bóng đá.

Người dùng này đã gặp phải lỗi lạ khi GitLab runner tự host (self-hosted) không thể tạo pipeline. Thông báo lỗi hiển thị các vấn đề về TLS khi cố gắng tải Docker image:

error pulling image configuration: download failed after attempts=6: tls: failed to verify certificate: x509: certificate is not valid for any names, but wanted to match docker-images-prod.6aa30f8b08e16409b46e0173d6de2f56.r2.cloudflarestorage.com

Ban đầu, kỹ sư này đổ lỗi cho cấu hình DNS, Tailscale hoặc các vấn đề mạng khác. Tuy nhiên, khi sao chép URL trong thông báo lỗi và dán vào trình duyệt, nguyên nhân thực sự đã được lộ diện.

Thay vì tải về dữ liệu kỹ thuật, trình duyệt hiển thị một thông báo chặn từ chính quyền Tây Ban Nha. Nội dung thông báo cho biết việc truy cập vào địa chỉ IP này đã bị chặn theo lệnh của Tòa án Thương mại số 6 tại Barcelona vào ngày 18 tháng 12 năm 2024. Lệnh này được đưa ra theo yêu cầu của La Liga (Liên đoàn Bóng đá Chuyên nghiệp Quốc gia Tây Ban Nha) và Telefónica Audiovisual Digital.

Tác động tiêu cực đến hạ tầng đám mây

Về cơ bản, các nhà cung cấp dịch vụ phát sóng tại Tây Ban Nha đã yêu cầu tòa án chặn các địa chỉ IP của Cloudflare để ngăn chặn việc phát sóng trái phép các trận đấu bóng đá. Tuy nhiên, cơ chế chặn này được thực hiện một cách quá rộng rãi và thiếu chính xác.

Hệ quả là các dịch vụ hợp pháp sử dụng hạ tầng của Cloudflare, cụ thể là Cloudflare R2 (dịch vụ lưu trữ đối tượng tương thích S3), cũng bị vạ lây. Trong trường hợp này, registry chứa Docker image cần thiết cho quá trình triển khai ứng dụng (deployment) nằm trong danh sách đen.

Điều này dẫn đến một thực tế trớ trêu: các pipeline CI/CD và quy trình phát triển phần mềm có thể bị tê liệt hoàn toàn tại Tây Ban Nha chỉ vì có trận đấu bóng đá đang diễn ra.

Phản ứng từ cộng đồng kỹ thuật

Cộng đồng công nghệ đánh giá đây là một ví dụ điển hình về việc kiểm duyệt internet được thực hiện một cách thô thiển và thiếu kỹ lưỡng. Việc chặn theo dải IP (IP range) thay vì miền (domain) cụ thể đã gây ra thiệt hại lan tỏa (collateral damage) cho các dịch vụ không liên quan.

Nhiều người đặt câu hỏi về việc liệu có thể vượt qua bằng cách thay đổi DNS hay không, nhưng vấn đề ở đây nằm ở việc chặn IP ở cấp độ nhà cung cấp dịch vụ internet (ISP) hoặc cấp độ mạng lớn hơn, khiến các biện pháp thông thường như đổi DNS trở nên vô dụng. Sự kiện này một lần nữa nhấn mạnh rủi ro khi phụ thuộc vào các hạ tầng công cộng có thể bị ảnh hưởng bởi các quyết định chính trị hoặc pháp lý phi kỹ thuật.