ハクソク

世界を動かす技術を、日本語で。

HNに知らせる: スペインで「docker pull」が失敗するのは、サッカーのCloudflareブロックが原因です

28日前

概要

  • GitLab Runnerで パイプラインが失敗 する問題の調査記録
  • Dockerイメージの取得時にTLSエラー が発生
  • 原因はスペイン国内での 特定IPアドレスのブロック
  • サッカーの試合開催時に Cloudflareホストへのアクセス制限
  • GitLabパイプライン実行の 予期せぬ外部要因

GitLab Runnerでのパイプライン失敗とTLSエラーの原因

  • ローカル環境の GitLab Runner でパイプライン作成時に失敗
  • ジョブ出力にて Dockerイメージ取得時のTLSエラー が表示
  • エラー内容:tls: failed to verify certificate: x509: certificate is not valid for any names, but wanted to match docker-images-prod.6aa30f8b08e16409b46e0173d6de2f56.r2.cloudflarestorage.com
  • 初期調査では TailscaleやDNS設定 などを疑う
  • root権限でのdocker pullコマンドでも同様のエラー

問題の切り分けと最終的な発見

  • エラーが発生するURLを ブラウザで直接アクセス して検証
  • スペイン語のバナーが表示され、 IPアドレスが裁判所命令でブロック されていることが判明
  • ブロック理由:LaLiga(スペインサッカーリーグ)とTelefónica Audiovisual Digitalによる 著作権保護措置
  • サッカーの試合開催時に Cloudflare経由の特定ホストが遮断
  • 参考URL:LaLiga公式アナウンス

まとめと教訓

  • 地域的なネットワーク制限 が開発環境やCI/CDフローに影響
  • 技術的な問題と誤認しやすく、 根本原因の特定が困難
  • スペイン在住やスペインIP利用時は LaLiga開催時間帯のCloudflare制限 に注意
  • 外部要因による パイプライン停止リスク の認識が重要
  • 「サッカーの試合中はGitLabパイプラインが動かない」 ユニークな事例

Hackerたちの意見

彼らはCloudflare R2全体をブロックしてるみたい。Docker Hubはただの(へへ) collateral だと思う。ラ・リーガの試合が始まると、CFを通じてプロキシされてるもの(ゼロアクセスのリバーストンネルも含む)が全部動かなくなる。試合がやってるか確認するためのサイトもあるよ: https://hayahora.futbol/ 自分のホストが影響を受けてるかチェックできる: https://hayahora.futbol/#comprobador&domain=docker-images-pr...

なんでそんなことするんだろう?ごめん、スペイン語はわからないんだ。

これがテクノロジー企業やプロフェッショナルが地元の政治にもうちょっと関わる必要がある理由だよ。そうしないと、こんなナンセンスが起こる。

「腐敗」じゃなくて「ロビー活動」に莫大なお金を使うっていうのは面白い言い回しだね。

へへ、君はラッキーだね、少なくともメッセージが出るから。うちのISPは影響を受けたIPへのトラフィックをそのまま落とすから。pingもtracerouteもできないし、ブラウザでは「ページが見つかりません」って表示されるまでずっとスピナーが回ってる。ラ・リーガ、つまりこの問題を引き起こしてるサッカー団体からの反応は、これがほんの一部の「docker images」や「github repositories」について話してるオタクたちにしか影響しない小さな問題だって言ってるけど、実際には、サッカーの試合中に動かなくなるスマートホームデバイス(防犯アラームや自動ドアなど)の証言もあるんだ。先週、認知症のお父さんの居場所を確認するためのGPSアプリが試合中にオフラインになってしまったって、女性がSNSで助けを求めてた。遅くなっても帰ってこないし、彼がつけてたタグを見つけられなかったんだって: https://www.infobae.com/america/agencias/2026/04/05/laliga-d... こんなことを言うのは辛いけど、誰もこんな経験をするべきじゃない。だけど、これがストレスになるのは、主流の人たちがこの検閲に関心を持つ唯一の方法なんだ。「docker imageを引っ張れない」なんてニュースにはならないけど、安全や個人のセキュリティはもっと強力な議論のきっかけになる。

影響を受けた人は全員、ISPとTelecommunications User Attention Officeに苦情を申し立てて、恣意的なサービス検閲による経済的損失を主張すべきだよ。

へへ、君はラッキーだね、少なくともメッセージが出るから。うちのISPは影響を受けたIPへのトラフィックをそのまま落とすから。pingもtracerouteもできないし、ブラウザでは「ページが見つかりません」って表示されるまでずっとスピナーが回ってる。これが中国のGFWの一般的な動きだよ。学校や企業のDNSブロッカーみたいな厳しい監視者がいるわけじゃなくて、インターネットのバージョンが断続的に、なんとなく壊れてる感じがする。実際、中国では、意図的にブロックされてないはずのものも安定してアクセスできないことが多い。実装がバラバラだから、変なルーティングやピアリングの問題が起きる。まだ完全に形成されていないインターネットのように感じる。国家や企業は、時にはインターネットの検閲やブロックの枠組みを持つことで何かを得ることがあるけど、時には普通の人々も、違法で本当に有害なビジネスを潰すのに役立つなら、恩恵を受けることもある。でも、全世界が徐々にインターネットの検閲を強化していることに気づかず、膨大な努力と知恵、費用をかけて築いた奇跡のようなものを崩しているように感じる。自由についてだけでなく、コミュニケーションやコンピューティングのインフラが崩壊していることについても考えられたらいいのに。

ラ・リーガのやってることはマジでおかしいし、間違ってるよ。でも、これを機にCloudflareの中央集権を見直すべきだと思う。

そろそろ、全てのCIジョブにVPNを入れる時期かもね。

これが、IPを一律にブロックするのがいかにひどい執行メカニズムかの良い例だね。Cloudflareは共有IPレンジの裏で何十万ものサービスをホストしてるから、海賊版ストリームを止めるために1つのIPをブロックすると、そのIP上の他のすべて、DockerレジストリやAPIエンドポイント、サッカーとは無関係なCDNまで影響を受ける。スペインがこの問題を解決するまでの実際の対策としては、スペインの外にあるVPSにプルスルーレジストリキャッシュ(例えば、registry:2とproxy.remoteurl)を設定して、Dockerデーモンのミラー設定をそこに向けること。GitLabランナーはキャッシュから引っ張って、キャッシュはブロックされていないIPを通じてDocker Hubから引っ張る。これでDocker Hubのレート制限からも守られるしね。でも、サッカーストリーミングに関する裁判所の命令が、国全体のdocker pullを壊すっていうのは本当に馬鹿げてる。

そのうちAzureもブロックされて、公式のラ・リーガサイトも使えなくなるんじゃない?

これは、包括的なIPブロックがひどい執行メカニズムである理由の良い例だよ。 確かに、彼らは「包括的なIPブロック」をやってるわけじゃなくて、DNSとIPに基づいてリクエストを傍受して、自分たちの証明書やコンテンツを提供しようとしてる。ほとんどの場合、証明書がサイトと合わないからブラウザに拒否されるけど、少なくとも私が見る限り、「包括的なIPブロック」ではなく、「DNSとIPの傍受」って感じ。実際にはその違いはあまり関係ないけど、少なくともブロックを経験してない人のために説明しておこうと思った。

これは、一人の家に水漏れがあるからって、街全体の水を止めるのと同じくらい道徳的におかしいよ。社会に対する害は、どんな利益よりも明らかに大きい。でも、その一人が全てを止める力を持ってて、気にしないなら…

もしこれがスペイン政府がやったことの中で最悪だと思うなら、「カタルーニャ」を調べない方がいいよ。 https://int.assemblea.cat/civil-and-human-rights-abuses/tool...

スペイン人として、Cloudflareがスペインへのサービスをやめてくれたらすごく嬉しい。状況は本当にバカげてるし、国際的な圧力や恥をかかせない限り、この虐待はなくならないって分かってる。

少なくとも、裁判所に命じられた同じIPやサイトをブロックする「認識デー」を設けるべきだよ。サッカーの試合があるかのように、7日前に公表してさ。多分実現しないだろうけど、契約上の義務があるからサービスの自主的な停止はできないだろうね。

中央集権的なサービスへの依存を見直す時期かもしれないね。最近、Docker Hubがアクセスのレート制限を始めたから、みんなGitLabのレジストリキャッシュみたいな包括的な解決策に頼るようになったし。IPFSの分散型Dockerレジストリってまだ存在してるのかな、動いてるのかな。

ブラジルでは、時々ISPが変な状態になって、リモートマシンにSSH接続できなくなることがあるんだ。ここには2つのISPのリンクがあるけど、それでも時々Mullvadを使わないと安定したインターネットが得られない。

可能な解決策: デフォルトのDNSサーバーをGoogleの8.8.8.8かCloudflareの1.1.1.1に変更すると、Cloudflareのスペインの日曜日の制限を回避できるかもしれないよ。 macOS + Cloudflare 1.1.1.1 https://developers.cloudflare.com/1.1.1.1/setup/macos/ Google 8.8.8.8 https://developers.google.com/speed/public-dns/docs/using

インターネットの巨人が訴訟を起こさない限り、これは変わらない気がする。ほとんどの人がその理由や影響を理解していないからね。スペインを舞台にした強盗映画を作るべきだと思う。計画の重要な部分は、La Ligaが重要なセキュリティルートをブロックしている間に何かを盗むことなんだ。