docker pull が失敗し、TLS証明書エラーのように見えるトラブルが発生元記事の投稿者は、ローカルで動かしている GitLab Runner がパイプラインを作れず、docker pull も失敗するという問題に1時間以上悩まされたそうです。
最初は、
を疑ったものの、原因はもっと変なところにありました。
docker pull の裏側で参照されていたCloudflare Storage上のホスト名にアクセスすると、ブラウザにはスペイン語の警告バナーが表示されたのです。要するに、
このIPアドレスへのアクセスは、2024年12月18日の判決に基づきブロックされています
という内容でした。
しかも、その背景には LaLiga(スペインのプロサッカーリーグ)と Telefónica が関係する裁判があり、サッカー中継に関わる権利保護のためにCloudflare経由のIPブロックが行われていた、という話です。
正直、これはかなり強烈です。
「動画が見られない」ならまだ想像しやすいですが、Dockerのイメージ取得まで止まる のは、開発者からすると完全に地雷です。しかも原因が「サッカーの試合がある時間だけ」なのだから、なおさらややこしい。インフラが天気みたいに気分で変わる世界、という感じすらあります。
Docker pull は、コンテナイメージを取ってくる処理です。
その途中で、イメージの配置先やメタデータを取得するためにCloudflare上のストレージにアクセスしていました。
ところが、そのホストがブロックされると、通信は失敗します。
結果として Docker は、単なる「接続できません」ではなく、TLS証明書の検証に失敗したようなエラーを出しました。
ここがまた厄介です。
普通の人なら「証明書が変だ」と思うでしょうし、開発者でも最初はネットワーク設定や証明書周りを疑うはずです。つまり、本当の原因が“通信の遮断”なのに、症状は“証明書エラー”として出る。これはかなり意地悪です。
私個人の感想としては、こういう障害は「壊れている」よりも「わざと壊している」感じが強くて、精神的にきついと思います。デバッグの時間を丸ごと奪うからです。
Hacker Newsのコメント欄では、この件に対する不満と危機感がかなり強く出ていました。
あるコメントでは、同じようなブロックでも ISP が黙って通信を落とすため、
という、もっと不親切なケースが語られていました。
これはまさに「ネットが壊れているのか、自分の環境が壊れているのか、そもそも何が起きているのかわからない」状態です。
エラー表示があるほうが、まだ人間には優しいのかもしれません。とはいえ、優しいブロック なんてものは、まあ皮肉でしかないですが。
さらに深刻なのは、Cloudflareを使っているサービスが巻き添えになることです。コメントでは、
などが試合中に止まる、という話が出ていました。
特に印象的だったのは、認知症の父親を探すためのGPS追跡アプリが試合中にオフラインになり、見失ってしまったという投稿です。
これはもう「ネットが不便」ではなく、安全や介護の問題 です。ここまで来ると、単なる技術トラブルでは済みません。
あるコメントは、こうした話が一般のニュースになりにくいことを嘆いていました。
docker pull が失敗した、では世間は動かない。けれど、生活の安全や家族の安否に関わるなら話は別だ、と。
この指摘はかなり重要だと思います。
技術者にとっては「開発環境が止まった」というだけでも大問題ですが、一般の人には伝わりにくい。だからこそ、**“自分には関係ない”と思われるところから、実は社会全体のネット基盤が壊れていく** のが怖いのです。
コメント欄では、中国の Great Firewall(GFW)に似ているという話も出ていました。
GFW は、中国国内で特定のサイトや通信を制限する大規模な仕組みです。
ここで面白いのは、ブロックが「明示的に拒否される」場合もあれば、「なんとなく不安定で、たまに見える」ような形になることがある点です。
つまり、ネットが一応つながるのに、妙に壊れている。これが一番やっかいなんですよね。
個人的には、この「壊れているのに完全には壊れていない」状態こそ、現代のネットの不気味さをよく表していると思います。エラーがはっきり出ないから、利用者は自分の環境を疑い続ける。結果、問題の所在が見えにくくなるわけです。
一見すると、「サッカーの権利保護のためのブロックが、Dockerを巻き込んだ」という珍事件です。
でも、本質はかなり重いです。
ポイントは、インターネット上のインフラが、誰かの都合で部分的に止められると、関係ないサービスまで連鎖的に止まる ということです。
今のWebは、ひとつひとつのサービスが別々に動いているように見えて、実は
みたいな共通部品の上に成り立っています。
だから、そのどこかを雑に止めると、思いもよらないところが崩れる。今回の件は、その典型例だと思います。
これはかなり怖い話です。
しかも怖いのは、攻撃や障害のような「事故」ではなく、制度や権利保護を名目にしたブロック で起きていることです。
もちろん、海賊版対策や違法配信対策をしたい気持ちはわかります。そこ自体を全否定はできません。
ただし、手段が大雑把すぎると、まったく別のサービスや生活インフラを巻き込む。これは、やり方として健全とは言いにくいのではないかと思います。
そして開発者目線では、こういう問題は本当に面倒です。
「docker pull が失敗するのでCI/CDが止まる」
この一文だけでも十分つらいのに、原因が「試合のある時間だけブロックされる」ですから、デバッグのしようがない。インターネットは便利になったはずなのに、時々こういう“現代的なバグ”が発生するのが皮肉です。
今回の話は、単なるDockerの不具合ではありません。
インターネットの共通基盤が、スポーツ中継を理由に巻き添えで壊れると何が起きるか を、かなりわかりやすく示した事例です。
開発者にとっては不便、一般利用者にとっては混乱、そして社会全体にとっては「ネットの中立性や安定性がどこまで守られるのか」という問題提起になっています。
こういう話は、もっと広く知られていいと思います。地味に見えて、かなり重要です。
原文: Tell HN: Docker pull fails in Spain due to football Cloudflare block | Hacker News