obsidian/history/2026-05-23-cf-bouncer-fall-mvp-removal.md

date, topic, areas, tags

date	topic	areas	tags
2026-05-23	cf-bouncer config에서 fall-mvp.com zone 제거 — netbis CF bouncer 21일 만에 동기화 재개	infra/security/crowdsec-safeline	history cloudflare crowdsec bouncer netbis

2026-05-23 / cf-bouncer fall-mvp.com 제거 + 동기화 재개

배경

• cs-cloudflare-bouncer-1777082222 (= ../infra/security/crowdsec-safeline#netbis-cf-firewall-cloudflare-firewall-rule-bouncer-재구축-2026-04-25) 가 2026-05-02 00:21:58Z 정지 후 21일째 down 상태였음 — kappa가 2026-05-23-kr1-k3s-stuck-cascade 흐름에서 발견.
• 정지 원인 추적 결과 root cause는 단순 disabled 아니라 fall-mvp.com zone (6c171579912a271c0fc89c8187493b0f)이 CF에서 삭제됨 → bouncer가 시작 시 account ... doesn't have access to zone ... fatal exit → 무한 재시작 루프 → 누군가 systemctl stop && disable로 끄고 잊은 채로 21일 방치.

조치

1. Vault secret/cloud/cloudflare-netbis 의 firewall_bouncer_token으로 CF API 직접 확인:
   • zone 6c171579912a271c0fc89c8187493b0f → code 1001 "Invalid zone identifier" (zone 자체 존재하지 않음)
   • netbis account의 남은 zone = 5개 (fall-vip, fall-vip7, psd777, rss-555, rss-7790) 모두 active
2. /etc/crowdsec/bouncers/crowdsec-cloudflare-bouncer.yaml 백업 후 fall-mvp 항목 2줄 제거 (actions/zone_id 쌍)
3. systemctl enable --now crowdsec-cloudflare-bouncer.service
4. LAPI pull 갱신 확인:
   • 이전: Last API pull: 2026-05-02T00:21:55Z
   • 이후: Last API pull: 2026-05-23T04:56:28Z ✓

변경 후 상태

항목	값
적용 zone	5개 (fall-mvp 제거됨)
service	active (running) since 2026-05-23 04:55:58 UTC
LAPI bouncer	cs-cloudflare-bouncer-1777082222 Valid, 30s 폴링 정상
config	/etc/crowdsec/bouncers/crowdsec-cloudflare-bouncer.yaml (백업: .bak.20260523)

미해결

• fall-mvp.com zone이 언제/왜 CF에서 삭제됐는지 미상. netbis 측 의도된 폐기일 가능성 — 별도 확인 필요.
• bouncer 무한 재시작 루프가 production silently로 21일 방치된 건 모니터링 공백 — systemctl is-active crowdsec-cloudflare-bouncer.service 알람 추가 검토.

참조

• ../infra/security/crowdsec-safeline — netbis-cf-firewall 섹션 zone 6→5 반영 완료
• 2026-04-25-netbis-cf-firewall-rebuild — 6 zone으로 처음 구축한 시점
• 2026-05-23-kr1-k3s-stuck-cascade — 이 발견의 동행 작업