GitLab 部署和配置指南

embedded/2024/11/22 0:03:40/

GitLab 部署和配置指南

1. GitLab 容器配置概述

在部署 GitLab 时,可能涉及以下几部分内容:

  • 内置 Nginx 的配置和调整。
  • HTTPS 证书的申请、使用和续期。
  • 通过 FRP 映射内网服务到外部服务器。
  • 阿里云服务器的 Nginx 配置和反向代理。

本文将完整涵盖这些配置,帮助您成功部署和维护 GitLab 服务。


2. FRP 配置

2.1 FRP 客户端配置文件(群晖/内网)

使用以下示例配置文件,通过 FRP 将 GitLab 的 HTTP 和 HTTPS 服务暴露到外部。

HTTP 配置
[[proxies]]
name = "GitLab-HTTP"
type = "tcp"
local_ip = "127.0.0.1"
local_port = 6680  # 群晖上 GitLab 的 HTTP 端口
remote_port = 8080 # 阿里云服务器上的 HTTP 映射端口
HTTPS 配置
[[proxies]]
name = "GitLab-HTTPS"
type = "tcp"
local_ip = "127.0.0.1"
local_port = 6443  # 群晖上 GitLab 的 HTTPS 端口
remote_port = 8443 # 阿里云服务器上的 HTTPS 映射端口

3. 阿里云 Nginx 配置

阿里云服务器需要配置 Nginx,代理到 FRP 服务端暴露的端口。

3.1 HTTP 配置

server {listen 80;server_name gitlab.example.com;location / {proxy_pass http://127.0.0.1:8080;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_connect_timeout 60s;proxy_read_timeout 60s;proxy_send_timeout 60s;}
}

3.2 HTTPS 配置

server {listen 443 ssl;server_name gitlab.example.com;ssl_certificate /etc/letsencrypt/live/gitlab.example.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/gitlab.example.com/privkey.pem;include /etc/letsencrypt/options-ssl-nginx.conf;ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;location / {proxy_pass https://127.0.0.1:8443;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_connect_timeout 60s;proxy_read_timeout 60s;proxy_send_timeout 60s;}
}

4. GitLab 容器内 HTTPS 配置

gitlabrb__99">4.1 编辑 gitlab.rb 文件

gitlab.rb 是 GitLab 配置的核心文件,位于容器内的 /etc/gitlab/gitlab.rb

# 设置外部 URL 为 HTTPS
external_url 'https://gitlab.example.com'# 启用内置 Nginx
nginx['enable'] = true# 客户端上传文件大小限制
nginx['client_max_body_size'] = '250m'# 强制 HTTP 重定向到 HTTPS
nginx['redirect_http_to_https'] = true
nginx['redirect_http_to_https_port'] = 443# SSL 证书和私钥路径
nginx['ssl_certificate'] = "/etc/letsencrypt/live/gitlab.example.com/fullchain.pem"
nginx['ssl_certificate_key'] = "/etc/letsencrypt/live/gitlab.example.com/privkey.pem"# 启用的 TLS 协议和加密算法
nginx['ssl_protocols'] = "TLSv1.2 TLSv1.3"
nginx['ssl_ciphers'] = "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384"
nginx['ssl_prefer_server_ciphers'] = "on"

4.2 应用配置并重启服务

在容器中运行以下命令:

gitlab-ctl reconfigure
gitlab-ctl restart

5. 证书申请和自动续期

5.1 使用 Certbot 申请证书

停止占用端口的服务

如果 GitLab 的内置 Nginx 服务占用了 80 端口,Certbot 无法运行。需要停止 Nginx:

gitlab-ctl stop nginx
使用 Certbot 申请证书

运行以下命令生成证书:

certbot certonly --standalone -d gitlab.example.com

提示: 如果生成失败,请查看日志 /var/log/letsencrypt/letsencrypt.log

确认证书文件路径
ls /etc/letsencrypt/live/gitlab.example.com/

应包含以下文件:

  • fullchain.pem
  • privkey.pem
重新启动 Nginx 服务
gitlab-ctl start nginx

5.2 自动续期配置

检查现有证书
certbot certificates

输出示例:

Certificate Name: gitlab.example.com
Domains: gitlab.example.com
Expiry Date: 2024-01-15 23:59:59+00:00 (VALID: 59 days)
测试续期任务
certbot renew --dry-run

成功输出示例:

Congratulations, all renewals succeeded!
配置自动续期任务

在容器内设置定时任务:

apt install cron -y
crontab -e

添加以下内容:

0 2 * * * certbot renew --deploy-hook "gitlab-ctl restart nginx"

启动 Cron 服务:

cron

验证任务是否正常运行:

cat /var/log/cron.log

6. 常见问题排查

问题 1:证书续期失败

  • 现象: Certbot 报错。

  • 解决方案:

    1. 检查端口占用:
    netstat -tuln | grep :80
    
    1. 手动续期:
    certbot renew
    

问题 2:通过 HTTP 拉取代码

  • 现象: 配置 HTTPS 后仍使用 HTTP 拉取代码。

  • 解决方案:
    修改 gitlab.rb

    external_url 'https://gitlab.example.com'
    

    然后运行:

    gitlab-ctl reconfigure
    

7. 总结与注意事项

  1. 阿里云 Nginx 配置的区别:

    • HTTP 使用:proxy_pass http://127.0.0.1:8080;
    • HTTPS 使用:proxy_pass https://127.0.0.1:8443;
    • 请确保配置一致且符合实际需求,避免混淆。
  2. FRP 的 HTTP 和 HTTPS 配置需区分:

    • HTTP 和 HTTPS 使用不同的远程端口。
    • 确保 FRP 客户端和服务器配置一致,并分别映射。
  3. 申请证书前的前提条件:

    • 域名必须先能通过 HTTP 访问成功,否则无法申请证书。
    • 如果 HTTP 无法访问或 FRP 配置有误,Certbot 将报错且申请失败。
  4. 为何配置 HTTPS 的 external_url:

    • 如果 external_url 未配置为 https://,即使 HTTPS 配置成功,GitLab 界面生成的 URL 仍然是 HTTP。
    • 这会导致代码克隆或推送使用 HTTP,而不是安全的 HTTPS。
  5. 通过 HTTP 判断 FRP 服务状态:

    • 成功通过 HTTP 访问,意味着 FRP 服务端和客户端均已正常运行。
    • 进一步通过 HTTPS 测试远程访问功能。

http://www.ppmy.cn/embedded/139466.html

相关文章

如何使用ChatGPT写推荐信?

写一封推荐信可能是一项艰巨的任务,尤其是当您不确定要包含什么或如何表达您的想法时。值得庆幸的是,在 ChatGPT 等 AI 技术的帮助下,这个过程可以变得更加顺畅和高效。在本指南中,我们将探讨如何利用 ChatGPT 的力量用简单的英语制作引人注目的推荐信。 开始 在深入研究…

开源A书签管理工具:Hoarder

在日常浏览网页时,我们经常会遇到一些有价值的文章、工具或者资源。 虽然浏览器的书签功能可以帮助我们保存这些链接,但随着时间推移,书签往往会变得杂乱无章,想要找到特定内容时却无从下手。 普通的书签管理器又缺乏智能化功能…

计算机网络在线测试-概述

单项选择题 第1题 数据通信中,数据传输速率(比特率,bps)是指每秒钟发送的()。 二进制位数 (我的答案) 符号数 字节数 码元数 第2题 一座大楼内的一个计算机网络系统&#xf…

GCC是用什么语言编写的?编程语言出现之前,编译器或解释器用什么语言编写?GCC和G++有什么区别?

GCC是用什么语言编写的? 早期是C语言,后来改为C,源代码:https://github.com/gcc-mirror/gcc. GCC编译器从C语言转向C也经历过不顺,皓哥 GCC 用 C 来编译 | 酷 壳 - CoolShell 就有提到2012年GCC就转向用C编译器编译,…

什么是Hadoop

Hadoop 介绍 Hadoop 是由 Apache 开发的开源框架,用于处理分布式环境中的海量数据。Hadoop 使用 Java 编写,通过简单的编程模型允许在集群中进行大规模数据集的存储和计算。它具备高可靠性、容错性和扩展性。 分布式存储:Hadoop 支持跨集群…

借助OpenAI优化Selenium脚本:提高稳定性与可维护性

在自动化测试的工作中,Selenium是最常用的工具之一。尽管Selenium功能强大,但在实际应用中,随着测试脚本的增长和页面结构的变化,脚本可能会变得不稳定或难以维护。本文将展示如何使用OpenAI帮助自动化测试工程师优化现有的Seleni…

vue中iframe的使用说明

iframe嵌套页面&#xff0c;在某些时候使用起来还是挺不错的&#xff0c;比如&#xff1a;第三方登录&#xff0c;页面a中加入页面b等 <iframe ref"iframeRef" src"" frameBorder"0" loading"eager" width"100%" height…

PostgreSQL提取JSON格式的数据(包含提取list指定索引数据)

PostgreSQL提取JSON格式的数据&#xff08;包含提取list指定索引数据&#xff09; ->>, ->, #>, #>> 在PostgreSQL中&#xff0c;处理json或jsonb类型数据时&#xff0c;->>, ->, #> 和 #>> 是非常有用的操作符&#xff0c;它们允许你以…