自学内容网 自学内容网
自学内容网 > 正文

GitLab 部署和配置指南

🕗 发布于 2024-11-17 07:58 gitlab  

GitLab 部署和配置指南

1. GitLab 容器配置概述

在部署 GitLab 时,可能涉及以下几部分内容:

  • 内置 Nginx 的配置和调整。
  • HTTPS 证书的申请、使用和续期。
  • 通过 FRP 映射内网服务到外部服务器。
  • 阿里云服务器的 Nginx 配置和反向代理。

本文将完整涵盖这些配置,帮助您成功部署和维护 GitLab 服务。

2. FRP 配置

2.1 FRP 客户端配置文件(群晖/内网)

使用以下示例配置文件,通过 FRP 将 GitLab 的 HTTP 和 HTTPS 服务暴露到外部。

HTTP 配置
[[proxies]]
name = "GitLab-HTTP"
type = "tcp"
local_ip = "127.0.0.1"
local_port = 6680  # 群晖上 GitLab 的 HTTP 端口
remote_port = 8080 # 阿里云服务器上的 HTTP 映射端口
HTTPS 配置
[[proxies]]
name = "GitLab-HTTPS"
type = "tcp"
local_ip = "127.0.0.1"
local_port = 6443  # 群晖上 GitLab 的 HTTPS 端口
remote_port = 8443 # 阿里云服务器上的 HTTPS 映射端口

3. 阿里云 Nginx 配置

阿里云服务器需要配置 Nginx,代理到 FRP 服务端暴露的端口。

3.1 HTTP 配置

server {
    listen 80;
    server_name gitlab.example.com;

    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_connect_timeout 60s;
        proxy_read_timeout 60s;
        proxy_send_timeout 60s;
    }
}

3.2 HTTPS 配置

server {
    listen 443 ssl;
    server_name gitlab.example.com;

    ssl_certificate /etc/letsencrypt/live/gitlab.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/gitlab.example.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
        proxy_pass https://127.0.0.1:8443;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_connect_timeout 60s;
        proxy_read_timeout 60s;
        proxy_send_timeout 60s;
    }
}

4. GitLab 容器内 HTTPS 配置

4.1 编辑 gitlab.rb 文件

gitlab.rb 是 GitLab 配置的核心文件,位于容器内的 /etc/gitlab/gitlab.rb

# 设置外部 URL 为 HTTPS
external_url 'https://gitlab.example.com'

# 启用内置 Nginx
nginx['enable'] = true

# 客户端上传文件大小限制
nginx['client_max_body_size'] = '250m'

# 强制 HTTP 重定向到 HTTPS
nginx['redirect_http_to_https'] = true
nginx['redirect_http_to_https_port'] = 443

# SSL 证书和私钥路径
nginx['ssl_certificate'] = "/etc/letsencrypt/live/gitlab.example.com/fullchain.pem"
nginx['ssl_certificate_key'] = "/etc/letsencrypt/live/gitlab.example.com/privkey.pem"

# 启用的 TLS 协议和加密算法
nginx['ssl_protocols'] = "TLSv1.2 TLSv1.3"
nginx['ssl_ciphers'] = "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384"
nginx['ssl_prefer_server_ciphers'] = "on"

4.2 应用配置并重启服务

在容器中运行以下命令:

gitlab-ctl reconfigure
gitlab-ctl restart

5. 证书申请和自动续期

5.1 使用 Certbot 申请证书

停止占用端口的服务

如果 GitLab 的内置 Nginx 服务占用了 80 端口,Certbot 无法运行。需要停止 Nginx:

gitlab-ctl stop nginx
使用 Certbot 申请证书

运行以下命令生成证书:

certbot certonly --standalone -d gitlab.example.com

提示: 如果生成失败,请查看日志 /var/log/letsencrypt/letsencrypt.log

确认证书文件路径
ls /etc/letsencrypt/live/gitlab.example.com/

应包含以下文件:

  • fullchain.pem
  • privkey.pem
重新启动 Nginx 服务
gitlab-ctl start nginx

5.2 自动续期配置

检查现有证书
certbot certificates

输出示例:

Certificate Name: gitlab.example.com
Domains: gitlab.example.com
Expiry Date: 2024-01-15 23:59:59+00:00 (VALID: 59 days)
测试续期任务
certbot renew --dry-run

成功输出示例:

Congratulations, all renewals succeeded!
配置自动续期任务

在容器内设置定时任务:

apt install cron -y
crontab -e

添加以下内容:

0 2 * * * certbot renew --deploy-hook "gitlab-ctl restart nginx"

启动 Cron 服务:

cron

验证任务是否正常运行:

cat /var/log/cron.log

6. 常见问题排查

问题 1:证书续期失败

  • 现象: Certbot 报错。

  • 解决方案:

    1. 检查端口占用:
    netstat -tuln | grep :80
    1. 手动续期:
    certbot renew

问题 2:通过 HTTP 拉取代码

  • 现象: 配置 HTTPS 后仍使用 HTTP 拉取代码。

  • 解决方案:
    修改 gitlab.rb

    external_url 'https://gitlab.example.com'

    然后运行:

    gitlab-ctl reconfigure

7. 总结与注意事项

  1. 阿里云 Nginx 配置的区别:

    • HTTP 使用:proxy_pass http://127.0.0.1:8080;
    • HTTPS 使用:proxy_pass https://127.0.0.1:8443;
    • 请确保配置一致且符合实际需求,避免混淆。

  2. FRP 的 HTTP 和 HTTPS 配置需区分:

    • HTTP 和 HTTPS 使用不同的远程端口。
    • 确保 FRP 客户端和服务器配置一致,并分别映射。

  3. 申请证书前的前提条件:

    • 域名必须先能通过 HTTP 访问成功,否则无法申请证书。
    • 如果 HTTP 无法访问或 FRP 配置有误,Certbot 将报错且申请失败。

  4. 为何配置 HTTPS 的 external_url:

    • 如果 external_url 未配置为 https://,即使 HTTPS 配置成功,GitLab 界面生成的 URL 仍然是 HTTP。
    • 这会导致代码克隆或推送使用 HTTP,而不是安全的 HTTPS。

  5. 通过 HTTP 判断 FRP 服务状态:

    • 成功通过 HTTP 访问,意味着 FRP 服务端和客户端均已正常运行。
    • 进一步通过 HTTPS 测试远程访问功能。

原文地址:https://blog.csdn.net/m0_58648890/article/details/143825081

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

  • aws云服务器:高可靠性和数据安全

    云服务器是通过虚拟化技术从物理服务器中分割出的一种虚拟化计算资源。它具备传统服务器的核心功能,但同时具备更高的弹性和灵活性。用户可以通过网络远程管理云服务器,根据需求增加或减少计算资源,并仅为实际使用

    阅读更多2024-11-17
  • i春秋-Hash

    2.通过get接收var参数,base64后进行一个正则匹配——"/[oc]:\d+:/i"是一个忽略大小写的正则表达式,用于匹配以 “o” 或 “c” 开头,接着是冒号、一个或多

    阅读更多2024-11-17
  • [Linux]多线程详解

    直接:

    阅读更多2024-11-17
  • C#自定义特性-SQL

    【代码】SQL特性。

    阅读更多2024-11-17
  • Oracle单实例静默安装

    在企业环境中,自动化和标准化是提高效率的关键。静默安装(也称为无人值守安装)是一种无需人工干预的安装方法,适用于大规模部署或需要重复安装的场景。本文将介绍如何在CentOS上静默安装Oracle数据库

    阅读更多2024-11-17
  • 【ChatGPT】提高 ChatGPT 创意输出的提示词技巧

    掌握这些技巧后,您可以在各类创意项目中更好地利用 ChatGPT,快速生成丰富、多样的创意内容。本文将介绍一些实用的技巧,帮助您通过优化提示词来提升 ChatGPT 的创意输出。给出模糊的、宽泛的指示

    阅读更多2024-11-17
  • vuetify重置样式

    vuetify中按钮的英文文字默认是大写形式的,怎么把按钮文字这种大写形式的属性给去掉呢,我们可以用scss重置这个css样式。vuetify重置scss变量。

    阅读更多2024-11-17
  • 提示词高级阶段学习day3.1什么是结构化 Prompt ?

    结构化的思想很普遍,结构化内容也很普遍,我们日常写作的文章,看到的书籍都在使用标题、子标题、段落、句子等语法结构。

    阅读更多2024-11-17
  • ChatGPT实现旅游推荐微信小程序

    开发一个AI旅游推荐小程序,基于用户输入的旅行偏好,提供个性化的旅游推荐和详细信息展示。

    阅读更多2024-11-17
  • 【ChatGPT】编写结构化 Prompt 的技巧

    结构化 Prompt是一种经过精心设计的提示方式,它以清晰的结构传递用户需求,帮助 ChatGPT 更准确地理解任务,并生成所需的结果。任务描述:明确告知 ChatGPT 所需完成的任务。背景信息:为

    阅读更多2024-11-17
自学内容网
Copyright © 2015-2024