GitLab 部署和配置指南

獨枭2024-11-17 11:14

GitLab 部署和配置指南

1. GitLab 容器配置概述

在部署 GitLab 时,可能涉及以下几部分内容:

  • 内置 Nginx 的配置和调整。
  • HTTPS 证书的申请、使用和续期。
  • 通过 FRP 映射内网服务到外部服务器。
  • 阿里云服务器的 Nginx 配置和反向代理。

本文将完整涵盖这些配置,帮助您成功部署和维护 GitLab 服务。

2. FRP 配置

2.1 FRP 客户端配置文件(群晖/内网)

使用以下示例配置文件,通过 FRP 将 GitLab 的 HTTP 和 HTTPS 服务暴露到外部。

HTTP 配置
toml 复制代码 
[[proxies]]
name = "GitLab-HTTP"
type = "tcp"
local_ip = "127.0.0.1"
local_port = 6680  # 群晖上 GitLab 的 HTTP 端口
remote_port = 8080 # 阿里云服务器上的 HTTP 映射端口
HTTPS 配置
toml 复制代码 
[[proxies]]
name = "GitLab-HTTPS"
type = "tcp"
local_ip = "127.0.0.1"
local_port = 6443  # 群晖上 GitLab 的 HTTPS 端口
remote_port = 8443 # 阿里云服务器上的 HTTPS 映射端口

3. 阿里云 Nginx 配置

阿里云服务器需要配置 Nginx,代理到 FRP 服务端暴露的端口。

3.1 HTTP 配置

nginx 复制代码 
server {
    listen 80;
    server_name gitlab.example.com;

    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_connect_timeout 60s;
        proxy_read_timeout 60s;
        proxy_send_timeout 60s;
    }
}

3.2 HTTPS 配置

nginx 复制代码 
server {
    listen 443 ssl;
    server_name gitlab.example.com;

    ssl_certificate /etc/letsencrypt/live/gitlab.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/gitlab.example.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
        proxy_pass https://127.0.0.1:8443;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_connect_timeout 60s;
        proxy_read_timeout 60s;
        proxy_send_timeout 60s;
    }
}

4. GitLab 容器内 HTTPS 配置

4.1 编辑 gitlab.rb 文件

gitlab.rb 是 GitLab 配置的核心文件,位于容器内的 /etc/gitlab/gitlab.rb

ruby 复制代码 
# 设置外部 URL 为 HTTPS
external_url 'https://gitlab.example.com'

# 启用内置 Nginx
nginx['enable'] = true

# 客户端上传文件大小限制
nginx['client_max_body_size'] = '250m'

# 强制 HTTP 重定向到 HTTPS
nginx['redirect_http_to_https'] = true
nginx['redirect_http_to_https_port'] = 443

# SSL 证书和私钥路径
nginx['ssl_certificate'] = "/etc/letsencrypt/live/gitlab.example.com/fullchain.pem"
nginx['ssl_certificate_key'] = "/etc/letsencrypt/live/gitlab.example.com/privkey.pem"

# 启用的 TLS 协议和加密算法
nginx['ssl_protocols'] = "TLSv1.2 TLSv1.3"
nginx['ssl_ciphers'] = "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384"
nginx['ssl_prefer_server_ciphers'] = "on"

4.2 应用配置并重启服务

在容器中运行以下命令:

bash 复制代码 
gitlab-ctl reconfigure
gitlab-ctl restart

5. 证书申请和自动续期

5.1 使用 Certbot 申请证书

停止占用端口的服务

如果 GitLab 的内置 Nginx 服务占用了 80 端口,Certbot 无法运行。需要停止 Nginx:

bash 复制代码 
gitlab-ctl stop nginx
使用 Certbot 申请证书

运行以下命令生成证书:

bash 复制代码 
certbot certonly --standalone -d gitlab.example.com

提示: 如果生成失败,请查看日志 /var/log/letsencrypt/letsencrypt.log

确认证书文件路径
bash 复制代码 
ls /etc/letsencrypt/live/gitlab.example.com/

应包含以下文件:

  • fullchain.pem
  • privkey.pem
重新启动 Nginx 服务
bash 复制代码 
gitlab-ctl start nginx

5.2 自动续期配置

检查现有证书
bash 复制代码 
certbot certificates

输出示例:

复制代码 
Certificate Name: gitlab.example.com
Domains: gitlab.example.com
Expiry Date: 2024-01-15 23:59:59+00:00 (VALID: 59 days)
测试续期任务
bash 复制代码 
certbot renew --dry-run

成功输出示例:

复制代码 
Congratulations, all renewals succeeded!
配置自动续期任务

在容器内设置定时任务:

bash 复制代码 
apt install cron -y
crontab -e

添加以下内容:

复制代码 
0 2 * * * certbot renew --deploy-hook "gitlab-ctl restart nginx"

启动 Cron 服务:

bash 复制代码 
cron

验证任务是否正常运行:

bash 复制代码 
cat /var/log/cron.log

6. 常见问题排查

问题 1:证书续期失败

  • 现象: Certbot 报错。

  • 解决方案:

    1. 检查端口占用:
    bash 复制代码 
    netstat -tuln | grep :80
    1. 手动续期:
    bash 复制代码 
    certbot renew

问题 2:通过 HTTP 拉取代码

  • 现象: 配置 HTTPS 后仍使用 HTTP 拉取代码。

  • 解决方案:

    修改 gitlab.rb

    ruby 复制代码 
    external_url 'https://gitlab.example.com'

    然后运行:

    bash 复制代码 
    gitlab-ctl reconfigure

7. 总结与注意事项

  1. 阿里云 Nginx 配置的区别:

    • HTTP 使用:proxy_pass http://127.0.0.1:8080;
    • HTTPS 使用:proxy_pass https://127.0.0.1:8443;
    • 请确保配置一致且符合实际需求,避免混淆。

  2. FRP 的 HTTP 和 HTTPS 配置需区分:

    • HTTP 和 HTTPS 使用不同的远程端口。
    • 确保 FRP 客户端和服务器配置一致,并分别映射。

  3. 申请证书前的前提条件:

    • 域名必须先能通过 HTTP 访问成功,否则无法申请证书。
    • 如果 HTTP 无法访问或 FRP 配置有误,Certbot 将报错且申请失败。

  4. 为何配置 HTTPS 的 external_url:

    • 如果 external_url 未配置为 https://,即使 HTTPS 配置成功,GitLab 界面生成的 URL 仍然是 HTTP。
    • 这会导致代码克隆或推送使用 HTTP,而不是安全的 HTTPS。

  5. 通过 HTTP 判断 FRP 服务状态:

    • 成功通过 HTTP 访问,意味着 FRP 服务端和客户端均已正常运行。
    • 进一步通过 HTTPS 测试远程访问功能。
相关推荐
测试开发技术2 天前
git rm 命令与系统的 rm 命令有什么区别?
git·gitlab·github·面试题
云和数据.ChenGuang3 天前
关闭 GitLab 升级提示的详细方法
运维·自动化·gitlab·es运维
读创商闻3 天前
极狐GitLab CEO 柳钢——极狐 GitLab 打造中国企业专属 AI 编程平台,引领编程新潮流
人工智能·gitlab
小川zs3 天前
gitee某个分支合并到gitlab目标分支
gitee·gitlab
你的人类朋友3 天前
✨【GitLab】【CI/CD】核心概念一览
gitlab·自动化运维·devops
Gold Steps.4 天前
基于 Gitlab、Jenkins与Jenkins分布式、SonarQube 、Nexus 的 CiCd 全流程打造
运维·ci/cd·gitlab·jenkins
咚咚?4 天前
基于gitlab 构建CICD发布到K8S 平台
容器·kubernetes·gitlab
荔枝吻8 天前
【保姆级喂饭教程】GitLab创建用户规范,分支开发规范,提交日志规范
gitlab·git规范·分支规范
云畅新视界8 天前
从 CODING 停服到极狐 GitLab “接棒”,软件研发工具市场风云再起
人工智能·gitlab
热门推荐
01全球最强模型Grok4,国内已可免费使用!(附教程)02Cursor Claude 模型无法使用的解决方法03KGG转MP3工具|非KGM文件|解密音频04【2025.7.18】更新vscode后所有.vue文件template标签后报红的临时解决办法,Vue - Official 插件3.0.2导致05【无标题】06集群聊天服务器---MySQL数据库的建立07突破限制:使用 Claude Code Proxy 让 Claude Code 自由连接任意模型08绿色建筑新态势:楼宇自控助力能效提升,推动成本优化新路径09使用Ruby接入实时行情API教程10Claude Code 最新版已经支持 Windows 安装使用!