GitLab 部署和配置指南
1. GitLab 容器配置概述
在部署 GitLab 时,可能涉及以下几部分内容:
- 内置 Nginx 的配置和调整。
- HTTPS 证书的申请、使用和续期。
- 通过 FRP 映射内网服务到外部服务器。
- 阿里云服务器的 Nginx 配置和反向代理。
本文将完整涵盖这些配置,帮助您成功部署和维护 GitLab 服务。
2. FRP 配置
2.1 FRP 客户端配置文件(群晖/内网)
使用以下示例配置文件,通过 FRP 将 GitLab 的 HTTP 和 HTTPS 服务暴露到外部。
HTTP 配置
[[proxies]]
name = "GitLab-HTTP"
type = "tcp"
local_ip = "127.0.0.1"
local_port = 6680 # 群晖上 GitLab 的 HTTP 端口
remote_port = 8080 # 阿里云服务器上的 HTTP 映射端口
HTTPS 配置
[[proxies]]
name = "GitLab-HTTPS"
type = "tcp"
local_ip = "127.0.0.1"
local_port = 6443 # 群晖上 GitLab 的 HTTPS 端口
remote_port = 8443 # 阿里云服务器上的 HTTPS 映射端口
3. 阿里云 Nginx 配置
阿里云服务器需要配置 Nginx,代理到 FRP 服务端暴露的端口。
3.1 HTTP 配置
server {listen 80;server_name gitlab.example.com;location / {proxy_pass http://127.0.0.1:8080;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_connect_timeout 60s;proxy_read_timeout 60s;proxy_send_timeout 60s;}
}
3.2 HTTPS 配置
server {listen 443 ssl;server_name gitlab.example.com;ssl_certificate /etc/letsencrypt/live/gitlab.example.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/gitlab.example.com/privkey.pem;include /etc/letsencrypt/options-ssl-nginx.conf;ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;location / {proxy_pass https://127.0.0.1:8443;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_connect_timeout 60s;proxy_read_timeout 60s;proxy_send_timeout 60s;}
}
4. GitLab 容器内 HTTPS 配置
4.1 编辑 gitlab.rb 文件
gitlab.rb 是 GitLab 配置的核心文件,位于容器内的 /etc/gitlab/gitlab.rb。
# 设置外部 URL 为 HTTPS
external_url 'https://gitlab.example.com'# 启用内置 Nginx
nginx['enable'] = true# 客户端上传文件大小限制
nginx['client_max_body_size'] = '250m'# 强制 HTTP 重定向到 HTTPS
nginx['redirect_http_to_https'] = true
nginx['redirect_http_to_https_port'] = 443# SSL 证书和私钥路径
nginx['ssl_certificate'] = "/etc/letsencrypt/live/gitlab.example.com/fullchain.pem"
nginx['ssl_certificate_key'] = "/etc/letsencrypt/live/gitlab.example.com/privkey.pem"# 启用的 TLS 协议和加密算法
nginx['ssl_protocols'] = "TLSv1.2 TLSv1.3"
nginx['ssl_ciphers'] = "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384"
nginx['ssl_prefer_server_ciphers'] = "on"
4.2 应用配置并重启服务
在容器中运行以下命令:
gitlab-ctl reconfigure
gitlab-ctl restart
5. 证书申请和自动续期
5.1 使用 Certbot 申请证书
停止占用端口的服务
如果 GitLab 的内置 Nginx 服务占用了 80 端口,Certbot 无法运行。需要停止 Nginx:
gitlab-ctl stop nginx
使用 Certbot 申请证书
运行以下命令生成证书:
certbot certonly --standalone -d gitlab.example.com
提示: 如果生成失败,请查看日志
/var/log/letsencrypt/letsencrypt.log。
确认证书文件路径
ls /etc/letsencrypt/live/gitlab.example.com/
应包含以下文件:
- fullchain.pem
- privkey.pem
重新启动 Nginx 服务
gitlab-ctl start nginx
5.2 自动续期配置
检查现有证书
certbot certificates
输出示例:
Certificate Name: gitlab.example.com
Domains: gitlab.example.com
Expiry Date: 2024-01-15 23:59:59+00:00 (VALID: 59 days)
测试续期任务
certbot renew --dry-run
成功输出示例:
Congratulations, all renewals succeeded!
配置自动续期任务
在容器内设置定时任务:
apt install cron -y
crontab -e
添加以下内容:
0 2 * * * certbot renew --deploy-hook "gitlab-ctl restart nginx"
启动 Cron 服务:
cron
验证任务是否正常运行:
cat /var/log/cron.log
6. 常见问题排查
问题 1:证书续期失败
-
现象: Certbot 报错。
-
解决方案:
- 检查端口占用:
netstat -tuln | grep :80- 手动续期:
certbot renew
问题 2:通过 HTTP 拉取代码
-
现象: 配置 HTTPS 后仍使用 HTTP 拉取代码。
-
解决方案:
修改gitlab.rb:external_url 'https://gitlab.example.com'然后运行:
gitlab-ctl reconfigure
7. 总结与注意事项
-
阿里云 Nginx 配置的区别:
- HTTP 使用:
proxy_pass http://127.0.0.1:8080; - HTTPS 使用:
proxy_pass https://127.0.0.1:8443; - 请确保配置一致且符合实际需求,避免混淆。
- HTTP 使用:
-
FRP 的 HTTP 和 HTTPS 配置需区分:
- HTTP 和 HTTPS 使用不同的远程端口。
- 确保 FRP 客户端和服务器配置一致,并分别映射。
-
申请证书前的前提条件:
- 域名必须先能通过 HTTP 访问成功,否则无法申请证书。
- 如果 HTTP 无法访问或 FRP 配置有误,Certbot 将报错且申请失败。
-
为何配置 HTTPS 的 external_url:
- 如果
external_url未配置为https://,即使 HTTPS 配置成功,GitLab 界面生成的 URL 仍然是 HTTP。 - 这会导致代码克隆或推送使用 HTTP,而不是安全的 HTTPS。
- 如果
-
通过 HTTP 判断 FRP 服务状态:
- 成功通过 HTTP 访问,意味着 FRP 服务端和客户端均已正常运行。
- 进一步通过 HTTPS 测试远程访问功能。
