使用Docker部署GitLab服务并启用HTTPS

  • Post author:
  • Post category:其他


使用官方提供的 Docker 镜像部署 GitLab 非常方便,相关的安装配置文档也非常详细。本文主要是对一次成功的部署流程进行记录,方便下次快捷部署。



拉取官方镜像

官方提供了「社区版」和「企业版」两种镜像,这里采用「社区版」进行部署,执行以下命令拉取最新的 Docker 镜像。如果需要其他的镜像标签,请查阅

官方镜像仓库

docker pull gitlab/gitlab-ce:latest



创建挂载目录

在宿主机创建以下目录,这些目录将在启动 Docker 容器时进行挂载:

mkdir -p /data/gitlab/config
mkdir -p /data/gitlab/certs
mkdir -p /data/gitlab/logs
mkdir -p /data/gitlab/data



启动容器

docker run -d --name gitlab --hostname gitlab.your_domain.com -p 443:443 -p 80:80 --restart always -v /data/gitlab/certs:/etc/gitlab/ssl -v /data/gitlab/config:/etc/gitlab -v /data/gitlab/logs:/var/log/gitlab -v /data/gitlab/data:/var/opt/gitlab --privileged=true gitlab/gitlab-ce:latest


hostname

和配置文件中的

external_url

对应,去掉协议名称。

由于我们使用 HTTPS 进行访问,所以这里将 443 端口映射出来即可,不必映射 80 端口。同样,ssh 的端口也要映射出来(如果不使用 SSH 协议进行代码的 pull 和 push,这里就不需要映射 SSH 端口),宿主机选择的 ssh 端口要和配置文件中

gitlab_shell_ssh_port

配置的端口一致。

GitLab 容器启动可能需要几分钟,执行

docker logs -f 容器ID

可以观察启动日志。

如果容器启动失败:提示Permission denied 。这时由于挂载的本地目录在容器中没有执行权限, 解决方法是在运行容器的时候,给容器加入权限参数

--privileged=true

,以特权方式启动容器 。



调整配置文件

GitLab 通过

gitlab.rb

文件进行配置,我们需要调整外部链接、邮件、SSL 认证等配置。



配置邮件发送服务

gitlab_rails['gitlab_email_from'] = 'gitlab@your_domain.com'
gitlab_rails['smtp_enable'] = true
gitlab_rails['smtp_address'] = "smtp.exmail.qq.com"
gitlab_rails['smtp_port'] = 465
gitlab_rails['smtp_user_name'] = "gitlab@your_domain.com"
gitlab_rails['smtp_password'] = "your_email_password"
gitlab_rails['smtp_domain'] = "qq.com"
gitlab_rails['smtp_authentication'] = "login"
gitlab_rails['smtp_enable_starttls_auto'] = true
gitlab_rails['smtp_tls'] = true

以上是腾讯企业邮箱的配置示例,部分邮箱服务商可能不支持第三方客户端以邮箱密码进行登录,那么就需要去服务商处获取别的授权密码进行登录。



开启 HTTPS

external_url 'https://gitlab.you_domain.com:443'

#配置http自动跳转到https协议的地址;
nginx['redirect_http_to_https'] = true

#80端口是容器内的端口,如果不配置http://宿主IP:80/将不可访问;
nginx['redirect_http_to_https_port'] = 80

# nginx['ssl_certificate'] = "/etc/gitlab/ssl/gitlab.you_domain.com.pem"
# nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/gitlab.you_domain.com.key"

#配置监听容器内的443端口,注意不是外面主机的443端口
nginx['listen_port'] = 443

nginx['proxy_set_headers'] = {
   "Host" => "$http_host_with_default",
   "X-Real-IP" => "$remote_addr",
   "X-Forwarded-For" => "$proxy_add_x_forwarded_for",
   "X-Forwarded-Proto" => "https",
   "X-Forwarded-Ssl" => "on",
   "Upgrade" => "$http_upgrade",
   "Connection" => "$connection_upgrade"
}

nginx['custom_error_pages'] = {
   '404' => {
   'title' => 'Example title',
   'header' => 'Example header',
   'message' => 'Example message'
   }
}


external_url

会影响 GitLab 中创建项目的 URL 地址,如果不配置,则默认使用容器的 hostname,即容器 ID,这里需要配置为 GitLab 服务的域名。


ssl_certificate



ssl_certificate_key

用于配置 HTTPS 所需要的证书,这两份证书需要在启动 GitLab 时挂载到容器中。

注意,如果

external_url

使用 https:

方案一、由gitlab自动生成证书挂载进来

方案二、申请免费的SSL,复制到

/data/gitlab/certs

挂载目录下,使用openssl命令生成.crt文件。

openssl x509 -outform pem -in gitlab.you_domain.com.pem -out gitlab.you_domain.com.crt 



SSH 配置

gitlab_rails['gitlab_ssh_host'] = 'gitlab.you_domain.com'
gitlab_rails['gitlab_shell_ssh_port'] = 1022


gitlab_shell_ssh_port

这里的端口会影响 GitLab 项目的 ssh 地址,所以直接配置宿主机映射的端口。

接下来可以执行以下命令使配置变更生效:

 docker exec -it my-gitlab gitlab-ctl reconfigure

至此可以通过,一下测试地址访问。

https://gitlab.you_domain.com:443/



宿主机 Nginx 配置

这部分配置是可选的,主要是对 GitLab 服务做一个反向代理,以下是配置示例,都是非常基础的 HTTPS Server 配置,就不再赘述了。

server {
    listen 80;
    server_name gitlab.you_domain.com;
    rewrite ^(.*) https://$host$1 permanent;
}

server {
    listen 443 ssl;
    server_name gitlab.you_domain.com;

    ssl on;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;

    ssl_certificate /home/admin/.acme.sh/your_domain.com/fullchain.cer;
    ssl_certificate_key /home/admin/.acme.sh/your_domain.com/your_domain.com.key;
    ssl_trusted_certificate /home/admin/.acme.sh/your_domain.com/ca.cer;

    ssl_dhparam /home/admin/.acme.sh/dhparam.pem;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

    # 将请求代理到 GitLab 容器
    location / {
        proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass https://127.0.0.1:443;
    }

    # 对 GitLab 的静态资源访问也要做转发,否则页面样式可能出错
    location ~ .*.(js|css|png)$ {
	    proxy_pass https://127.0.0.1:443;
    }
}



常见问题


Whoops, GitLab is taking too much time to respond

原因可能是机器内存太小,gitlab最小内存需要2G,建议加大机器内存。

替代方案是增加交换分区的大小,具体如下:

1、检查现有的交换空间大小:

free -m

2、添加交换文件,并设置大小为 2G:

dd if=/dev/zero of=/swapfile bs=1024 count=2048000

3、创建交换空间:

mkswap /swapfile

4、修改 mem.swap 文件权限:

chmod 0600 /swapfile

5、启用新增加的 2G 交换空间:

swapon /swapfile

6、修改 /etc/fstab 文件,添加如下一行:

/swapfile       swap           swap   defaults     0 0



版权声明:本文为percylee514原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。