CentOS 7.x上gitlab搭建教程(https可用,郵件可用)
目錄
- 知識要求
- 搭建感想
- 搭建過程
- 參考
知識要求:
nginx基礎知識
搭建感想
註:以下是我搭建
gitlab時的思考,需要nginx的基礎知識,Docker的基礎知識才容易理解,與下面的搭建過程是獨立的,不感興趣可直接略過。
其實gitlab已經搭建並用了一年多了,現在所有的項目管理都通過gitlab完成。但是一直以來都有2個問題:
80端口被系統的nginx占用了,所以只能監聽非80端口;443端口也被系統的nginx占用,所以也一直沒增加對https的支持;
最近正在嘗試對所有已有的服務Docker化,一方面想讓gitlab的搭建更簡單些,另一方面也把這兩個問題都處理掉。
於是就做了兩個Docker容器: nginx和gitlab,相當於nginx和gitlab運行在局域網的不同主機,所以端口上沒沖突。nginx是對外的服務器,它做一層反向代理到gitlab就能讓gitlab提供對外的服務。
然而。。。這個做法卻帶來了一個新問題:gitlab需要的是22,80,443端口,80與443通過反向代理解決了,22卻沒辦法解決。因為正常來講,宿主機的SSH肯定也在使用,所以gitlab的SSH監聽端口映射到宿主機會有沖突。
當然了,解決辦法還是有的,不過非常繁瑣。我們做Docker的目的不就是為了降低布署難度嗎?如果使用Docker的配置比在宿主機上還繁瑣,那使用起來就沒太大意義了。
於是gitlab
Docker中,而是直接搭在宿主機上。
搭建過程
安裝
gitlab的安裝是很簡單的,先下載安裝包:
wget https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/gitlab-ce-10.2.5-ce.0.el7.x86_64.rpm安裝:
rpm -Uvh gitlab-ce-10.2.5-ce.0.el7.x86_64.rpm配置
gitlab內置了nginx的服務,所以默認會占用80和443端口。一般來說,我們做WEB開發,服務器上早就安裝了nginx或者apache,把80和443端口給占了,所以需要做些修改防止沖突。
簡單的修改端口是不可行的,比如80
85,當查看gitlab項目時,下圖中的項目地址會變成http://git.papamk.com:85/papamk/groupbill這樣,看著就不舒服。啟用https則在使用過程中則會出現其他的問題。這裏不一一論述,直接說明正確的配置方法。
具體步驟:
1.首先確保你的服務器已經有運行nginx,並且該nginx監聽宿主機的80和443端口。(如果你原來使用的apache,請通過nginx反向代理到apache,這樣apache原來的服務仍然可用)。
2.編輯/etc/gitlab/gitlab.rb:
# 編輯對外的域名(gitlab.papamk.com請添加A記錄指向本服務器的公網IP):
external_url ‘http://gitlab.papamk.com/‘
# 禁用`gitlab`內置的`nginx`:
nginx[‘enable‘] = false
# 修改成與nginx運行時的用戶一致
web_server[‘external_users‘] = [‘www‘]修改監聽方式和監聽地址(如果nginx與gitlab都在宿主機上,不用改也行;如果nginx在docker中,則需要修改)
gitlab_workhorse[‘listen_network‘] = "tcp"
# 下面的172.18.147.173為本機IP,根據實際情況修改,不能為localhost或者127.0.0.1,否則docker訪問不到
gitlab_workhorse[‘listen_addr‘] = "172.18.147.173:8181" 最後執行下面命令讓配置生效:
$gitlab-ctl reconfigure3.配置nginx
增加gitlab.conf的配置(所有需要註意的地方都加了中文註釋):
upstream gitlab-workhorse {
server 172.18.147.173:8181; #根據實際情況修改
}
## Normal HTTP host
server {
listen 80;
listen [::]:80 default_server;
server_name gitlab.papamk.com; ## 修改成自己的域名;
server_tokens off; ## Don‘t show the nginx version number, a security best practice
root /opt/gitlab/embedded/service/gitlab-rails/public;
## See app/controllers/application_controller.rb for headers set
## Individual nginx logs for this GitLab vhost
access_log /home/wwwlogs/gitlab_access.log; # 根據實際情況修改
error_log /home/wwwlogs/gitlab_error.log; # 根據實際情況修改
location / {
client_max_body_size 0;
gzip off;
## https://github.com/gitlabhq/gitlabhq/issues/694
## Some requests take more than 30 seconds.
proxy_read_timeout 300;
proxy_connect_timeout 300;
proxy_redirect off;
proxy_http_version 1.1;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://gitlab-workhorse;
}
}該配置根據官網提供的配置修改而來: https://gitlab.com/gitlab-org/gitlab-recipes/blob/master/web-server/nginx/gitlab-omnibus-nginx.conf。
重啟nginx:
$sudo service nginx restart4.登陸瀏覽器,這時可以看到安裝成功了,如下圖所示:
首次登陸會要求重置管理員密碼,管理員的默認用戶名為root。
https的支持
1.使用Let‘s encrypt申請免費的SSL證書,該項目提供了一個叫certbot/certbot-auto的工具獲取證書,執行下面命令獲取工具:
$wget https://dl.eff.org/certbot-auto
$chmod +x certbot-auto執行下面命令生成生成gitlab.papamk.com的證書,其中--agree-tos表示同意協議,--email [email protected]為自己的email。
$./certbot-auto --agree-tos --email [email protected] certonly --webroot -w /opt/gitlab/embedded/service/gitlab-rails/public/ -d gitlab.papamk.com 執行成功後,可通過以下命令查看下證書位置,nginx需要引用這些文件。(一般位於/etc/letsencrypt/live/gitlab.papamk.com/目錄)
$./certbot-auto certificates2.修改/etc/gitlab/gitlab.rb,對外的URL改為https:
external_url ‘https://gitlab.papamk.com‘執行重新配置命令以便讓新配置生效:
$gitlab-ctl reconfigure3.修改前面的nginx的gitlab.conf的配置,全部替換成下面的內容(所有需要註意的地方都加了中文註釋):
upstream gitlab-workhorse {
server 172.18.147.173:8181; #根據實際情況修改
}
## Redirects all HTTP traffic to the HTTPS host
server {
## Either remove "default_server" from the listen line below,
## or delete the /etc/nginx/sites-enabled/default file. This will cause gitlab
## to be served if you visit any address that your server responds to, eg.
## the ip address of the server (http://x.x.x.x/)
listen 0.0.0.0:80;
listen [::]:80 ipv6only=on default_server;
server_name gitlab.papamk.com; ## 改成自己的域名
server_tokens off; ## Don‘t show the nginx version number, a security best practice
return 301 https://$http_host$request_uri;
access_log /home/wwwlogs/gitlab_access.log; # 根據實際情況修改
error_log /home/wwwlogs/gitlab_error.log; # 根據實際情況修改
}
## HTTPS host
server {
listen 0.0.0.0:443 ssl;
listen [::]:443 ipv6only=on ssl default_server;
server_name gitlab.papamk.com; ## 改成自己的域名
server_tokens off; ## Don‘t show the nginx version number, a security best practice
root /opt/gitlab/embedded/service/gitlab-rails/public;
## Strong SSL Security
## https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html & https://cipherli.st/
ssl on;
ssl_certificate /etc/letsencrypt/live/gitlab.papamk.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/gitlab.papamk.com/privkey.pem;
# GitLab needs backwards compatible ciphers to retain compatibility with Java IDEs
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
## sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
# ssl_dhparam /etc/ssl/certs/dhparam.pem;
access_log /home/wwwlogs/gitlab_access.log; # 根據實際情況修改
error_log /home/wwwlogs/gitlab_error.log; # 根據實際情況修改
location / {
client_max_body_size 0;
gzip off;
## https://github.com/gitlabhq/gitlabhq/issues/694
## Some requests take more than 30 seconds.
proxy_read_timeout 300;
proxy_connect_timeout 300;
proxy_redirect off;
proxy_http_version 1.1;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Ssl on;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://gitlab-workhorse;
}
}重啟nginx:
$sudo service nginx restart4.定期更新ssl證書
Let‘s encrypt提供的證書,有效期為90天,到期後執行如下命令即可繼續使用:
$./certbot-auto renew將該命令加入到crontab,每小時刷新一次,就不用擔心過期了。先將該命令移到系統目錄下:
$sudo mv certbot-auto /usr/bin/certbot-auto然後執行crontab -e,添加一行:
0 */1 * * * /usr/bin/certbot-auto renew發送郵件的支持
官網已經給出詳細的配置說明和各大郵件服務提供商的示例,不再對配置做說明: https://docs.gitlab.com/omnibus/settings/smtp.html。
我自己使用163郵箱做測試,而官網示例沒有,這裏給出參考配置:
gitlab_rails[‘gitlab_email_from‘] = ‘[email protected]‘ # 替換成實際的email
gitlab_rails[‘smtp_enable‘] = true
gitlab_rails[‘smtp_address‘] = "smtp.163.com"
gitlab_rails[‘smtp_port‘] = 465
gitlab_rails[‘smtp_user_name‘] = "[email protected]" # 替換成實際的email
gitlab_rails[‘smtp_password‘] = "xxx" # 替換成實際的密碼
#gitlab_rails[‘smtp_domain‘] = "163.com"
gitlab_rails[‘smtp_authentication‘] = "login"
gitlab_rails[‘smtp_enable_starttls_auto‘] = true
gitlab_rails[‘smtp_tls‘] = true 一般來說,服務提供商的SMTP郵箱都會限制每日發送次數(250封左右),所以推薦有興趣的同學用Postfix自建郵箱服務器,或者使用mailgun這種專業的郵件服務提供商。
如果是阿裏雲上的服務器,作為客戶端使用第三方的SMTP配置,會發現被禁止連接
SMTP的25端口,需要使用465或者587。
安全相關
root的密碼建議設置得復雜些;- 管理員登陸後,推薦開啟註冊郵箱驗證, 防惡意註冊,見:https://docs.gitlab.com/ce/security/user_email_confirmation.html。
參考
- 用Docker安裝Gitlab
- gitlab升級
- 為gitlab啟用let’s encrypt頒布的證書
CentOS 7.x上gitlab搭建教程(https可用,郵件可用)