使用Docker安装配置GitLab CE
本文介绍使用Docker在本地安装GitLab CE。写作本文时,使用的GitLab版本是13.5.4。
基本安装
使用Docker安装GitLab最基本的命令如下:
docker run --name "my-gitlab" \
--hostname "my-gitlab" \
-p 80:80 \
--restart unless-stopped \
-d gitlab/gitlab-ce:latest
上例中,容器名和容器系统的 hostname 都设置为 my-gitlab。后续示例中,也基本会使用这个配置。容器这里只映射了 80 端口,其他的端口配置会在后续示例中说明。
容器启动成功后,可以在浏览器中通过 http://localhost 地址访问。在第一次访问里,会提示设置 root 密码:
映射目录
GitLab中主要三个目录需要被映射出来,分别是
- /etc/gitlab : 配置文件目录。GitLab的主要配置文件 gitlab.rb 保存在这个目录
- /var/opt/gitlab :GitLab的运行目录和数据保存目录
- /var/log/gitlab : GitLab的日志目录
如下例将这三个目录映射到宿主机:
docker run --name "my-gitlab" \
--hostname "my-gitlab" \
-p 80:80 \
-v ${GITLAB_HOME}/config:/etc/gitlab \
-v ${GITLAB_HOME}/data:/var/opt/gitlab \
-v ${GITLAB_HOME}/log:/var/log/gitlab \
--restart unless-stopped \
-d gitlab/gitlab-ce:latest
配置域名
GitLab的外部域名配置会影响URL生成和其他多个方面。例如在使用前文中的方式启动GitLab容器后,生成的clone URL如下图:
这个URL很可能使用的不是期望的对外域名。本节会介绍两种调整的方式。
指定容器hostname
在启动GitLab容器时,指定 hostname:
docker run --name "my-gitlab" \
--hostname "my-gitlab.com" \
-p 80:80 \
-v ${GITLAB_HOME}/config:/etc/gitlab \
-v ${GITLAB_HOME}/data:/var/opt/gitlab \
-v ${GITLAB_HOME}/log:/var/log/gitlab \
--restart unless-stopped \
-d gitlab/gitlab-ce:latest
当没有在配置文件 config/gitlab.rb 中配置 external_url 时,GitLab会读取系统的 hostname 作为域名:
修改配置
更可靠的方式是修改 config/gitlab.rb 中的 external_url :
external_url 'http://my-gitlab.com'
保存后可以在GitLab容器中执行以下命令来查看配置变更:
# docker exec -it my-gitlab gitlab-ctl diff-config
diff --git a/etc/gitlab/gitlab.rb b/opt/gitlab/etc/gitlab.rb.template
index 5f49511..c322a57 100644
--- a/etc/gitlab/gitlab.rb
+++ b/opt/gitlab/etc/gitlab.rb.template
@@ -30,7 +30,6 @@
##! address from AWS. For more details, see:
##! https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html
# external_url 'GENERATED_EXTERNAL_URL'
-external_url 'http://my-gitlab.com'
## Roles for multi-instance GitLab
##! The default is to have no roles enabled, which results in GitLab running as an all-in-one instance.
接下来可以执行以下命令使配置变更生效:
docker exec -it my-gitlab gitlab-ctl reconfigure
命令执行成功后,可以看到和设置容器hostname同样的效果。
创建新项目
创建新项目时显示的项目URL前缀只和浏览器当前host有关,和其他配置没有关系,也不会影响其他地方的URL。比如修改本地 hosts 文件将域名设置为一个任意值后,访问GitLab:
开启HTTPS
如果要在GitLab自带的Nginx上开启HTTPS, 需要进行以下配置。
首先,在启动容器时需要添加443端口映射,例如:
docker run --name "my-gitlab" \
--hostname "my-gitlab" \
-p 80:80 \
-p 443:443 \
-v ${GITLAB_HOME}/config:/etc/gitlab \
-v ${GITLAB_HOME}/data:/var/opt/gitlab \
-v ${GITLAB_HOME}/log:/var/log/gitlab \
--restart unless-stopped \
-d gitlab/gitlab-ce:latest
然后修改 config/gitlab.rb 中的 external_url ,使用HTTPS:
external_url 'https://my-gitlab.com'
执行 docker exec -it my-gitlab gitlab-ctl reconfigure 使变更生效。gitlab会在 config/ssl 目录下生成自签名证书,但因为没有CA认证,所以重配置命令最后会报证书检查错误,不过不影响配置生效。
现在可以使用浏览器访问 https://my-gitlab.com 了。同样由于证书没有CA认证,浏览器会有安全警告,需要手动接受证书或者访问会被阻止。
配置证书
如果有CA认证证书,可以按照以下步骤安装和配置。
首先将认证证书和密钥文件放置在 config/ssl 目录下,然后修改NGINX的SSL证书配置。例如:
nginx['ssl_certificate'] = "/etc/gitlab/ssl/my-gitlab.com.pem"
nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/my-gitlab.com.key"
这里假设已经按照上文的方式将 /etc/gitlab 目录映射到宿主机上。当然,证书和密钥也可以放在其他容器可以访问到的目录下,对应修改配置中的目录地址就可以了。
保存配置修改后,执行 docker exec -it my-gitlab gitlab-ctl reconfigure 使变更生效。接下来就可以完全正常的通过浏览器访问安全地址了。
注意,必须要将 external_url 配置为HTTPS地址,GitLab才会开启HTTPS,只配置证书不会开启HTTPS。
配置HTTP跳转
当HTTPS开启之后,GitLab会关闭HTTP访问。此时可以配置GitLab将HTTP请求转发到HTTPS,但不能只以HTTP方式访问。
修改 config/gitlab.rb 添加以下配置:
nginx['redirect_http_to_https'] = true
nginx['redirect_http_to_https_port'] = 80
保存配置修改后,执行 docker exec -it my-gitlab gitlab-ctl reconfigure 使变更生效。此时,再访问HTTP地址,就会跳转到HTTPS。
配置SSH端口
使用Docker部署GitLab,由于一般22端口已经被宿主服务器使用了,需要将GitLab SSH服务的22端口映射到其他端口。接下来以使用8122端口为例。
在创建GitLab容器里,将22端口映射到8122端口:
docker run --name "my-gitlab" \
--hostname "my-gitlab" \
-p 80:80 \
-p 8122:22 \
-v ${GITLAB_HOME}/config:/etc/gitlab \
-v ${GITLAB_HOME}/data:/var/opt/gitlab \
-v ${GITLAB_HOME}/log:/var/log/gitlab \
--restart unless-stopped \
-d gitlab/gitlab-ce:latest
然后在 config/gitlab.rb 中添加以下配置:
gitlab_rails['gitlab_shell_ssh_port'] = 8122
保存配置修改后,执行 docker exec -it my-gitlab gitlab-ctl reconfigure 使变更生效。此时,可以看到项目中的clone URL发生了变化:
注意,这个配置只会使页面上显示的URL发生变化,并不会使GitLab容器里的SSH服务监听的端口发生变化。
关闭自带NGINX
GitLab自带的NGINX可以关闭,但此时需要配置Workhorse服务,因为默认情况下Workhorse只监听Unix Socket。
在 config/gitlab.rb 中添加以下配置:
nginx['enable'] = false
gitlab_workhorse['listen_network'] = "tcp"
gitlab_workhorse['listen_addr'] = "0.0.0.0:8181"
上例中的配置将使Workhorse监听8181端口。保存配置修改后,执行 docker exec -it my-gitlab gitlab-ctl reconfigure 使变更生效。
注意:在启动容器时需要将Workhorse监听的端口映射出来。
使用外部PostgreSQL数据库
GitLab默认使用自带的PostgreSQL数据库,但在正式环境中会希望使用外部的数据库。可以按照以下步骤进行配置。
注意:要使用GitLab对应的数据库版本,此文使用的是PostgreSQL 11.10。可以查考官方文档PostgreSQL Requirements,最好使用Minimum version。
创建数据库role
建议给GitLab创建单独的role用来访问数据库。这个role需要有创建数据库的权限,因为GitLab在初始化数据库时需要创建新库。例如,创建名为 gitlab 的role:
CREATE ROLE gitlab WITH LOGIN PASSWORD 'mypassword' SUPERUSER;
GitLab在初始化数据库的时候,需要superuser权限去执行一些操作。
配置GitLab并初始化数据库
GitLab在默认配置下使用自带的PostgreSQL数据库。如果要使用外部数据库,需要在 config/gitlab.rb 中添加以下配置:
postgresql['enable'] = false
gitlab_rails['db_adapter'] = "postgresql"
gitlab_rails['db_encoding'] = "unicode"
gitlab_rails['db_database'] = "gitlabhq_production"
gitlab_rails['db_username'] = "gitlab"
gitlab_rails['db_password'] = "mypassword"
gitlab_rails['db_host'] = "192.168.1.18"
gitlab_rails['db_port'] = 5432
这里的配置使用了前一小节中创建的role。 db_host 和 db_port 根据环境做对应的调整。
保存配置修改后,执行 docker exec -it my-gitlab gitlab-ctl reconfigure 使配置生效。但此时重载配置的命令最后会报错,如果错误内容是提示PostrgreSQL中数据库不存在,这是正常现象,可以继续执行下一步操作。如果报错内容是其他错误,则需要根据错误内容调整环境配置。
接下来需要对数据库进行初始化,执行以下命令:
docker exec -it my-gitlab gitlab-rake gitlab:setup
注意:这个操作会将配置文件中指定数据库中的数据清空,如果数据库已经存在,请根据自身情况备份数据。
操作正常完成后,GitLab已经开始使用外部数据库了。
建议此时去掉数据库账号的superuser权限:
ALTER ROLE gitlab NOSUPERUSER;
使用外部Redis
GitLab默认使用自带的Redis。如果需要使用外部Redis,需要在 config/gitlab.rb 中添加以下配置:
redis['enable'] = false
gitlab_rails['redis_host'] = "192.168.1.18"
gitlab_rails['redis_port'] = 6379
gitlab_rails['redis_password'] = "mypass"
gitlab_rails['redis_database'] = 0
以上配置中,redis_host,redis_port和redis_database根据环境指定。如果Redis没有设置密码,则不需要 gitlab_rails['redis_password'] 项。
保存配置修改后,执行 docker exec -it my-gitlab gitlab-ctl reconfigure 使配置生效。
关闭自带监控报警
GitLab自带prometheus,altermanger,node_exporter和gitlab_exporter,可以通过添加以下配置将这些服务全部关闭:
prometheus_monitoring['enable'] = false
保存配置修改后,执行 docker exec -it my-gitlab gitlab-ctl reconfigure 使配置生效。
配置Nginx反向代理
通常情况下都会在GitLab前放置一个Nginx做为服务的反向代理。这时,需要对Nginx和GitLab的配置都做出调整。
例如,首先在用来做反向代理的Nginx中,添加以下服务配置:
upstream gitlab-workhorse {
server 192.168.1.18:8181;
}
server {
listen *:80;
server_name my-gitlab;
server_tokens off;
gzip on;
proxy_set_header Host $http_host_with_default;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
location / {
proxy_cache off;
proxy_pass http://gitlab-workhorse;
}
}
以上配置中,假设GitLab服务监听的是 192.168.1.18 上的 8181 端口。X-Real-IP和X-Forwarded-For两个Header用来向GitLab服务传递客户端的真实IP。
为了让GitLab后端能够正常从从X-Real-IP 和 X-Forwarded-For 中读取客户端的IP,需要在 config/gitlab.rb 添加以下配置:
nginx['real_ip_trusted_addresses'] = ['192.168.1.0/24', '172.17.0.0/24']
当Nginx代理也是Docker容器时,其IP有可能是172.17.0.0网段,所以这里也在配置中添加了这个网段。
注意:无论GitLab自带的Nginx服务是否开启,都需要添加这个配置
