Document

版本管理工具Git(二)GitLab部署和配置

安装

复制代码
# 安装依赖包
sudo yum install -y curl policycoreutils-python openssh-server
# 启用并启动SSHD
sudo systemctl enable sshd
sudo systemctl start sshd
# 在防火墙上永久允许HTTP,并重启防火墙
sudo firewall-cmd --permanent --add-service=http
sudo systemctl reload firewalld
复制代码

安装Postfix来发送通知邮件,当然也可以使用其他SMTP服务器来发送邮件

 

下载GitLab的RPM包进行安装,下载地址 我这里下载的是CE版本,EE是企业版收费的。

我这里用7

我这里用第一种方法

修改/etc/gitlab/gitlab.rb配置文件

另外把在DNS上配置这个域名指向这个IP,或者修改你自己机器的本地HOST文件。这里的配置是说外部访问GitLab通过哪个域名来访问。启动gitlab

# 这个命令是对GitLab以及其包含的所有组件生效的,也就是重启、停止、启动和重新配置
# reconfigure 的意思是重新配置,每次修改配置文件后需要运行,然后运行restart
gitlab-ctl stop|start|restart|reconfigure
# 查看当前运行状态
gitlab-ctl status

可以看到除了GitLab之外还有很多独立组件,这都是安装包一起安装的。这些独立组件也可以进行启动或者关闭。具体看官方文档

登录

默认用户名是root,第一次登录需要重置密码

默认会安装的组件:

  • Nginx 提供代理服务
  • Redis 存储用户登录会话,默认会话永不过期

配置

常用目录
/etc/gitlab/gitlab.rb 主配置文件
/var/log/gitlab/ 日志目录
/var/opt/gitlab/ 各个服务的主目录
/var/opt/gitlab/git-data/repositories GIT仓库数据目录

 

 

 

 

 

修改默认仓库数据存储位置

# 建立目录并修改目录权限
mkdir –p /data/git-data
chown git:root /data
chown git:root /data/git-data
chmod 700 /data
chmod 700 /data/git-data

修改配置文件

修改后要运行如下命令:

gitlab-ctl reconfigure
gitlab-ctl restart

原来的目录有数据,那么你修改了存储位置还需要做如下操作

主要就是把原来的数据移动过来,同时修复权限问题。如果是同一台机器可以使用cp –rp复制并保留权限。因为我们这里是新建的所以不存在这样的问题。我们建立一个项目看看数据会放到哪里?

用户和组的管理

默认情况下omnibus-gitlab管理用户和组,有些时候我们需要使用外部的系统来管理用户和组比如通过LDAP,成熟的产品有OpenLDAP以及微软的活动目录,如果我们要引入外部的用户和组的管理就需要禁用gitlab的用户管理功能。

自带用户管理功能

创建组

创建用户

添加用户到组

这里要选择用户以及给予这个用户的项目角色,角色和权限相关,一般开发人员就使用【Developer】角色就行。

与Active Directory服务基础使用外部用户管理

微软的AD服务中使用的就是LDAP,当然使用Linux系统的LDAP也可以,只是微软的AD对于用户管理非常方便。我个人觉得不要迷恋开源非开源的也有很多好东西。

首先需要有一台活动目录服务器(安装略)
其次禁用GitLab的用户和组的管理

配置与AD的LADP协议集成
活动目录结构是这样的,所有用户都在Company这个OU下面,在这个OU下面建立不同的OU。

下面的配置是YAML格式的,格式一定要正确,否则会报错。

下面还有一个Secondary,这个是GitLab企业版支持的功能也就是配置两个LDAP服务器,社区版只能用一个。

配置完运行

gitlab-ctl reconfigure

检查是否可以读取LDAP信息,运行

gitlab-rake gitlab:ldap:check

最后重启GitLab,再次打开登录页面

输入用户名域账号wangtao和密码点击登录

关于bind_dn的说明:这个是说你用哪个账号来绑定,如何查找账号请看下图。这个我这里用的是默认的域管理员,你可以用其他的只要权限够就可以。

 

关于uid的说明:这里面有两种一个是cn;一个是sAMAccountName,有什么区别呢?如果你的域用户都是英文名称那用哪一个都一样,但是如果大部分人都是中文个别外国人是英文,那还是用sAMAccountName。我们来看看这2个名称是什么,通过AD编辑器查看对象属性。

 

 

Cn是中文的,而sAMAccountName是英文的,再看下图AD用户和计算机中的用户属性,显示名是中文的,而登陆用的名称时英文的。所以你会看到如果是中文的这两个名字有区别,所以你要配置成sAMAccountName,否则你会无法登陆。

 

关于base的说明:这里是说从AD中的那个节点开始查找用户,当然你可以设置从AD的根上开始查找,但是这样没有意义,我这里就是设置从存放员工账号的节点开始查找。

 

关于allow_username_or_email_login的说明:含义是是否启用用户名或者邮件地址登陆,建议不启用。因为我们继承AD通常是使用userPrincipalName登陆,也就是下面红框里面的格式,它的确看起来是邮件地址的格式,但是如果allow_username_or_email_login禁用,那么GitLab会把整个输入当做用户名包括@,如果你启用这个选择,那么GitLab会截断@后面的,导致你使用userPrincipalName这种名称无法登陆。

 

 其他配置说明:

  • active_directory:如果你的LDAP服务器是活动目录,那么就配置成true
  • timeout:查询LDAP服务的超时时长
  • block_auto_created_users:这个不太明白,官方文档说这个作用是严格控制GitLab安装中的活跃用户数量,启用该选项新用户则会被阻止,直到管理员处理。

禁用用户注册

既然通过AD管理用户那就没必要开启用户注册功能

 

 

再次打开页面就没有注册标签了

上面说的一些概念在Linux的LDAP中也适用。

参考文档:

https://docs.gitlab.com/omnibus/settings/ldap.html 
https://docs.gitlab.com/ee/administration/auth/ldap.html

存储和目录管理

 

默认路径 权限 属组属主 作用
/var/opt/gitlab/git-data 0700 git:root 仓库目录
/var/opt/gitlab/git-data/repositories 2700 git:root Git仓库
/var/opt/gitlab/gitlab-rails/shared 0751 git:gitlab-www 大对象目录
/var/opt/gitlab/gitlab-rails/shared/artifacts 0700 git:root 持续集成目录
/var/opt/gitlab/gitlab-rails/shared/lfs-objects 0700 git:root LFS对象
/var/opt/gitlab/gitlab-rails/uploads 0700 git:root 用户上传附件目录
/var/opt/gitlab/gitlab-rails/shared/pages 0750 git:gitlab-www 用户站点页面
/var/opt/gitlab/gitlab-ci/builds 0700 git:root 持续集成构建日志路径
/var/opt/gitlab/.ssh 0700 git:root 验证KEYS

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

上面这些目录是在omnibus-gitlab包安装的时候自动建立的,有些目录会保存较大的数据,通常这些目录我们会单独挂载到一个分区中比如NFS或者其他地方。我们可以通过在配置文件中搜索路径来修改。 

日志查看

日志可以通过命令查看而不需要到日志目录中

# 查看所有日志
gitlab-ctl tail
# 查看NGINX的访问日志
gitlab-ctl tail nginx/gitlab_access.log 

https://docs.gitlab.com/omnibus/settings/logs.html

启用SSL

默认没有启用SSL,你需要启用SSL并提供证书文件,然后修改NGINX配置。我们这里建立一个自签名证书。

建立证书目录并把证书拷贝过去

把这里改成https

配置证书路径,开启重定向。默认情况下如果你只修改了上面的,那么NGINX将不会监听80端口,这样你访问80端口的网站就失败,所以这里要开启重定向功能。

更新配置

gitlab-ctl reconfigure

如果开启了防火墙需要新增下面的规则

再次登录

虽然是不信任但是已经应用了证书,实际工作中我们肯定是去公共的机构去申请证书。过程就是这样,我这里为了方便又禁用了SSL,因为不信任的证书很不方便。

posted @ 2019-06-25 16:03  从未被超越  阅读(963)  评论(0编辑  收藏  举报