用自带的Nginx为gitlab做白名单(访问控制)(docker)

最新推荐文章于 2023-06-19 00:43:46 发布
最新推荐文章于 2023-06-19 00:43:46 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: docker gitlab 文章标签: gitlab linux docker nginx centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nanhavezhi/article/details/107253047
版权

唠叨:

我们公司很少有业务跑在外网上,一般都是内网里跑,对内部提供服务的。
这段时间要过等保,机器做一下安全加固,搞一个黑白名单。

需求:除指定IP外,全部禁止访问。

试了几个 gitlab_rails 的文档,都不行,可能是我用的容器的原因??具体我也搞不太清楚。
就想到用nginx做访问控制。这个我搞过,我kibana的访问控制是用nginx做的。

gitlab本身集成的就有Nginx功能,所以不用再安装nginx,还是挺方便的。

直接进入主题吧!!

进入容器

docker  exec  -it -u root gitlab /bin/bash

也可以不进容器 在持久化层找到 配置文件,修改好以后 用 docker exec 命令执行 gitlab-ctl reconfigure 就ok了。

修改 /etc/gitlab/gitlab.rb文件

vim /etc/gitlab/gitlab.rb

nginx['custom_gitlab_server_config'] = "location ~* (.*) {
                deny 192.168.2.109;
                allow 192.168.2.0/24;
                deny all;
                proxy_cache off;
                proxy_pass  http://gitlab-workhorse;
                root   html;
                index  index.html index.htm;}\n"

  1. 此处修改不可以设置location /规则,因为gitlab自己的gitlab-http.conf中已经有对应的配置;

  2. proxy_cache off;\n proxy_pass http://gitlab-workhorse;\n这两行一定要加,不然全部报404错误

  3. root html;\n index index.html index.htm;这两行也要加,因为我们使用location ~* (.*)重置了所有的请求匹配

  4. allow 192.168.2.0/24是指192.168.2.0 - 192.168.2.254的ip区段都可以访问, 如果想匹配192.168.*.*可以使用192.168.0.0/16

  5. deny 192.168.2.109是指拒绝该主机的访问,如果有更多的主机,可以在下一行继续添加拒绝IP地址: deny 192.168.x.x 实现gitlab的IP黑名单设置

  6. deny all除了上面的规则外,拒绝所有其他主机访问。

略略略
容器健康监查机制 参考文档

配置完成后,执行

gitlab-ctl reconfigure

可以重启一下容器,也可以不重启。看心情!!!

参考文档

开源精神,允许转载。
请标明出处。

2020.07.10  楠有枝 于北京·海淀
楠有枝-Sun
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gitlab配置自带Nginx实现网段访问限制、gitlab配置访问白名单gitlab访问IP限制
冯冯领队
03-19 7682
一、在实际应用中,我们个人搭建gitlab环境的时候,都是在公司内网的情况下,只为单独的某个企业/公司使用,所以此时会出现某些特殊的访问需求,比如我只允许公司某个网段中的IP地址访问,或者只允许某几台主机访问gitlab服务器,而拒绝某些主机访问。 二、在外网情况下,也会有恶意IP攻击gitlab服务,进行不友好的访问,此时我们可以找出这些IP地址,将其加入黑名单 三、检查环境,确定你所在的网...
nginx配置tcp转发(nginx通过白名单访问)
05-21
Nginx 配置TCP代理转发 使用Nginx 新版的 stream方式,实现TCP/UDP代理转发。
nginx动态添加访问白名单的方法
01-20
本文实现的功能是:网站启用访问白名单,对于不在白名单中又需要访问的客户,只需打开一个不公开的网址,然后自动获得2小时的访问权限,时间达到后自动删除访问权限 实现此功能需要以下几个步骤: nginx启用访问白名单 客户打开指定网址自动添加访问白名单 为网址添加简单的认证 每两个小时自动恢复默认白名单,删除临时IP访问权限 一、nginx配置访问白名单 这个就比较简单了,简单贴一下配置: …………nginx.conf……….. geo $remote_addr $ip_whitelist { default 0; include ip_white.conf; } …………ser
docker nginx 运行后无法访问的问题解决
09-30
主要介绍了docker nginx 运行后无法访问的问题解决,小编觉得挺不错的,现在分享给大家,也给大家个参考。一起跟随小编过来看看吧
Gitlab访问出现 403 forbidden解决方案
06-05 687
解决办法: 将Gitlab的IP设置为白名单即可。 1.vi/etc/gitlab/gitlab.rb 修改红框部分 其中192.192.17.2是gitlab部署的ip地址 2.配置好后,执行gitlab-ctl reconfigure即可。 ...
Gitlab 服务器搭建
最新发布
weixin_42253874的博客
06-19 1189
GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。安装方法是参考GitLab在GitHub上的Wiki页面。
gitlab出现Forbidden
w2909526的博客
10-23 3808
自建gitlab出现访问Forbidden 打开空白 经查询原因是 Gitlab使用rack_attack了并发访问的限制。 解决方案 将Gitlab的IP设置为白名单即可。 步骤如下: vim /etc/gitlab/gitlab.rb 查找gitlab_rails[‘rack_attack_git_basic_auth’]关键词。 取消注释 修改ip_whitelist白名单属性,加入Git...
添加gitlab IP白名单及删除IP黑名单
oToyix的博客
11-17 3778
添加白名单 root@3eecbb6b6e14:/# vim /etc/gitlab/gitlab.rb gitlab_rails['rack_attack_git_basic_auth'] = { 'enabled' => true, 'ip_whitelist' => ["127.0.0.1","192.168.0.223","192.168.0.141","192.168.100.68","192.168.100.94"], 'maxretry' => 10,
码云 Gitee 新增仓库访问之 IP 白名单功能
cpongo5
01-09 616
开发四年只会写业务代码,分布式高并发都不会还程序员? >>> 码云企业版上线 IP 白名单功能,该...
docker容器里的nginx设置白名单
foreverjiu的博客
05-25 541
注意:仅解决不通过网桥模式的nginx设置白名单 1.查看容器id docker ps 2.查看安装nginx的配置文件的路径 docker inspect 容器名 3.进入容器内部 docker exec -it 容器名 bash 4.进入第二步所找到的配置文件的路径进行修改配置文件 这个可以放在nginx.conf中server或者location下面,这两种白名单范围各有不同 allow 192.168.0.1; deny all; ...
git的ssh密钥生成与gitlab的密钥白名单导入
Early_To_Rise的博客
08-28 262
1.ssh密钥:使用git的Git Bash Here(需要安装git,官网下载),输入cd–>enter–>ssh-keygen.exe–>一路enter下去即可。 2.在.ssh文件中(通常在user文件夹)找到pub文件,用记事本打开,复制文本,在公司的GitLab上创建ssh密钥,粘贴文本即可。 3.在sourceTree的工具–>选项–>ssh密钥中选择id...
nginx设置目录白名单、ip白名单的实现方法
01-20
1.设置目录白名单:对指定请求路径不设置限制,如对请求路径为api目录下的请求不限制,则可写为 server{ location /app { proxy_pass http://192.168.1.111:8095/app; limit_conn conn 20; limit_rate 500k; ...
GitLab常用报错及备份
qq_40907977的博客
06-18 1633
公司的Git服务是由GitLabdocker容器搭建的,当初我搭建/升级/启动都很方便,且没修改gitlab.rb配置文件,用的都是默认配置. 解决方法 根据官方说明:Rack Attack和IP Whitelist,解决方法三种: 添加IP白名单. 加大并发阈值. 直接关闭Rack Attack. 这里我是加大并发阈值和添加IP白名单. 因为跑的是容器,那么就直接进挂载的文件夹里找到config/gitlab.rb后,打开并找到gitlab_rails[‘rack_attack_git_basic
gitlab 403 forbidden
工作记录
06-16 192
1、编辑/etc/gitlab/gitlab.rb文件 一般来说在/etc/gitlab/目录下 可用find / -name ‘gitlab.rb’ 命令查找路径 gitlab_rails['rack_attack_git_basic_auth'] = { 'enabled' => true, 'ip_whitelist' => ["127.0.0.1","192.168.0.42"], 'maxretry' => 10, 'findtime' => 6
k8s调整内核参数报的错。sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: No such file or directory
热门推荐
nanhavezhi的博客
08-31 1万+
sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: No such file or directory `报错信息` k8s调整内核参数报的错。 sysctl:无法统计/ proc / sys / net / netfilter / nf_conntrack_max:无此类文件或目录 Google翻译 可能是 conntrack没有加载 执行 lsmod |grep conntrack 如果 返回 为空,表示没有加载,执行下面命
基于docker部署Jenkins
nanhavezhi的博客
01-15 4998
基于docker部署Jenkins 1.下载镜像 docker pull jenkins/jenkins 一定要安装最新版的 jenkins,如果安装旧版本,很多插件安装不上 2.查看下好的docker镜像 docker images 3.查看是否为最新版的 docker inspect Docker inspect jenkins:2.200 4.创建一个 jenkins 目录 【后面有用...
gitlab状态为unhealthy
nanhavezhi的博客
05-13 4346
重启或启动容器是状态是unhealthy [root@master ~]# docker restart **** Error response from daemon: Cannot restart container gitlab: driver failed programming external connectivity on endpoint gitlab (**************************************************): (iptables fail
Jenkins插件的离线安装、插件依赖关系及插件版本迭代
nanhavezhi的博客
01-15 3946
Jenkins插件的安装、插件依赖关系及插件版本迭代 本文档适用于解决 jenkins部署 完成后,插件的安装、依赖及版本迭代问题 公司的网是内网,想要访问外网需要通过代理服务器。部署jenkins是在内网的,也就是说离线环境下部署。 根据需求,提出插件迁移的解决方案。 一、在有网的环境部署jenkins的插件问题 1.安装插件 因为访问外网需要手动配置代理的原因,第一次登进去后会出现以下的界面 ...
升级docker部署的nexus3时,遇到的一些问题
nanhavezhi的博客
05-18 2505
跑起一个容器,状态一直是 Restarting (255) 查看日志报这个错 ... 12 more Error creating bundle cache. Unable to update instance pid: Unable to create directory /nexus-data/instances mkdir: cannot create directory ‘…/sonatype-work/nexus3/log’: Permission denied mkdir: cannot c
nginx配置访问白名单
05-27
要配置 Nginx白名单,可以使用 ngx_http_access_module 模块。具体的配置步骤如下: 1. 在 Nginx 的配置文件中,添加以下语句来加载 ngx_http_access_module 模块: ``` load_module modules/ngx_http_access_module.so; ``` 2. 在 Nginx 的配置文件中,添加以下语句来配置白名单: ``` http { ... # 定义白名单 IP 地址段 geo $whitelist { default 0; 192.168.0.0/16 1; 10.0.0.0/8 1; } # 配置白名单访问规则 server { ... # 只允许白名单中的 IP 地址访问 location / { deny all; allow $whitelist; } ... } ... } ``` 在上面的配置中,我们使用 geo 模块来定义了一个名为 $whitelist 的变量,用来保存白名单 IP 地址段。在 server 块中,我们使用了 allow 和 deny 指令来配置访问规则,只允许白名单中的 IP 地址访问。 需要注意的是,$whitelist 变量的值可以是任何字符串,只要它的值是 0 或 1 即可。在这里,我们使用了 IP 地址段来定义 $whitelist 变量的值,如果客户端的 IP 地址在白名单中,则 $whitelist 的值为 1,否则为 0。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值