使用官方提供的 Docker 镜像部署 GitLab 非常方便,相关的安装配置文档也非常详细。本文主要是对一次成功的部署流程进行记录,方便下次快捷部署。
拉取官方镜像
官方提供了「社区版」和「企业版」两种镜像,这里采用「社区版」进行部署,执行以下命令拉取最新的 Docker 镜像。如果需要其他的镜像标签,请查阅官方镜像仓库。
docker pull gitlab/gitlab-ce:latest
创建挂载目录
在宿主机创建以下目录,这些目录将在启动 Docker 容器时进行挂载:
mkdir -p /data/gitlab/config
mkdir -p /data/gitlab/certs
mkdir -p /data/gitlab/logs
mkdir -p /data/gitlab/data
启动容器
docker run -d --name gitlab --hostname gitlab.your_domain.com -p 443:443 -p 80:80 --restart always -v /data/gitlab/certs:/etc/gitlab/ssl -v /data/gitlab/config:/etc/gitlab -v /data/gitlab/logs:/var/log/gitlab -v /data/gitlab/data:/var/opt/gitlab --privileged=true gitlab/gitlab-ce:latest
hostname
和配置文件中的external_url
对应,去掉协议名称。
由于我们使用 HTTPS 进行访问,所以这里将 443 端口映射出来即可,不必映射 80 端口。同样,ssh 的端口也要映射出来(如果不使用 SSH 协议进行代码的 pull 和 push,这里就不需要映射 SSH 端口),宿主机选择的 ssh 端口要和配置文件中gitlab_shell_ssh_port
配置的端口一致。
GitLab 容器启动可能需要几分钟,执行docker logs -f 容器ID
可以观察启动日志。
如果容器启动失败:提示Permission denied 。这时由于挂载的本地目录在容器中没有执行权限, 解决方法是在运行容器的时候,给容器加入权限参数 --privileged=true
,以特权方式启动容器 。
调整配置文件
GitLab 通过 gitlab.rb
文件进行配置,我们需要调整外部链接、邮件、SSL 认证等配置。
配置邮件发送服务
gitlab_rails['gitlab_email_from'] = 'gitlab@your_domain.com'
gitlab_rails['smtp_enable'] = true
gitlab_rails['smtp_address'] = "smtp.exmail.qq.com"
gitlab_rails['smtp_port'] = 465
gitlab_rails['smtp_user_name'] = "gitlab@your_domain.com"
gitlab_rails['smtp_password'] = "your_email_password"
gitlab_rails['smtp_domain'] = "qq.com"
gitlab_rails['smtp_authentication'] = "login"
gitlab_rails['smtp_enable_starttls_auto'] = true
gitlab_rails['smtp_tls'] = true
以上是腾讯企业邮箱的配置示例,部分邮箱服务商可能不支持第三方客户端以邮箱密码进行登录,那么就需要去服务商处获取别的授权密码进行登录。
开启 HTTPS
external_url 'https://gitlab.you_domain.com:443'
#配置http自动跳转到https协议的地址;
nginx['redirect_http_to_https'] = true
#80端口是容器内的端口,如果不配置http://宿主IP:80/将不可访问;
nginx['redirect_http_to_https_port'] = 80
# nginx['ssl_certificate'] = "/etc/gitlab/ssl/gitlab.you_domain.com.pem"
# nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/gitlab.you_domain.com.key"
#配置监听容器内的443端口,注意不是外面主机的443端口
nginx['listen_port'] = 443
nginx['proxy_set_headers'] = {
"Host" => "$http_host_with_default",
"X-Real-IP" => "$remote_addr",
"X-Forwarded-For" => "$proxy_add_x_forwarded_for",
"X-Forwarded-Proto" => "https",
"X-Forwarded-Ssl" => "on",
"Upgrade" => "$http_upgrade",
"Connection" => "$connection_upgrade"
}
nginx['custom_error_pages'] = {
'404' => {
'title' => 'Example title',
'header' => 'Example header',
'message' => 'Example message'
}
}
external_url
会影响 GitLab 中创建项目的 URL 地址,如果不配置,则默认使用容器的 hostname,即容器 ID,这里需要配置为 GitLab 服务的域名。
ssl_certificate
和ssl_certificate_key
用于配置 HTTPS 所需要的证书,这两份证书需要在启动 GitLab 时挂载到容器中。
注意,如果external_url
使用 https:
方案一、由gitlab自动生成证书挂载进来
方案二、申请免费的SSL,复制到/data/gitlab/certs
挂载目录下,使用openssl命令生成.crt文件。
openssl x509 -outform pem -in gitlab.you_domain.com.pem -out gitlab.you_domain.com.crt
SSH 配置
gitlab_rails['gitlab_ssh_host'] = 'gitlab.you_domain.com'
gitlab_rails['gitlab_shell_ssh_port'] = 1022
gitlab_shell_ssh_port
这里的端口会影响 GitLab 项目的 ssh 地址,所以直接配置宿主机映射的端口。
接下来可以执行以下命令使配置变更生效:
docker exec -it my-gitlab gitlab-ctl reconfigure
至此可以通过,一下测试地址访问。
https://gitlab.you_domain.com:443/
宿主机 Nginx 配置
这部分配置是可选的,主要是对 GitLab 服务做一个反向代理,以下是配置示例,都是非常基础的 HTTPS Server 配置,就不再赘述了。
server {
listen 80;
server_name gitlab.you_domain.com;
rewrite ^(.*) https://$host$1 permanent;
}
server {
listen 443 ssl;
server_name gitlab.you_domain.com;
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_certificate /home/admin/.acme.sh/your_domain.com/fullchain.cer;
ssl_certificate_key /home/admin/.acme.sh/your_domain.com/your_domain.com.key;
ssl_trusted_certificate /home/admin/.acme.sh/your_domain.com/ca.cer;
ssl_dhparam /home/admin/.acme.sh/dhparam.pem;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
# 将请求代理到 GitLab 容器
location / {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass https://127.0.0.1:443;
}
# 对 GitLab 的静态资源访问也要做转发,否则页面样式可能出错
location ~ .*.(js|css|png)$ {
proxy_pass https://127.0.0.1:443;
}
}
常见问题
Whoops, GitLab is taking too much time to respond
原因可能是机器内存太小,gitlab最小内存需要2G,建议加大机器内存。
替代方案是增加交换分区的大小,具体如下:
1、检查现有的交换空间大小:
free -m
2、添加交换文件,并设置大小为 2G:
dd if=/dev/zero of=/swapfile bs=1024 count=2048000
3、创建交换空间:
mkswap /swapfile
4、修改 mem.swap 文件权限:
chmod 0600 /swapfile
5、启用新增加的 2G 交换空间:
swapon /swapfile
6、修改 /etc/fstab 文件,添加如下一行:
/swapfile swap swap defaults 0 0