Ubuntu上GitLab最佳实践分享
sudo apt update && sudo apt upgrade -y);安装必要依赖(curl、openssh-server、ca-certificates、postfix),其中postfix用于GitLab邮件通知。curl -sS https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash),避免第三方源的安全风险。/etc/gitlab/gitlab.rb文件,设置external_url为服务器域名或IP(如http://your-gitlab-domain.com);启用HTTPS(通过Let’s Encrypt免费获取证书:sudo apt install certbot python3-certbot-nginx && sudo certbot --nginx -d your-gitlab-domain.com);配置防火墙(sudo ufw allow http && sudo ufw allow https),限制仅必要端口访问。gitlab_rails['rack_attack_git_basic_auth'])、缓存设置(启用Redis缓存:redis['enable'] = true);启用CDN加速静态资源访问,减少用户延迟。postgresql['max_connections'] = 100)、共享缓冲区(postgresql['shared_buffers'] = "25%");定期优化数据库索引(通过GitLab内置工具自动优化)。git branch -d或GitLab UI删除)、旧日志文件(/var/log/gitlab/目录);使用Git垃圾回收功能(sudo gitlab-rake gitlab:gc)压缩仓库数据,减少数据库负担。/etc/ssh/sshd_config中设置PasswordAuthentication no)。sudo gitlab-rake gitlab:backup:create),备份文件存储在/var/opt/gitlab/backups目录,测试恢复流程(sudo gitlab-rake gitlab:backup:restore BACKUP=timestamp);及时升级GitLab至最新稳定版本(sudo apt update && sudo apt install gitlab-ce),获取安全补丁。.gitignore文件忽略敏感信息(如*.key、*.env);检查提交内容(使用Git钩子或第三方工具),防止敏感信息上传;配置代码扫描(GitLab内置的SAST/Dependency Scanning功能),识别代码漏洞。main分支用于生产、develop分支用于集成、feature/*分支用于开发),确保代码稳定性;定期清理不再使用的分支。.gitlab-ci.yml文件定义自动化任务(如构建、测试、部署);使用GitLab Runner执行CI/CD流程(注册Runner:sudo gitlab-runner register),提升开发效率。Guest(只读)、Reporter(查看报告)、Developer(推送代码)、Maintainer(合并MR)、Owner(管理项目)),避免未授权操作。/var/log/gitlab/目录),定期清理过期日志(如保留7天)。sudo apt list --upgradable | grep gitlab-ce),及时升级至最新稳定版本;每月测试备份恢复流程,确保数据可恢复;每季度审查权限设置,调整用户角色。
