CentOS服务器上GitLab的最佳实践

CentOS服务器上GitLab的最佳实践

一、安装与配置优化

1. 准备工作
   安装前确保系统为最新版本（sudo yum update -y），并安装必要依赖包（openssh-server、postfix、cronie、policycoreutils），用于SSH访问、邮件通知和定时任务。
2. 使用官方/镜像源安装
   通过GitLab官方脚本或国内镜像（如清华大学源）添加软件源，避免第三方源的安全风险。例如使用清华源：

   curl https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/gitlab-ce-14.1.0-ce.0.el7.x86_64.rpm | sudo bash
   sudo yum install -y gitlab-ce
   

3. 配置外部访问与邮件服务
   修改/etc/gitlab/gitlab.rb设置外部URL（如external_url 'http://your_server_ip'），并配置SMTP邮件（如QQ邮箱）用于通知：

   gitlab_rails['smtp_enable'] = true
   gitlab_rails['smtp_address'] = "smtp.qq.com"
   gitlab_rails['smtp_port'] = 465
   gitlab_rails['smtp_user_name'] = "your_email@qq.com"
   gitlab_rails['smtp_password'] = "your_password"
   gitlab_rails['smtp_authentication'] = "login"
   gitlab_rails['smtp_tls'] = true
   gitlab_rails['gitlab_email_from'] = 'your_email@qq.com'
   

   执行sudo gitlab-ctl reconfigure应用配置并重启服务。

二、安全加固

1. 防火墙与SSH配置
   使用firewall-cmd开放必要端口（HTTP 80、HTTPS 443、SSH 22），并禁用root直接登录：

   sudo firewall-cmd --permanent --add-service=http --add-service=https --add-service=ssh
   sudo firewall-cmd --reload
   

   配置SSH密钥认证（ssh-keygen -t rsa -C "your_email"，将公钥添加至GitLab用户设置），提升远程访问安全性。
2. 启用HTTPS与权限管理
   申请SSL证书（如Let’s Encrypt），配置gitlab.rb启用HTTPS：

   nginx['enable'] = true
   nginx['listen_port'] = 443
   nginx['listen_https'] = true
   nginx['ssl_certificate'] = "/etc/letsencrypt/live/your_domain/fullchain.pem"
   nginx['ssl_certificate_key'] = "/etc/letsencrypt/live/your_domain/privkey.pem"
   

   实施RBAC（角色基础访问控制），限制用户对敏感项目（如生产环境代码）的操作权限（如仅管理员可推送至main分支）。

三、性能优化

1. 硬件配置
   GitLab是内存密集型应用，推荐配置：
   • CPU：至少4核（8核以上最佳）；
   • 内存：至少8GB（16GB以上推荐）；
   • 存储：使用SSD（50GB以上，三副本存储提升可靠性）。
2. GitLab配置调整
   根据CPU核心数调整Unicorn（处理HTTP请求）和Sidekiq（后台任务）的并发数：

   unicorn['worker_processes'] = 4  # 建议为CPU核心数的1-2倍
   sidekiq['concurrency'] = 25      # 建议为CPU核心数的1-1.5倍
   

   启用缓存（内存存储）减少数据库访问：

   gitlab_rails['cache_store'] = :memory_store, { size: 64.megabytes }
   

3. 内核与存储优化
   调整内核参数提升网络与文件处理性能（/etc/sysctl.conf）：

   net.core.somaxconn = 65535
   net.ipv4.tcp_max_syn_backlog = 65535
   net.ipv4.tcp_tw_reuse = 1
   net.ipv4.ip_local_port_range = 1024 65535
   

   使用sysctl -p使配置生效。存储方面，将Git数据目录（/var/opt/gitlab/git-data）挂载至SSD，提升仓库读写速度。

四、监控与维护

1. 监控系统状态
   使用GitLab内置的Prometheus（监控指标）和Grafana（可视化）监控服务器资源（CPU、内存、磁盘）、GitLab组件（Puma、Sidekiq）的状态，及时发现性能瓶颈。
2. 日志与备份
   定期清理过期日志（/var/log/gitlab），避免磁盘空间耗尽；配置自动备份（gitlab-rake gitlab:backup:create），将备份文件存储至异地（如对象存储MinIO）或本地磁盘，确保数据安全。
3. 定期更新
   关注GitLab官方更新日志，及时升级至最新稳定版本（sudo yum update gitlab-ce），获取安全修复和新功能，避免因版本过旧导致的安全风险。

五、协作与高级功能

1. 分支策略与CI/CD
   采用GitFlow或GitLab Flow分支策略（如main分支保护，feature分支开发，release分支预发布），确保代码有序合并；配置.gitlab-ci.yml文件实现自动化构建、测试、部署（如Jenkins联动），提升开发效率。
2. 大文件管理
   使用**Git LFS（Large File Storage）**管理大型文件（如视频、二进制文件），避免仓库体积过大导致克隆缓慢。安装LFS后，在项目中执行git lfs install并跟踪大文件类型（如*.psd）。