在Debian上部署GitLab有哪些最佳实践

在Debian上部署GitLab的最佳实践

一、安装前准备

1. 更新系统包：运行sudo apt update && sudo apt upgrade -y，确保系统软件包为最新版本，避免兼容性问题。
2. 安装必要依赖：安装curl（用于下载脚本）、openssh-server（支持SSH访问）、ca-certificates（SSL证书验证）、postfix（邮件通知，可选择“Internet Site”配置）。
3. 添加GitLab官方仓库：通过curl -sS https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash添加官方仓库，确保获取最新版本的GitLab Community Edition（CE）。

二、安装与基础配置

1. 安装GitLab CE：使用EXTERNAL_URL="http://your_server_ip_or_domain" sudo apt install gitlab-ce命令安装，替换为你的服务器IP或域名（后续可通过/etc/gitlab/gitlab.rb修改）。
2. 配置外部URL：编辑/etc/gitlab/gitlab.rb，找到external_url参数，设置为你的域名（如external_url 'https://gitlab.example.com'），确保访问路径正确。
3. 重新配置并重启：运行sudo gitlab-ctl reconfigure应用配置，sudo gitlab-ctl restart重启GitLab服务，使更改生效。
4. 设置防火墙：使用UFW允许HTTP（80）、HTTPS（443）和SSH（22）端口：sudo ufw allow 80/tcp && sudo ufw allow 443/tcp && sudo ufw allow 22/tcp && sudo ufw enable。

三、安全加固

1. 配置HTTPS：使用Let’s Encrypt免费证书，修改/etc/gitlab/gitlab.rb中的letsencrypt['enable'] = true和letsencrypt['auto_renew'] = true，然后运行sudo gitlab-ctl reconfigure自动获取并配置SSL证书。
2. 限制root访问：避免使用root用户日常登录GitLab，创建普通用户并通过sudo管理；禁用SSH root登录（编辑/etc/ssh/sshd_config，设置PermitRootLogin no）。
3. 强密码策略：通过PAM模块强化密码复杂度，要求包含大小写字母、数字和特殊字符，长度不少于8位。
4. SSH密钥认证：为用户生成SSH密钥（ssh-keygen -t rsa -b 4096），将公钥（id_rsa.pub）添加到GitLab（通过Profile Settings > SSH Keys），禁用密码登录（编辑/etc/ssh/sshd_config，设置PasswordAuthentication no）。

四、性能优化

1. 硬件要求：根据团队规模选择配置：小型团队（5-10人）建议8核CPU、8GB内存、500GB SSD；中型团队（10-50人）建议16核CPU、16GB内存、1TB SSD。
2. 存储优化：
   • 将GitLab数据目录（/var/opt/gitlab）迁移至SSD，提升磁盘IO性能。
   • 启用Git数据压缩（gitlab_rails['git_data_compression'] = true），减少存储占用。
   • 对于大附件或备份文件，使用对象存储（如MinIO），修改/etc/gitlab/gitlab.rb中的gitlab_rails['object_store']['enabled'] = true。
3. 配置调整：
   • 调整PostgreSQL缓冲区：postgresql['shared_buffers'] = "25% of total RAM"（如16GB内存设置为4GB），postgresql['work_mem'] = "4MB"。
   • 优化Unicorn进程：unicorn['worker_processes'] = CPU核心数（如8核设置为8），unicorn['timeout'] = 60（避免长时间阻塞）。
   • 启用Redis缓存：redis['enable'] = true，加速数据访问。
4. 清理无用数据：定期运行以下命令清理旧备份、CI/CD作业和日志：
   • sudo gitlab-rake gitlab:backup:cleanup（清理30天前的备份）。
   • sudo gitlab-rake gitlab:ci:cleanup（清理30天前的CI作业）。
   • sudo journalctl --vacuum-time=2weeks（清理2周前的系统日志）。

五、监控与维护

1. 内置监控：GitLab集成Prometheus，通过/-/metrics端点查看性能指标（如CPU、内存、磁盘使用率），可在/etc/gitlab/gitlab.rb中配置报警规则。
2. 日志管理：常用日志路径：/var/log/gitlab/gitlab-rails/production.log（应用日志）、/var/log/gitlab/gitlab-shell/gitlab-shell.log（SSH日志）。使用ELK Stack（Elasticsearch+Logstash+Kibana）进行日志分析，实现实时监控。
3. 定期更新：及时升级GitLab至最新稳定版本（sudo apt update && sudo apt upgrade gitlab-ce），获取安全补丁和新功能。
4. 自动备份：配置每日自动备份（sudo gitlab-rake gitlab:backup:create CRON=0 2 * * *），将备份文件存储到远程服务器或对象存储，定期测试恢复流程。

六、CI/CD优化

1. 并行化构建：在.gitlab-ci.yml中使用parallel关键字，将任务拆分为多个并行 job（如parallel: 4），缩短构建时间。
2. 缓存依赖：通过cache关键字缓存依赖文件（如vendor/bundle、node_modules），避免每次构建重复下载：

   cache:
     key: ${CI_COMMIT_REF_SLUG}
     paths:
       - vendor/bundle/
       - node_modules/
   ```。  
   

3. 限制资源：为每个job分配合理的资源（如resources.requests.cpu、resources.limits.memory），避免单个job占用过多资源影响其他任务。
4. 监控流水线：使用GitLab的CI/CD监控工具（/pipelines页面），查看job执行时间、成功率，识别瓶颈并优化。