Debian 上 GitLab 配置技巧与最佳实践
一 安装与基础配置
- 更新系统与安装依赖:执行 sudo apt update && sudo apt install -y curl openssh-server ca-certificates tzdata postfix,为后续安装与邮件通知做准备。
- 添加官方仓库并安装:使用 curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash 添加仓库,随后 sudo apt-get install gitlab-ce。
- 配置外部访问地址:编辑 /etc/gitlab/gitlab.rb,设置 external_url(如:http://your_domain 或 https://your_domain),保存后执行 sudo gitlab-ctl reconfigure 使配置生效。
- 防火墙放行:如使用 UFW,放行 80/443 端口(sudo ufw allow 80,443 && sudo ufw reload),确保外部可访问。
- 首次登录与密码:首次访问 Web 界面设置管理员密码;若需临时查看初始 root 密码,可查看文件 /etc/gitlab/initial_root_password(该文件通常在 24 小时后自动清除)。
二 安全与 HTTPS 配置
- 启用 HTTPS(推荐):在 /etc/gitlab/gitlab.rb 中开启 Let’s Encrypt:
letsencrypt[‘enable’] = true
letsencrypt[‘auto_renew’] = true
letsencrypt[‘contact_emails’] = [‘admin@example.com’]
保存后执行 sudo gitlab-ctl reconfigure,自动申请并续期证书。
- 自签或已有证书:关闭内置 Nginx 自动跳转,改为外部 Nginx 反向代理更灵活(见下一节);或直接在 gitlab.rb 中配置:
nginx[‘enable’] = true
nginx[‘redirect_http_to_https’] = true
nginx[‘ssl_certificate’] = “/path/fullchain.pem”
nginx[‘ssl_certificate_key’] = “/path/privkey.pem”
- 邮件通知与发信安全:启用 SMTP 并规范发件人,示例(端口 587/STARTTLS):
gitlab_rails[‘gitlab_email_enabled’] = true
gitlab_rails[‘gitlab_email_from’] = ‘gitlab@your_domain’
gitlab_rails[‘smtp_enable’] = true
gitlab_rails[‘smtp_address’] = “smtp.your_email.com”
gitlab_rails[‘smtp_port’] = 587
gitlab_rails[‘smtp_user_name’] = “gitlab@your_email.com”
gitlab_rails[‘smtp_password’] = “your_password”
gitlab_rails[‘smtp_domain’] = “your_domain”
gitlab_rails[‘smtp_authentication’] = “login”
gitlab_rails[‘smtp_enable_starttls_auto’] = true
gitlab_rails[‘smtp_tls’] = false
保存后执行 sudo gitlab-ctl reconfigure。
- 安全加固要点:仅开放必要端口(优先 443),禁用不必要服务,保持 GitLab 版本与依赖的及时更新,并定期审计用户与权限。
三 性能与资源优化
- 资源基线:GitLab 建议至少 2GB 内存,推荐 4GB+;磁盘建议使用 SSD 并预留充足空间(如 20GB+ 起步)。
- 工作进程与内存:在资源有限的环境下,适当降低并发与内存占用(示例适用于小型实例):
puma[‘worker_processes’] = 1
puma[‘per_worker_max_memory_mb’] = 512
puma[‘worker_timeout’] = 60
postgresql[‘max_worker_processes’] = 2
postgresql[‘shared_buffers’] = “64MB”
修改后执行 sudo gitlab-ctl reconfigure 并重启服务。
- 连接与并发:按服务器规格调整 Rails 数据库连接池与后台任务并发,例如:
gitlab_rails[‘db_pool’] = 20
sidekiq[‘concurrency’] = 10
避免盲目拉高,结合 CPU/内存/IO 与业务并发实测微调。
- 监控与维护:启用内置监控(如 Prometheus/Grafana),并结合日志轮转与定期清理,提前识别瓶颈与异常。
四 备份恢复与迁移
- 备份策略:配置备份目录与保留时间(示例保留 7 天):
gitlab_rails[‘manage_backup_path’] = true
gitlab_rails[‘backup_path’] = “/var/opt/gitlab/backups”
gitlab_rails[‘backup_keep_time’] = 604800
手动创建备份:sudo gitlab-rake gitlab:backup:create(备份文件位于 /var/opt/gitlab/backups)。
- 恢复流程:在新实例相同版本上,将备份 .tar 文件放入 /var/opt/gitlab/backups,执行:
sudo gitlab-rake gitlab:backup:restore BACKUP=1695041661_2023_09_18_15.1.3
注意:备份与恢复时 GitLab 需处于运行状态,且版本需一致或兼容;同时妥善迁移 /etc/gitlab/ 下的配置文件与 /var/opt/gitlab/ 下的数据目录(如自定义了存储路径)。
五 运维常用命令与排错要点
- 常用运维命令:
sudo gitlab-ctl reconfigure(应用配置变更)
sudo gitlab-ctl restart|start|stop|status(服务控制与状态查看)
sudo gitlab-rake gitlab:backup:create(手动备份)
sudo gitlab-rake gitlab:backup:restore BACKUP=时间戳_版本号(恢复)
- 日志与问题定位:检查 /var/log/gitlab/ 下各组件日志;配置变更后若异常,优先执行 reconfigure 并核对语法与路径权限。
- 外部 Nginx 反向代理要点:在 gitlab.rb 中设置 external_url ‘https://your_domain’,并关闭内置 Nginx(nginx[‘enable’] = false),由外部 Nginx 终止 TLS 并反向代理到 HTTP 8080(或实例实际端口),同时设置合适的 proxy_read_timeout 与头部转发。
