目錄

• 知識要求
• 搭建感想
• 搭建過程
• 參考

知識要求：

• nginx基礎知識

搭建感想

註：以下是我搭建gitlab時的思考，需要nginx的基礎知識，Docker的基礎知識才容易理解，與下面的搭建過程是獨立的，不感興趣可直接略過。

其實gitlab已經搭建並用了一年多了，現在所有的項目管理都通過gitlab完成。但是一直以來都有2個問題：

• 80端口被系統的nginx占用了，所以只能監聽非80端口；
• 443端口也被系統的nginx占用，所以也一直沒增加對https的支持；

最近正在嘗試對所有已有的服務Docker化，一方面想讓gitlab的搭建更簡單些，另一方面也把這兩個問題都處理掉。

於是就做了兩個Docker容器: nginx和gitlab，相當於nginx和gitlab運行在局域網的不同主機，所以端口上沒沖突。nginx是對外的服務器，它做一層反向代理到gitlab就能讓gitlab提供對外的服務。
然而。。。這個做法卻帶來了一個新問題：gitlab需要的是22,80,443端口，80與443通過反向代理解決了，22卻沒辦法解決。因為正常來講，宿主機的SSH肯定也在使用，所以gitlab的SSH監聽端口映射到宿主機會有沖突。

當然了，解決辦法還是有的，不過非常繁瑣。我們做Docker的目的不就是為了降低布署難度嗎？如果使用Docker的配置比在宿主機上還繁瑣，那使用起來就沒太大意義了。
於是gitlab

搭建過程

安裝

gitlab的安裝是很簡單的,先下載安裝包：

wget https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/gitlab-ce-10.2.5-ce.0.el7.x86_64.rpm

安裝：

rpm -Uvh gitlab-ce-10.2.5-ce.0.el7.x86_64.rpm

配置

gitlab內置了nginx的服務，所以默認會占用80和443端口。一般來說，我們做WEB開發，服務器上早就安裝了nginx或者apache，把80和443端口給占了，所以需要做些修改防止沖突。

簡單的修改端口是不可行的，比如80

具體步驟：

1.首先確保你的服務器已經有運行nginx，並且該nginx監聽宿主機的80和443端口。（如果你原來使用的apache，請通過nginx反向代理到apache，這樣apache原來的服務仍然可用）。

2.編輯/etc/gitlab/gitlab.rb:

# 編輯對外的域名（gitlab.papamk.com請添加A記錄指向本服務器的公網IP）：
external_url ‘http://gitlab.papamk.com/‘

# 禁用`gitlab`內置的`nginx`:
nginx[‘enable‘] = false
# 修改成與nginx運行時的用戶一致
web_server[‘external_users‘] = [‘www‘]

修改監聽方式和監聽地址(如果nginx與gitlab都在宿主機上，不用改也行；如果nginx在docker中，則需要修改)

gitlab_workhorse[‘listen_network‘] = "tcp"
# 下面的172.18.147.173為本機IP，根據實際情況修改，不能為localhost或者127.0.0.1，否則docker訪問不到
gitlab_workhorse[‘listen_addr‘] = "172.18.147.173:8181" 

最後執行下面命令讓配置生效：

$gitlab-ctl reconfigure

3.配置nginx
增加gitlab.conf的配置（所有需要註意的地方都加了中文註釋）：

upstream gitlab-workhorse {
  server 172.18.147.173:8181; #根據實際情況修改
}

## Normal HTTP host
server {
  listen 80;
  listen [::]:80 default_server;
  server_name gitlab.papamk.com; ## 修改成自己的域名；
  server_tokens off; ## Don‘t show the nginx version number, a security best practice
  root /opt/gitlab/embedded/service/gitlab-rails/public;

  ## See app/controllers/application_controller.rb for headers set

  ## Individual nginx logs for this GitLab vhost
  access_log  /home/wwwlogs/gitlab_access.log; # 根據實際情況修改
  error_log   /home/wwwlogs/gitlab_error.log; # 根據實際情況修改

  location / {
    client_max_body_size 0;
    gzip off;

    ## https://github.com/gitlabhq/gitlabhq/issues/694
    ## Some requests take more than 30 seconds.
    proxy_read_timeout      300;
    proxy_connect_timeout   300;
    proxy_redirect          off;

    proxy_http_version 1.1;

    proxy_set_header    Host                $http_host;
    proxy_set_header    X-Real-IP           $remote_addr;
    proxy_set_header    X-Forwarded-For     $proxy_add_x_forwarded_for;
    proxy_set_header    X-Forwarded-Proto   $scheme;

    proxy_pass http://gitlab-workhorse;
  }
}

該配置根據官網提供的配置修改而來： https://gitlab.com/gitlab-org/gitlab-recipes/blob/master/web-server/nginx/gitlab-omnibus-nginx.conf。

重啟nginx:

$sudo service nginx restart

4.登陸瀏覽器，這時可以看到安裝成功了，如下圖所示：

首次登陸會要求重置管理員密碼，管理員的默認用戶名為root。

https的支持

1.使用Let‘s encrypt申請免費的SSL證書，該項目提供了一個叫certbot/certbot-auto的工具獲取證書，執行下面命令獲取工具：

$wget https://dl.eff.org/certbot-auto
$chmod +x certbot-auto

執行下面命令生成生成gitlab.papamk.com的證書，其中--agree-tos表示同意協議，--email [email protected]為自己的email。

$./certbot-auto --agree-tos --email [email protected] certonly --webroot -w /opt/gitlab/embedded/service/gitlab-rails/public/ -d gitlab.papamk.com 

執行成功後，可通過以下命令查看下證書位置，nginx需要引用這些文件。（一般位於/etc/letsencrypt/live/gitlab.papamk.com/目錄）

$./certbot-auto certificates

2.修改/etc/gitlab/gitlab.rb，對外的URL改為https:

external_url ‘https://gitlab.papamk.com‘

執行重新配置命令以便讓新配置生效:

$gitlab-ctl reconfigure

3.修改前面的nginx的gitlab.conf的配置，全部替換成下面的內容（所有需要註意的地方都加了中文註釋）：

upstream gitlab-workhorse {
  server 172.18.147.173:8181; #根據實際情況修改
}
## Redirects all HTTP traffic to the HTTPS host
server {
  ## Either remove "default_server" from the listen line below,
  ## or delete the /etc/nginx/sites-enabled/default file. This will cause gitlab
  ## to be served if you visit any address that your server responds to, eg.
  ## the ip address of the server (http://x.x.x.x/)
  listen 0.0.0.0:80;
  listen [::]:80 ipv6only=on default_server;
  server_name gitlab.papamk.com; ## 改成自己的域名
  server_tokens off; ## Don‘t show the nginx version number, a security best practice
  return 301 https://$http_host$request_uri;
  access_log  /home/wwwlogs/gitlab_access.log; # 根據實際情況修改
  error_log   /home/wwwlogs/gitlab_error.log; # 根據實際情況修改
}
## HTTPS host
server {
  listen 0.0.0.0:443 ssl;
  listen [::]:443 ipv6only=on ssl default_server;
  server_name gitlab.papamk.com; ## 改成自己的域名
  server_tokens off; ## Don‘t show the nginx version number, a security best practice
  root /opt/gitlab/embedded/service/gitlab-rails/public;

  ## Strong SSL Security
  ## https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html & https://cipherli.st/
  ssl on;
  ssl_certificate /etc/letsencrypt/live/gitlab.papamk.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/gitlab.papamk.com/privkey.pem;

  # GitLab needs backwards compatible ciphers to retain compatibility with Java IDEs
  ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers on;
  ssl_session_cache shared:SSL:10m;
  ssl_session_timeout 5m;

  ##   sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
  # ssl_dhparam /etc/ssl/certs/dhparam.pem;

  access_log  /home/wwwlogs/gitlab_access.log; # 根據實際情況修改
  error_log   /home/wwwlogs/gitlab_error.log; # 根據實際情況修改
  location / {
    client_max_body_size 0;
    gzip off;

    ## https://github.com/gitlabhq/gitlabhq/issues/694
    ## Some requests take more than 30 seconds.
    proxy_read_timeout      300;
    proxy_connect_timeout   300;
    proxy_redirect          off;

    proxy_http_version 1.1;

    proxy_set_header    Host                $http_host;
    proxy_set_header    X-Real-IP           $remote_addr;
    proxy_set_header    X-Forwarded-Ssl     on;
    proxy_set_header    X-Forwarded-For     $proxy_add_x_forwarded_for;
    proxy_set_header    X-Forwarded-Proto   $scheme;
    proxy_pass http://gitlab-workhorse;
  }
}

重啟nginx:

$sudo service nginx restart

4.定期更新ssl證書
Let‘s encrypt提供的證書，有效期為90天，到期後執行如下命令即可繼續使用：

$./certbot-auto renew

將該命令加入到crontab，每小時刷新一次，就不用擔心過期了。先將該命令移到系統目錄下：

$sudo mv certbot-auto /usr/bin/certbot-auto

然後執行crontab -e，添加一行：

0 */1 * * *  /usr/bin/certbot-auto renew

發送郵件的支持

官網已經給出詳細的配置說明和各大郵件服務提供商的示例，不再對配置做說明： https://docs.gitlab.com/omnibus/settings/smtp.html。

我自己使用163郵箱做測試，而官網示例沒有，這裏給出參考配置：

gitlab_rails[‘gitlab_email_from‘] = ‘[email protected]‘ # 替換成實際的email
gitlab_rails[‘smtp_enable‘] = true                                                      
gitlab_rails[‘smtp_address‘] = "smtp.163.com"                                          
gitlab_rails[‘smtp_port‘] = 465                                                        
gitlab_rails[‘smtp_user_name‘] = "[email protected]" # 替換成實際的email                               
gitlab_rails[‘smtp_password‘] = "xxx"  # 替換成實際的密碼                                          
#gitlab_rails[‘smtp_domain‘] = "163.com"                                                
gitlab_rails[‘smtp_authentication‘] = "login"                                          
gitlab_rails[‘smtp_enable_starttls_auto‘] = true                                        
gitlab_rails[‘smtp_tls‘] = true 

一般來說，服務提供商的SMTP郵箱都會限制每日發送次數（250封左右），所以推薦有興趣的同學用Postfix自建郵箱服務器，或者使用mailgun這種專業的郵件服務提供商。

如果是阿裏雲上的服務器，作為客戶端使用第三方的SMTP配置，會發現被禁止連接SMTP的25端口，需要使用465或者587。

安全相關

• root的密碼建議設置得復雜些;
• 管理員登陸後，推薦開啟註冊郵箱驗證， 防惡意註冊，見：https://docs.gitlab.com/ce/security/user_email_confirmation.html。

參考

• 用Docker安裝Gitlab
• gitlab升級
• 為gitlab啟用let’s encrypt頒布的證書

CentOS 7.x上gitlab搭建教程(https可用，郵件可用)