Как да инсталирате GitLab Community Edition (CE) 11.x на Debian 9

Тъй като GitHub беше придобит от Microsoft, доста разработчици планираха да мигрират собствените си хранилища на код от github.com към алтернативно самостоятелно хоствано решение. GitLab Community Edition (CE) е най-често срещаният избор.

Като сложно и гъвкаво решение, GitLab CE може да бъде разгърнат с помощта на различни методи, но тук ще бъде обхванат само официално препоръчания метод, инсталирането на пакет Omnibus.

Предпоставки

• Нов Vultr Debian 9 x64 сървърен екземпляр с поне 4 GB памет. 8GB или повече се препоръчват за обслужване на до 100 потребители. Да кажем, че неговият IPv4 адрес е 203.0.113.1.
• А потребителското Sudo .
• Домейн gitlab.example.com, насочен към гореспоменатия екземпляр.

Забележка: Когато разгръщате на вашия собствен сървърен екземпляр, не забравяйте да замените всички примерни стойности с действителни.

Стъпка 1: Изпълнете основни задачи за хостване на GitLab CE

Стартирайте SSH терминал и влезте във вашия сървър на Debian 9 x64 като потребител на sudo.

Добавете суап дял и настройте настройката за размяна

Когато разгръщате GitLab CE 11.x на машина с 4GB памет, е необходимо да настроите 4GB суап дял за безпроблемна работа.

sudo dd if=/dev/zero of=/swapfile count=4096 bs=1M
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo '/swapfile   none    swap    sw    0   0' | sudo tee -a /etc/fstab
free -m

Забележка: Ако използвате различен размер на сървъра, размерът на суап дяла може да варира.

За целите на производителността на системата се препоръчва да конфигурирате настройката за размяна на ядрото на ниска стойност като 10:

echo 'vm.swappiness=10' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
cat /proc/sys/vm/swappiness

Резултатът от catкомандата ще бъде 10.

Настройте името на хоста на машината и пълното име на домейн (FQDN)

Използвайте следните команди, за да настроите име на хост, gitlab, и FQDN, gitlab.example.com, за машината:

sudo hostnamectl set-hostname gitlab
sudo sed -i "1 i\203.0.113.1 gitlab.example.com gitlab" /etc/hosts

Можете да потвърдите резултатите:

hostname
hostname -f

Настройте правилата на защитната стена

Настройте разумни правила за защитна стена за стартиране на уебсайт:

sudo iptables -F
sudo iptables -X
sudo iptables -Z
sudo iptables -A INPUT -s $(echo $(w -h ${USER}) | cut -d " " -f3) -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -d 127.0.0.0/8 -j REJECT
sudo iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD DROP

Всички горепосочени настройки ще влязат в сила незабавно. Използвайте следната команда, за да ги изброите за преглед:

sudo iptables -L -n

Използвайте iptable-persistentинструмента, за да запишете всички съществуващи iptables правила във файл /etc/iptables/rules.v4, като направите всички правила за iptables постоянни:

sudo apt install -y iptables-persistent

По време на инсталацията ще бъдете попитани дали искате да запазите текущите правила за IPv4/IPv6. Натиснете ENTERдва пъти, за да запазите текущите правила за IPv4 и IPv6 в /etc/iptables/rules.v4и /etc/iptables/rules.v6.

Ако се опитате да актуализирате правилата за IPv4 по-късно, използвайте следното, за да запазите актуализацията си:

sudo bash -c 'iptables-save > /etc/iptables/rules.v4'

Актуализирайте системата

sudo apt update
sudo apt upgrade -y && sudo shutdown -r now

Когато системата работи отново, влезте отново като същия потребител на sudo, за да продължите.

Стъпка 2: Инсталирайте необходимите зависимости

Преди да инсталирате GitLab CE, трябва да инсталирате необходимите зависимости:

sudo apt install -y curl openssh-server ca-certificates

Освен това, ако искате да използвате Postfix за изпращане на уведомителни съобщения, трябва да инсталирате Postfix:

sudo apt install -y postfix

По време на инсталацията може да се появи екран за конфигурация:

1. Натиснете, за TABда маркирате <OK>бутона на първия екран, след което натиснете ENTER.
2. Изберете Internet Siteи натиснете ENTER.
3. За mail nameполето въведете FQDN на вашия сървър gitlab.example.com, и натиснете ENTER.
4. Ако се появят други екрани, натиснете, за ENTERда приемете настройките по подразбиране.

Стартирайте и активирайте услугата Postfix:

sudo systemctl enable postfix.service
sudo systemctl start postfix.service

Промяна на правилата на защитната стена за Postfix:

sudo iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo bash -c 'iptables-save > /etc/iptables/rules.v4'

След като инсталирате Postfix, трябва да конфигурирате Postfix, като редактирате основния му конфигурационен файл /etc/postfix/main.cfв съответствие с действителните настройки на вашия сървър.

Забележка: В допълнение към горните инструкции, трябва да изпратите билет за поддръжка, за да отмените блокирането по подразбиране на Vultr на SMTP порт 25.

Като алтернатива, ако искате да използвате друго решение за съобщения, просто пропуснете инсталирането на Postfix и изберете да използвате външен SMTP сървър, след като GitLab CE е инсталиран.

Стъпка 3: Настройте репозиторията на GitLab APT и след това инсталирайте GitLab CE

Настройте GitLab CE APT хранилище на вашата система:

cd
curl -sS https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash

След това инсталирайте GitLab CE 11.x:

sudo EXTERNAL_URL="http://gitlab.example.com" apt install -y gitlab-ce

Инсталацията може да отнеме известно време.

Накрая насочете любимия си уеб браузър към http://gitlab.example.comи след това изпратете нова парола, като бъдете подканени да завършите инсталацията.

Отсега нататък използвайте идентификационните данни по-долу, за да влезете като администратор:

• потребителско име: root
• парола: <your-new-password>

Стъпка 4: Активирайте HTTPS достъпа чрез интегриране на Let's Encrypt SSL сертификат

Засега успешно сте инсталирали GitLab CE 11.x на вашия сървърен екземпляр и потребителите вече могат да посещават сайта, използвайки HTTP протокола. От съображения за сигурност се препоръчва да активирате HTTPS достъп до вашия GitLab сървър чрез интегриране на Let's Encrypt SSL сертификат.

Използвайте viредактора, за да отворите конфигурационния файл на GitLab CE:

sudo vi /etc/gitlab/gitlab.rb

Намерете следните два реда:

external_url 'http://gitlab.example.com'
# letsencrypt['contact_emails'] = [] # This should be an array of email addresses to add as contacts

Сменете ги съответно:

external_url 'https://gitlab.example.com'
letsencrypt['contact_emails'] = ['[email protected]']

Запазете и излезте:

:wq!

Преконфигурирайте GitLab CE, като използвате актуализирани настройки:

sudo gitlab-ctl reconfigure

Преконфигурирането може да отнеме известно време.

След като преконфигурирането бъде извършено, всички потребители ще бъдат принудени да използват HTTPS протокола при достъп до сайта на GitLab.

Забележка: След преминаване от HTTP към HTTPS, наследените бисквитки могат да причинят грешка в GitLab 422. Изчистването на бисквитките решава този проблем.