Kaip įdiegti „GitLab Community Edition“ (CE) 11.x „Debian 9“.

Kadangi „Microsoft“ įsigijo „GitHub“, nemažai kūrėjų planavo perkelti savo kodų saugyklas iš github.com į alternatyvų savarankiškai priglobtą sprendimą. GitLab Community Edition (CE) yra labiausiai paplitęs pasirinkimas.

Kaip sudėtingas ir lankstus sprendimas, „GitLab CE“ gali būti įdiegtas naudojant įvairius metodus, tačiau čia bus aptariamas tik oficialiai rekomenduojamas metodas – „Omnibus“ paketo diegimas.

Būtinos sąlygos

• Naujas Vultr Debian 9 x64 serverio egzempliorius su mažiausiai 4 GB atminties. 8 GB ar daugiau rekomenduojama aptarnauti iki 100 vartotojų. Tarkime, kad jo IPv4 adresas yra 203.0.113.1.
• Sudo vartotojas .
• Domenas gitlab.example.comnukreiptas į anksčiau minėtą atvejį.

Pastaba: Diegdami savo serverio egzemplioriuje būtinai pakeiskite visas pavyzdines reikšmes tikrosiomis.

1 veiksmas: atlikite pagrindines GitLab CE prieglobos užduotis

Įjunkite SSH terminalą ir prisijunkite prie savo Debian 9 x64 serverio egzemplioriaus kaip sudo vartotojas.

Pridėkite apsikeitimo skaidinį ir pakoreguokite apsikeitimo nustatymą

Diegiant „GitLab CE 11.x“ įrenginyje su 4 GB atminties, norint sklandžiai veikti, reikia nustatyti 4 GB apsikeitimo skaidinį.

sudo dd if=/dev/zero of=/swapfile count=4096 bs=1M
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo '/swapfile   none    swap    sw    0   0' | sudo tee -a /etc/fstab
free -m

Pastaba: Jei naudojate kitokio dydžio serverį, apsikeitimo skaidinio dydis gali skirtis.

Sistemos našumo sumetimais rekomenduojama sukonfigūruoti branduolio apsikeitimo parametrą į mažą reikšmę, pvz 10.:

echo 'vm.swappiness=10' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
cat /proc/sys/vm/swappiness

Komandos išvestis catbus 10.

Nustatykite įrenginio pagrindinio kompiuterio pavadinimą ir visiškai kvalifikuotą domeno pavadinimą (FQDN)

Norėdami nustatyti įrenginio pagrindinio kompiuterio pavadinimą gitlabir FQDN, naudokite šias komandas gitlab.example.com:

sudo hostnamectl set-hostname gitlab
sudo sed -i "1 i\203.0.113.1 gitlab.example.com gitlab" /etc/hosts

Galite patvirtinti rezultatus:

hostname
hostname -f

Nustatykite ugniasienės taisykles

Nustatykite pagrįstas užkardos taisykles svetainei paleisti:

sudo iptables -F
sudo iptables -X
sudo iptables -Z
sudo iptables -A INPUT -s $(echo $(w -h ${USER}) | cut -d " " -f3) -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -d 127.0.0.0/8 -j REJECT
sudo iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD DROP

Visi pirmiau minėti nustatymai įsigalios iš karto. Norėdami juos peržiūrėti, naudokite šią komandą:

sudo iptables -L -n

Naudokite iptable-persistentįrankį, kad išsaugotumėte visas esamas iptables taisykles faile /etc/iptables/rules.v4, kad visos iptables taisyklės būtų nuolatinės:

sudo apt install -y iptables-persistent

Diegimo metu jūsų paklaus, ar norite išsaugoti esamas IPv4/IPv6 taisykles. Paspauskite ENTERdu kartus, kad išsaugotumėte esamas IPv4 ir IPv6 taisykles į /etc/iptables/rules.v4ir /etc/iptables/rules.v6.

Jei bandysite atnaujinti IPv4 taisykles vėliau, naudokite šiuos veiksmus, kad išsaugotumėte naujinimą:

sudo bash -c 'iptables-save > /etc/iptables/rules.v4'

Atnaujinkite sistemą

sudo apt update
sudo apt upgrade -y && sudo shutdown -r now

Kai sistema vėl pradės veikti, prisijunkite kaip tas pats sudo vartotojas, kad galėtumėte tęsti.

2 veiksmas: įdiekite reikiamas priklausomybes

Prieš diegdami GitLab CE, turite įdiegti reikiamas priklausomybes:

sudo apt install -y curl openssh-server ca-certificates

Be to, jei norite naudoti „Postfix“ pranešimų pranešimams siųsti, turite įdiegti „Postfix“:

sudo apt install -y postfix

Diegimo metu gali pasirodyti konfigūracijos ekranas:

1. Paspauskite, TABkad paryškintumėte <OK>mygtuką pirmame ekrane, tada paspauskite ENTER.
2. Pasirinkite Internet Siteir paspauskite ENTER.
3. Dėl mail namelauko, įvesti savo serverio FQDN, gitlab.example.comir paspauskite ENTER.
4. Jei pasirodo kiti ekranai, paspauskite , ENTERkad patvirtintumėte numatytuosius nustatymus.

Paleiskite ir įjunkite „Postfix“ paslaugą:

sudo systemctl enable postfix.service
sudo systemctl start postfix.service

Pakeiskite „Postfix“ ugniasienės taisykles:

sudo iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo bash -c 'iptables-save > /etc/iptables/rules.v4'

Įdiegę Postfix, turite sukonfigūruoti Postfix redaguodami pagrindinį konfigūracijos failą /etc/postfix/main.cfpagal savo serverio nustatymus.

Pastaba: Be anksčiau pateiktų instrukcijų, turite pateikti palaikymo bilietą, kad atšauktumėte numatytąjį Vultr bloką SMTP prievade 25.

Arba, jei norite naudoti kitą pranešimų siuntimo sprendimą, tiesiog praleiskite „Postfix“ diegimą ir pasirinkite naudoti išorinį SMTP serverį, kai įdiegsite „GitLab CE“.

3 veiksmas: nustatykite „GitLab APT“ repo ir įdiekite „GitLab CE“.

Savo sistemoje nustatykite „GitLab CE APT“ saugyklą:

cd
curl -sS https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash

Tada įdiekite „GitLab CE 11.x“:

sudo EXTERNAL_URL="http://gitlab.example.com" apt install -y gitlab-ce

Diegimas gali užtrukti.

Galiausiai nukreipkite savo mėgstamą žiniatinklio naršyklę į http://gitlab.example.com, tada pateikite naują slaptažodį, kaip būsite paraginti, kad užbaigtumėte diegimą.

Nuo šiol naudokite toliau pateiktus kredencialus, kad prisijungtumėte kaip administratorius:

• Vartotojo vardas: root
• Slaptažodis: <your-new-password>

4 veiksmas: įgalinkite HTTPS prieigą integruodami Let's Encrypt SSL sertifikatą

Šiuo metu sėkmingai įdiegėte GitLab CE 11.x savo serverio egzemplioriuje, o vartotojai jau gali apsilankyti svetainėje naudodami HTTP protokolą. Saugumo sumetimais rekomenduojama įgalinti HTTPS prieigą prie „GitLab“ serverio integruojant Let's Encrypt SSL sertifikatą.

Norėdami viatidaryti „GitLab CE“ konfigūracijos failą, naudokite rengyklę:

sudo vi /etc/gitlab/gitlab.rb

Raskite šias dvi eilutes:

external_url 'http://gitlab.example.com'
# letsencrypt['contact_emails'] = [] # This should be an array of email addresses to add as contacts

Pakeiskite juos atitinkamai:

external_url 'https://gitlab.example.com'
letsencrypt['contact_emails'] = ['admin@example.com']

Išsaugoti ir išeiti:

:wq!

Iš naujo sukonfigūruokite „GitLab CE“ naudodami atnaujintus nustatymus:

sudo gitlab-ctl reconfigure

Perkonfigūravimas gali užtrukti.

Atlikus perkonfigūraciją, visi vartotojai, prisijungdami prie „GitLab“ svetainės, bus priversti naudoti HTTPS protokolą.

Pastaba: perėjus iš HTTP į HTTPS, pasenę slapukai gali sukelti GitLab 422 klaidą. Išvalius slapukus ši problema išsprendžiama.