Як встановити GitLab Community Edition (CE) 11.x на Debian 9

Оскільки GitHub був придбаний Microsoft, чимало розробників планували перенести свої власні сховища коду з github.com на альтернативне рішення для самостійного розміщення. GitLab Community Edition (CE) є найпоширенішим вибором.

Як складне та гнучке рішення, GitLab CE можна розгорнути за допомогою різних методів, але тут буде розглянуто лише офіційно рекомендований метод, установка пакету Omnibus.

Передумови

• Свіжий екземпляр сервера Vultr Debian 9 x64 з принаймні 4 Гб пам’яті. Рекомендується 8 ГБ або більше для обслуговування до 100 користувачів. Скажімо, його адреса IPv4: 203.0.113.1.
• Користувач sudo .
• Домен, gitlab.example.comщо вказується на згаданий вище екземпляр.

Примітка: під час розгортання на власному екземплярі сервера обов’язково замініть усі прикладні значення на фактичні.

Крок 1: Виконайте основні завдання для розміщення GitLab CE

Запустіть термінал SSH та увійдіть у свій екземпляр сервера Debian 9 x64 як користувач sudo.

Додайте розділ підкачки та налаштуйте параметр підкачки

Під час розгортання GitLab CE 11.x на машині з 4 ГБ пам’яті потрібно налаштувати розділ підкачки 4 ГБ для безперебійної роботи.

sudo dd if=/dev/zero of=/swapfile count=4096 bs=1M
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo '/swapfile   none    swap    sw    0   0' | sudo tee -a /etc/fstab
free -m

Примітка. Якщо ви використовуєте інший розмір сервера, розмір розділу підкачки може відрізнятися.

Для цілей продуктивності системи рекомендується налаштувати параметр підкачки ядра на низьке значення, наприклад 10:

echo 'vm.swappiness=10' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
cat /proc/sys/vm/swappiness

Результатом catкоманди буде 10.

Налаштуйте ім’я хоста комп’ютера та повне доменне ім’я (FQDN)

Використовуйте такі команди, щоб налаштувати ім’я хоста gitlab, і FQDN gitlab.example.com, для машини:

sudo hostnamectl set-hostname gitlab
sudo sed -i "1 i\203.0.113.1 gitlab.example.com gitlab" /etc/hosts

Ви можете підтвердити результати:

hostname
hostname -f

Налаштувати правила брандмауера

Налаштуйте розумні правила брандмауера для роботи веб-сайту:

sudo iptables -F
sudo iptables -X
sudo iptables -Z
sudo iptables -A INPUT -s $(echo $(w -h ${USER}) | cut -d " " -f3) -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -d 127.0.0.0/8 -j REJECT
sudo iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD DROP

Усі вищенаведені налаштування набудуть чинності негайно. Використовуйте таку команду, щоб перерахувати їх для перегляду:

sudo iptables -L -n

Використовуйте iptable-persistentінструмент, щоб зберегти всі існуючі правила iptables у файлі /etc/iptables/rules.v4, зробивши всі правила iptables постійними:

sudo apt install -y iptables-persistent

Під час встановлення вас запитають, чи хочете ви зберегти поточні правила IPv4/IPv6. Натисніть ENTERдвічі, щоб зберегти поточні правила IPv4 та IPv6 у /etc/iptables/rules.v4та /etc/iptables/rules.v6.

Якщо ви спробуєте оновити правила IPv4 пізніше, використовуйте наступне, щоб зберегти оновлення:

sudo bash -c 'iptables-save > /etc/iptables/rules.v4'

Оновіть систему

sudo apt update
sudo apt upgrade -y && sudo shutdown -r now

Коли система знову запрацює, увійдіть як той самий користувач sudo, щоб продовжити.

Крок 2: Встановіть необхідні залежності

Перед встановленням GitLab CE вам потрібно встановити необхідні залежності:

sudo apt install -y curl openssh-server ca-certificates

Крім того, якщо ви хочете використовувати Postfix для надсилання сповіщень, вам потрібно встановити Postfix:

sudo apt install -y postfix

Під час встановлення може з'явитися екран конфігурації:

1. Натисніть, TABщоб виділити <OK>кнопку на першому екрані, а потім натисніть ENTER.
2. Виберіть Internet Siteі натисніть ENTER.
3. Для цього mail nameполя введіть FQDN вашого сервера gitlab.example.com, і натисніть ENTER.
4. Якщо з’являться інші екрани, натисніть, ENTERщоб прийняти налаштування за замовчуванням.

Запустіть і ввімкніть службу Postfix:

sudo systemctl enable postfix.service
sudo systemctl start postfix.service

Змініть правила брандмауера для Postfix:

sudo iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo bash -c 'iptables-save > /etc/iptables/rules.v4'

Після встановлення Postfix вам необхідно налаштувати Postfix, відредагувавши його основний конфігураційний файл /etc/postfix/main.cfвідповідно до фактичних налаштувань сервера.

Примітка. На додаток до наведених вище інструкцій вам потрібно надіслати заявку в службу підтримки, щоб скасувати блокування Vultr за замовчуванням на порту SMTP 25.

Крім того, якщо ви хочете використовувати інше рішення для обміну повідомленнями, просто пропустіть встановлення Postfix і виберіть використання зовнішнього SMTP-сервера після встановлення GitLab CE.

Крок 3: Налаштуйте репозиторію GitLab APT, а потім встановіть GitLab CE

Налаштуйте репозиторій GitLab CE APT у вашій системі:

cd
curl -sS https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash

Далі встановіть GitLab CE 11.x:

sudo EXTERNAL_URL="http://gitlab.example.com" apt install -y gitlab-ce

Установка може зайняти деякий час.

Нарешті, наведіть свій улюблений веб-браузер на http://gitlab.example.com, а потім надішліть новий пароль, коли буде запропоновано завершити встановлення.

Відтепер використовуйте облікові дані нижче, щоб увійти як адміністратор:

• Ім'я користувача: root
• Пароль: <your-new-password>

Крок 4. Увімкніть доступ HTTPS, інтегрувавши сертифікат Let's Encrypt SSL

На даний момент ви успішно встановили GitLab CE 11.x на вашому сервері, і користувачі вже можуть відвідувати сайт за допомо��ою протоколу HTTP. З міркувань безпеки рекомендується увімкнути доступ HTTPS до вашого сервера GitLab, інтегрувавши сертифікат Let's Encrypt SSL.

Використовуйте viредактор, щоб відкрити файл конфігурації GitLab CE:

sudo vi /etc/gitlab/gitlab.rb

Знайдіть такі два рядки:

external_url 'http://gitlab.example.com'
# letsencrypt['contact_emails'] = [] # This should be an array of email addresses to add as contacts

Замініть їх відповідно:

external_url 'https://gitlab.example.com'
letsencrypt['contact_emails'] = ['admin@example.com']

Збережіть і вийдіть:

:wq!

Переналаштуйте GitLab CE за допомогою оновлених параметрів:

sudo gitlab-ctl reconfigure

Повторна конфігурація може зайняти деякий час.

Після завершення реконфігурації всі користувачі будуть змушені використовувати протокол HTTPS під час доступу до сайту GitLab.

Примітка. Після переходу з HTTP на HTTPS застарілі файли cookie можуть викликати помилку GitLab 422. Очищення файлів cookie вирішує цю проблему.