Py学习  »  docker

Docker折腾记: (3)Docker Compose构建Gitlab,从配置(https,邮箱验证)到基本可用

CRPER • 5 年前 • 512 次点击  
阅读 33

Docker折腾记: (3)Docker Compose构建Gitlab,从配置(https,邮箱验证)到基本可用

前言

gitlab 11.1内置了CI/CD,这个特性从gitlab 8+就开始有了,不过配置比较琐碎

经过几个大版本的迭代,现在已经简化了使用方式,也修复了一些坑,这个特性大大吸引了我;

好东西不拿来用对不起自己,开始了漫漫的爬坑之路;

东西是部署在公司内的,所以就不开放访问了,但是可以参考下我的大体配置;

至于为什么采用docker来部署,好迁移,升级也方便(因为数据和配置文件是独立的)


前置基础

基础环境

  • Debian Linux 9
  • Docker 18.06 , gitlab镜像用的gitlab官方提供的gitlab-ce,好处如下
    • 官方的,用的放心,更新频率高(能与时俱进) - 这个教程用的是当前最新的11.1
    • 一键安装(因为类似postgresql,ruby,nginx)这类的基础的环境都包括进去了
    • 只暴露主配置文件/数据库存放位置/还有日志,
      • 升级不用考虑数据的问题;对于业务不是很复杂的公司.能快速部署....

倘若想至于从0到1的构建(这种可以更细致针对业务进行配置),但要考虑的东西比较多;

有专业的运维和公司不缺钱的大佬可以折腾

必备知识

Linux/Docker && Docker Compose / Nginx


效果图

任何不放图的都是耍流氓,你说成了就成了?有图有真相,无图纯扯淡!!!

如您所见的LOGO,引导语,全局广播这些,管理员账号登陆后找下就知道了


构建启动

这块的知识并不是gitlab,还是docker

  • 官方教程的基本启动姿势:
    • detack: 容器在后台运行并输出容器ID
    • publish: 就是暴露端口,简写-p
    • name: 容器名
    • restart: 什么时机会触发容器重启,所有情况
    • volume: 映射卷的,基本用来持久化数据的
# 官方基本姿势,docker直接启动
sudo docker run --detach \
    --hostname gitlab.example.com \
    --publish 443:443 --publish 80:80 --publish 22:22 \
    --name gitlab \
    --restart always \
    --volume /srv/gitlab/config:/etc/gitlab \
    --volume /srv/gitlab/logs:/var/log/gitlab \
    --volume /srv/gitlab/data:/var/opt/gitlab \
    gitlab/gitlab-ce:latest

复制代码

三个volume就是暴露的位置

本地位置 容器位置 作用
/srv/gitlab/data /var/opt/gitlab gitlab的数据存放,包括nginx,postgresql这些
/srv/gitlab/logs /var/log/gitlab 日志存放
/srv/gitlab/config /etc/gitlab gitlab的主配置文件

传参启动

  • hostname:访问的域名
  • env: 这里面就是临时提权生效的
    • 这个就是可以给gitlab传入部分参数,让其构建过程读取你设置的值(gitlab.rb)并且生效
    • 官方说这个并不会写入gitlab.rb(就是gitlab的配置文件),只是临时生效(容器生存期间)

sudo docker run --detach \
    --hostname gitlab.example.com \
    --env GITLAB_OMNIBUS_CONFIG="external_url 'http://my.domain.com/'; gitlab_rails['lfs_enabled'] = true;" \
    --publish 443:443 --publish 80:80 --publish 22:22 \
    --name gitlab \
    --restart always \
    --volume /srv/gitlab/config:/etc/gitlab \
    --volume /srv/gitlab/logs:/var/log/gitlab \
    --volume /srv/gitlab/data:/var/opt/gitlab \
    gitlab/gitlab-ce:latest

复制代码

docker-compose启动

我偏向于这种,所以写个构建规则,如下

第一版

version: '3.6'
services:
  gitlab:
    container_name: gitlab
    image: 


    
gitlab/gitlab-ce:latest
    restart: always
    environment:
      GITLAB_OMNIBUS_CONFIG: |
            external_url 'https://域名'
    ports:
      - "80:80"
      - "443:443"
      - "2224:22"
    volumes:
      - "/srv/gitlab/config:/etc/gitlab"
      - "/srv/gitlab/logs:/var/log/gitlab"
      - "/srv/gitlab/data:/var/opt/gitlab"

复制代码

整个初始化的过程,我这边等了两分钟左右,因为服务器配置不是很高~~~~

对于Gitlab配置,你可以配置容器内的,也可以配置映射的区域

前者可以用gitlab-ctl reconfigure重新生效,后者需要重启容器

  • 容器内:/etc/gitlab
  • 映射: /srv/gitlab/config

邮箱配置

邮箱推送算是一个最基础的功能的,比如注册什么基本一般都会用到

这里用的是阿里云的邮箱了,当然是个人邮箱..够用就好

# https://mailhelp.aliyun.com/freemail/detail.vm?knoId=5869705

gitlab_rails['smtp_enable'] = true 
gitlab_rails['smtp_address'] = "smtpdm.aliyun.com"
gitlab_rails['smtp_port'] = 465
gitlab_rails['smtp_user_name'] = "crperx@aliyun.com"
gitlab_rails['smtp_password'] = "xxxxxxxx"
gitlab_rails['smtp_domain'] = "smtp.aliyun.com"
gitlab_rails['smtp_authentication'] = "login"
gitlab_rails['smtp_enable_starttls_auto'] = true
gitlab_rails['smtp_tls'] = true
gitlab_rails['gitlab_email_enabled'] = true
gitlab_rails['gitlab_email_from'] = 'crperx@aliyun.com'
gitlab_rails['gitlab_email_display_name'] = 'noreply@aliyun.com'

# 其他邮箱大同小异(QQ,163这些),只要支持smtp协议的皆可,端口这些不用说了
# gitlab_rails['smtp_address'] = "smtp.aliyun.com" : 邮箱交互服务器
# gitlab_rails['smtp_user_name'] = "crperx@aliyun.com" : 邮箱登录账号
# gitlab_rails['smtp_password'] = "xxxxxxxx" : 邮箱登录密码
#gitlab_rails['gitlab_email_enabled'] = true : 启动邮箱推送功能
# gitlab_rails['gitlab_email_from'] = 'crperx@aliyun.com':  谁来充当发邮件的
# gitlab_rails['gitlab_email_display_name'] = 'noreply@aliyun.com' : 别人看到的发件人名字

复制代码

效果

常用的邮箱基本都可以收到....

Gitlab HTTPS

我这台渣渣服务器目前带不了太多服务,所以就不考虑nginx独立做反射了(gitlab支持反射代理)

用的gitlab内置的nginx,直接用默认端口

  • 申请证书,我申请的是阿里云的免费证书

申请过程挺简单的,只要你有备案好的域名,基本都可以批下来,这过程就不用说了

批下来之后我们要下载证书

下载下来解压后是有两个文件,

  • 1533582000680.key: 证书私钥!!!!证书私钥!!!!证书私钥!!!!
  • 1533582000680.pem : 公钥,阿里云提供的是pem格式

我去看了下gitlab.rb(gitlab的主配置文件)是需要crt格式的,

###############################################################################
## GitLab NGINX
##! Docs: https://docs.gitlab.com/omnibus/settings/nginx.html
################################################################################

# nginx['enable'] = true
# nginx['client_max_body_size'] = '250m'
# nginx['redirect_http_to_https'] = false
# nginx['redirect_http_to_https_port'] = 80

##! Most root CA's are included by default  默认的根证书
# nginx['ssl_client_certificate'] = "/etc/gitlab/ssl/ca.crt"

##! enable/disable 2-way SSL client authentication   二步验证是否校验证书,看需求开
# nginx['ssl_verify_client'] = "off"

##! if ssl_verify_client on, verification depth in the client certificates chain  校验的深度
# nginx['ssl_verify_depth'] = "1"

# nginx['ssl_certificate'] = "/etc/gitlab/ssl/#{node['fqdn']}.crt"   证书的位置
# nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/#{node['fqdn']}.key"
# nginx['ssl_ciphers'] = "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"
# nginx['ssl_prefer_server_ciphers'] = "on"

##! **Recommended by: https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
##!                   https://cipherli.st/**
# nginx['ssl_protocols'] = "TLSv1.1 TLSv1.2"


复制代码

这时候我们就需要转换一下了,打开终端,

# 我把数字重命名为gitlab了
# 这条命令的意思就是
# 生成x509规格的证书,输出位可读文本格式, 
# -in 是标准输入就是接受哪个
# -out 标准输出,输出文件为什么格式
openssl   x509  -outform PEM  -in gitlab.pem   -out gitlab.crt

# 若是转出格式用的二进制流(DER),会输出这个问题
# SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expect

复制代码

接下来就用scp把对应的证书传到服务器上,修改下配置文件

  • 传送证书
# -r  递归传送,因为传送的是整个目录
# 传到的是容器映射的目录,这样重启下容器就能生效了
scp  -r  ./ssl   root@xxxxx:/srv/gitlab/config

复制代码
  • 修改配置,截图有高亮

超时配置

因为服务器不给力.所以默认的不够用...


# 这个是针对请求钩子的,还有针对Git的这些
gitlab_rails['webhook_timeout'] = 60 #默认是10s

# 若是大体都需要求延长的,可以配置全局,后者是进程数
unicorn['worker_timeout'] = 60
unicorn['worker_processes'] = 2

复制代码

配置生效

gitlab配置的修改有两种,一种是启动容器的时候传参,参考上面;

一种直接改映射的配置文件; 至于如何生效,有两种方式;

其一:gitlab-ctl => gitlab-ctl reconfigure重载配置文件生效

对于其一,我们肯定是要进入容器才能操作的;

  • docker ps -a : 找到gitlab容器的实例,docker-compose psdocker ps大同小异
  • docker exec -it gitlab bash: 进入容器,并使用bash shell

应该说docker-compose的命令行基本是针对docker的封装的,

只是操作的是由compse生成的实例,docker也能干涉也不奇怪

gitlab-ctl还有一些其他的命令,比如暂停,停止gitlab,输出配置文件等等

其二:重启容器!


第二版

gitlab.rb的配置实在是多,整个配置文件目前接近1800行;

里面涵盖了日志,安全,nginx,数据库等等的所有配置

大多数配置都有默认值,所以很多东西看你的需要来开启,

我们这里不需要开启太多东西,邮箱https ,超时的配置,其他都默认(比如日志这些,数据库初始化这些)

证书必须提前复制过去!!!!,木有目录就新建

# 就是把配置文件写在容器构建里面,容器启动的时候直接生效,免去很多重启或者命令行这类的操作
# 注意替换中文区域的内容



version: '3.6'
services:
  gitlab:
    container_name: gitlab
    image: gitlab/gitlab-ce:latest
    restart: always
    environment:
      GITLAB_OMNIBUS_CONFIG: |
        external_url 'https://域名'
        unicorn['worker_timeout'] = 60
        unicorn['worker_processes'] = 2
        gitlab_rails['smtp_enable'] = true
        gitlab_rails['smtp_address'] = "邮箱的smtp服务器"
        gitlab_rails['smtp_port'] = 465
        gitlab_rails['smtp_user_name'] = "发送邮箱"
        gitlab_rails['smtp_password'] = "邮箱密码"
        gitlab_rails['smtp_domain'] = "邮箱smtp域"
        gitlab_rails['smtp_authentication'] = "login"
        gitlab_rails['smtp_enable_starttls_auto'] = true
        gitlab_rails['smtp_tls'] = true
        gitlab_rails['gitlab_email_enabled'] = true
        gitlab_rails['gitlab_email_from'] = '谁发送邮件'
        gitlab_rails['gitlab_email_display_name'] = '发送人显示的用户名'
        user['git_user_email'] = "谁发送邮件"
        nginx['enable'] = true
        nginx['client_max_body_size'] = '250m'
        nginx['redirect_http_to_https'] = true
        nginx['ssl_certificate'] = "证书位置"
        nginx['ssl_certificate_key'] = "证书位置"
        nginx['ssl_ciphers'] = "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"
        nginx['ssl_prefer_server_ciphers'] = "on"
        nginx['ssl_protocols'] = "TLSv1.1 TLSv1.2"
        nginx['ssl_session_cache'] = "builtin:1000  shared:SSL:10m"
        nginx['listen_addresses'] = ["0.0.0.0"]
        nginx['http2_enabled'] = true
    ports:
      - "80:80"
      - "443:443"
      - "2224:22"
    volumes:
      - "/srv/gitlab/config:/etc/gitlab"
      - "/srv/gitlab/logs:/var/log/gitlab"
      - "/srv/gitlab/data:/var/opt/gitlab"


复制代码

官方资源:


错误汇总

  • [emerg] SSL_CTX_use_PrivateKey_file("/etc/gitlab/ssl/gitla.key") failed (SSL: error:02001002:system library:fopen:No such file or directory

这个是你映射的路径或者文件名字没匹配报错

  • 443 failed (97: Address family not supported by protocol)

官方的写法

# gitlab官方教材
nginx['listen_addresses'] = ["0.0.0.0", "[::]"] # listen on all IPv4 and IPv6 addresses

# 手动改为

nginx['listen_addresses'] = ["0.0.0.0"]


# [::] 代表IPV6 , 我用的是阿里云服务器,估计是我的安全策略没开放,但是没用到,直接删了也没所谓了
# 阿里云的安全策略有最高级的优先权,比如入站出站的端口开放,不开是没法访问的

复制代码

总结

  • Gitlab目前最新版(11)集成了部分中文(在用户中心更改下语言为简体中文即可)
  • 证书服务不一定要用阿里的,也可以用一些提供免费证书的网站

Gitlab对资源的要求不低.我单核|2G运存|1M带宽时不时的无响应...几个人一起用就挂了;

扎心,至于CI/CD只能等有闲钱升级服务器再考虑了....

因为最初的考虑是,把一些常用的服务都容器化,统一用nginx代理服务

比如yapi,gitlab,测试网站.....

有不对之处尽请留言,会及时修正,谢谢阅读


今天看啥 - 高品质阅读平台
本文地址:http://www.jintiankansha.me/t/6H3b6W3t47
Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/21734
 
512 次点击