说明
1.本文使用 docker-compose.yml 部署 GitLab、GitLab Runner
2.作者部署 GitLab 实例:https://gitlab.xuxiaowei.com.cn
3.需要服务器上已安装 Docker、Docker Compose
4.由于本人使用的 Docker 版本比较新(26.1.3),在高版本的 Docker 中,docker-compose.yml 无需 version 关键字, 所以本文脚本不会携带 version
5.本人使用了 TLS/SSL,即:配置了 https,如果暂时不想使用 https,可将 脚本中的 https 修改为 http
1.如果要 GitLab Docker 容器镜像仓库,必须配置 https
2.即使你使用权威机构颁发的证书(如:阿里、腾讯等云厂商免费或购买的证书,或者从其他第三方申请、购买的证书),或者自己生成的证书,一般在服务器中都需要配置证书信任
1.一个证书是否在当前操作系统中授信,取决于该证书链是否存在于当前系统的授信证书列表中
2.比如:在 Windows 7 及更早版本的系统上安装软件时,可能会遇见 Windows 验证软件签名时异常, 原因是当前 Windows 不存在需要验证软件签名的证书链,这时只要在当前操作系统中安装微软新颁发的证书链后,即可完成软件的安装 (注意:此处介绍的虽然是软件签名的证书,但是与 https 证书授信原理相同)
3.比如:网站证书已配置完成,浏览器访问时 https 正常工作,但是服务器中的 java 程序、curl、wget 无法访问, 原因是浏览器操作系统包含的证书链包含了访问的域名证书,而服务器中的证书链一般比较旧,需要手动添加证书进行信任
4.如果使用自己创建的证书,需要进行证书信任,请按照使用的域名、IP进行创建,不要张冠李戴, 如:自己创建域名证书是颁发给 gitlab.xuxiaowei.cn,而使用时用作 registry.xuxiaowei.cn 进行配置,这样无法进行信任。
5.自己生成证书时,推荐使用通配符证书,如:*.xuxiaowei.cn,可以用于 gitlab.xuxiaowei.cn、registry.xuxiaowei.cn 等域名证书的配置
6.如果要启用 GitLab Pages 功能,需要使用与 GitLab 实例不同的 IP, 参见文档:GitLab Pages 管理,下方脚本已完成分配不同IP的配置
7.如果要启用 GitLab Docker 容器镜像仓库,也需要与 GitLab Pages 一样,与 GitLab 实例使用不同的 IP,下方脚本已完成分配不同IP的配置
视频
请查看此视频合集中名称带有 docker-compose 的视频:
https://www.删bili除bili.com/vi文deo/BV1E1字421y718
配置
yaml
services:
gitlab:
image: 'registry.gitlab.cn/omnibus/gitlab-jh:17.1.0'
restart: always
# hostname: 'gitlab.xuxiaowei.cn'
# 更新证书 并 启动 gitlab
entrypoint: /bin/bash -c "update-ca-certificates && /assets/wrapper"
#healthcheck:
# # 用于定义健康检查的命令,这里使用的是curl命令来测试指定URL的可访问性。
# test: ["CMD", "curl", "-k", "https://gitlab.xuxiaowei.cn/-/liveness?token=FFWoGWuYJih1Jp9e3zby"]
# # 定义了健康检查之间的间隔时间。这个字段可能需要补充完整,以确定健康检查之间的间隔时间。
# interval: 5s
# # 定义了在判定失败之前尝试健康检查的次数。这个字段可能需要补充完整,以确定允许的重试次数。
# retries: 5
# # 定义了每次健康检查的超时时间。这个字段可能需要补充完整,以确定每次健康检查的超时时间。
# timeout: 5s
# # 定义了容器启动后开始进行健康检查之前的等待时间。这个字段可能需要补充完整,以确定健康检查开始之前的等待时间。
# start_period: 180s
environment:
GITLAB_OMNIBUS_CONFIG: |
external_url 'https://gitlab.xuxiaowei.cn'
# Add any other gitlab.rb configuration here, each on its own line
# 时区
gitlab_rails['time_zone'] = 'Asia/Shanghai'
# http 重定向到 https
nginx['redirect_http_to_https'] = true
nginx['redirect_http_to_https_port'] = 80
# 监听的 IP
nginx['listen_addresses'] = ['172.26.11.2']
# 容器镜像库
registry_external_url 'https://registry.xuxiaowei.cn'
# 容器镜像库:http 重定向到 https
registry_nginx['redirect_http_to_https'] = true
registry_nginx['redirect_http_to_https_port'] = 80
# 容器镜像库:监听的 IP
registry_nginx['listen_addresses'] = ['172.26.12.2']
# Pages
pages_external_url 'https://pages.xuxiaowei.cn'
pages_nginx['enable'] = false
# Pages:http 重定向到 https
pages_nginx['redirect_http_to_https'] = true
gitlab_pages['redirect_http'] = true
# Pages:监听的 IP
gitlab_pages['external_http'] = ['172.26.13.2:80']
gitlab_pages['external_https'] = ['172.26.13.2:443']
# 配置第三方登陆
# 注意:如果要配置多个第三方登陆,需要合并下列配置
# 钉钉 配置
# gitlab_rails['omniauth_providers'] = [{ name: "dingtalk", app_id: "", app_secret: "" }]
# GitHub 配置
# gitlab_rails['omniauth_providers'] = [{ name: "github", app_id: "", app_secret: "", args: { scope: "user:email" } }]
# GitLab 配置
# gitlab_rails['omniauth_providers'] = [{ name: "gitlab", app_id: "", app_secret: "", args: { scope: "read_user" } }]
# 邮箱:此处以 Office 365 为例,其他类型的邮箱雷同
gitlab_rails['smtp_enable'] = true
gitlab_rails['smtp_address'] = 'smtp.office365.com'
gitlab_rails['smtp_port'] = 587
gitlab_rails['smtp_user_name'] = 'xuxiaowei-test@xuxiaowei.com.cn'
# 邮箱:配置密码,在容器内的 /etc/gitlab/gitlab.rb 中配置
# gitlab_rails['smtp_password'] = ''
gitlab_rails['smtp_domain'] = 'xuxiaowei.com.cn'
gitlab_rails['smtp_authentication'] = 'login'
gitlab_rails['smtp_enable_starttls_auto'] = true
gitlab_rails['smtp_openssl_verify_mode'] = 'peer'
gitlab_rails['gitlab_email_from'] = 'xuxiaowei-test@xuxiaowei.com.cn'
ports:
- '80:80'
- '443:443'
- '2222:22'
volumes:
- '$GITLAB_HOME/config:/etc/gitlab'
# 挂载证书,启动容器时进行信任
- '$GITLAB_HOME/config/ssl:/usr/local/share/ca-certificates'
- '$GITLAB_HOME/logs:/var/log/gitlab'
- '$GITLAB_HOME/data:/var/opt/gitlab'
shm_size: '256m'
container_name: gitlab
extra_hosts:
- "gitlab.xuxiaowei.cn:172.26.11.2"
networks:
instance:
ipv4_address: 172.26.11.2
registry:
ipv4_address: 172.26.12.2
pages:
ipv4_address: 172.26.13.2
gitlab-runner:
# image: 'gitlab/gitlab-runner:v17.1.0'
image: 'registry.cn-qingdao.aliyuncs.com/xuxiaoweicomcn/gitlab-runner:v17.1.0'
volumes:
- '$GITLAB_HOME/gitlab-runner/config:/etc/gitlab-runner'
- '$GITLAB_HOME/config/ssl:/etc/gitlab-runner/certs'
- '/run/docker.sock:/run/docker.sock'
container_name: gitlab-runner
extra_hosts:
- "gitlab.xuxiaowei.cn:172.26.11.2"
#depends_on:
# gitlab:
# condition: service_healthy
networks:
instance:
ipv4_address: 172.26.11.3
networks:
instance:
driver: bridge
name: gitlab-instance
ipam:
config:
- subnet: 172.26.11.0/24
gateway: 172.26.11.1registry:
driver: bridge
name: gitlab-registry
ipam:
config:
- subnet: 172.26.12.0/24
gateway: 172.26.12.1pages:
driver: bridge
name: gitlab-pages
ipam:
config:
- subnet: 172.26.13.0/24
gateway: 172.26.13.1
网络
- 外部访问 registry、pages 时,请自定义路由
- 因为不同网卡之间网络不通,所以 GitLab Runner 容器使用了 registry 网卡,并分配了 172.26.11.3, 所以 GitLab Runner 能与 GitLab 实例 172.26.11.2 进行通信
域名、IP 分配
挂载卷
- 挂载卷使用目录形式,根目录是 /srv/gitlab
- 主要挂载卷
- 其他挂载卷
- 1:GitLab 在启用 Pages 后,当用户访问 Pages 功能时,Pages 程序会访问 GitLab 实例, 确认是否存在此 Pages 域名,由于可能无法信任证书,故此处挂载 GitLab 实例的域名证书, 在容器创建时的 entrypoint 命令 /assets/wrapper 前增加 update-ca-certificates, 主动触发信任 /usr/local/share/ca-certificates 文件夹下的证书
- 2:GitLab Runner 注册时,增加参数 --tls-ca-file 指定证书文件位置, 用于信任 GitLab 实例的 https 证书
证书配置
- 如果使用 docker-compose.yml 文件内使用了 https,执行创建容器前,需要先存着下列证书文件,如果没有配置 https,则无需下列文件
创建 docker 命令
- 在服务器安装 docker、docker compose
- 创建文件 docker-compose.yml,内容为上述脚本的内容
- 在 docker-compose.yml 所在的文件夹中执行 export GITLAB_HOME=/srv/gitlab && docker compose up -d
密码
默认用户名:root,默认密码在 /srv/gitlab/config/initial_root_password 文件中
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。