GitLab在Debian上的最佳實踐分享

GitLab在Debian上的最佳實踐

一、安裝前準備

1. 系統更新與依賴安裝
   安裝前務必將Debian系統更新至最新版本，避免因系統包版本過低導致兼容性問題：

   sudo apt update && sudo apt upgrade -y
   

   安裝GitLab必需的依賴包（包括SSH服務、證書、時區數據等），其中postfix用于郵件通知（安裝時可選擇“Internet Site”類型并按提示配置）：

   sudo apt install -y curl openssh-server ca-certificates postfix tzdata
   

2. 添加GitLab官方倉庫
   通過官方腳本添加GitLab社區版（CE）倉庫，確保后續安裝的是最新穩定版本：

   curl -sS https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash
   

   （注：部分教程提到需手動下載GPG密鑰并添加倉庫文件，但上述腳本已整合此步驟，更便捷。）

二、安裝與基礎配置

1. 安裝GitLab CE
   使用APT包管理器安裝GitLab，安裝過程中會自動解決依賴關系：

   sudo apt install gitlab-ce
   

2. 配置external_url
   編輯GitLab主配置文件/etc/gitlab/gitlab.rb，設置external_url為服務器IP或域名（如http://192.168.1.100或https://gitlab.example.com），這是GitLab訪問的關鍵標識：

   sudo nano /etc/gitlab/gitlab.rb
   # 找到并修改以下行（取消注釋并替換為你的URL）
   external_url 'http://192.168.1.100'
   

   保存后執行reconfigure命令應用配置：

   sudo gitlab-ctl reconfigure
   sudo gitlab-ctl restart
   

3. 防火墻設置
   若使用UFW防火墻，開放GitLab必需的端口（HTTP 80、HTTPS 443、SSH 22），允許外部訪問：

   sudo ufw allow 80/tcp
   sudo ufw allow 443/tcp
   sudo ufw allow 22/tcp
   sudo ufw reload
   

三、安全加固

1. 配置HTTPS（強制加密）
   為避免數據傳輸泄露，建議啟用HTTPS。GitLab支持Let’s Encrypt免費證書，只需在gitlab.rb中添加以下配置并重新配置：

   letsencrypt['enable'] = true
   letsencrypt['auto_renew'] = true
   

   執行sudo gitlab-ctl reconfigure后，GitLab會自動申請并部署證書，external_url需改為https://開頭。

2. SSH密鑰認證與權限控制
   禁用root用戶遠程登錄（編輯/etc/ssh/sshd_config，設置PermitRootLogin no），強制用戶使用SSH密鑰認證：

   ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
   cat ~/.ssh/id_rsa.pub | ssh git@your_server_ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
   

   此外，通過GitLab用戶管理設置合理的權限（如項目成員角色、訪問控制），避免未授權訪問。

3. 定期更新與備份
   及時升級GitLab至最新穩定版本（sudo apt update && sudo apt upgrade gitlab-ce），獲取安全補丁和新功能；配置自動備份策略（每天凌晨2點執行），備份目錄默認為/var/opt/gitlab/backups，可使用cron任務自動化：

   0 2 * * * /opt/gitlab/bin/gitlab-backup create CRON=1
   

   定期測試備份恢復流程，確保數據可找回。

四、性能優化

1. 硬件資源配置
   根據團隊規模調整硬件：

   • CPU：小型團隊（<10人）至少4核，中型團隊（10-50人）8核以上；
   • 內存：小型團隊4GB起步，中型團隊8GB以上，大型團隊（>50人）16GB+；
   • 存儲：使用SSD（推薦NVMe協議），容量根據代碼量和備份需求預留（如100GB以上）。

2. GitLab Runner優化
   配置CI/CD Runner時，增加concurrent參數（同時運行的Job數量，如concurrent = 4），提升構建效率；選擇docker executor（隔離環境，避免依賴沖突）；利用cache緩存依賴（如cache: paths: - node_modules/），減少重復下載時間。

3. 數據庫與存儲優化

   • PostgreSQL調優：調整max_connections（并發連接數，推薦為并發用戶數的2倍）、shared_buffers（內存緩沖區，設置為內存的25%-40%）、work_mem（排序/哈希內存，推薦4MB-16MB），提升數據庫性能；
   • 對象存儲：將大附件、備份文件存儲至對象存儲（如Amazon S3、MinIO），減少本地磁盤壓力（修改gitlab.rb中的gitlab_rails['object_store']配置）。

五、監控與維護

1. 內置監控工具
   GitLab集成了Prometheus（指標收集）和Grafana（可視化），默認開啟。通過http://your_server_ip/-/metrics查看實時指標（如CPU、內存、請求延遲），通過Grafana儀表盤監控系統狀態。

2. 日志管理
   GitLab日志默認存儲在/var/log/gitlab/目錄下（如gitlab-rails/production.log記錄應用日志，gitlab-shell/gitlab-shell.log記錄SSH操作日志）。使用sudo gitlab-ctl tail實時查看日志，定期清理過期日志（如通過logrotate配置自動歸檔）。

六、CI/CD配置優化

1. 并行化構建
   在.gitlab-ci.yml中使用parallel關鍵字拆分任務（如多節點測試），縮短構建時間：

   test:
     stage: test
     script: ./run_tests.sh
     parallel: 4  # 同時運行4個Job
   

2. 依賴緩存
   緩存第三方依賴（如npm、pip、Maven），避免每次構建都重新下載：

   cache:
     paths:
       - node_modules/
       - vendor/bundle/
   

3. 資源限制
   為每個Job分配合理的資源（如CPU、內存），避免單個Job占用過多資源導致隊列阻塞：

   variables:
     GITLAB_CI_MULTI_RUNNER_EXECUTOR: docker
     DOCKER_IMAGE: ruby:3.2
     DOCKER_CPU_LIMIT: 1024  # 1核
     DOCKER_MEMORY_LIMIT: 2048m  # 2GB