GitLab 使用 Docker Compose 部署

说明​

1. 本文使用 docker-compose.yml 部署 GitLab、GitLab Runner

2. 作者部署 GitLab 实例：https://gitlab.xuxiaowei.com.cn
   

3. 需要服务器上已安装 Docker、Docker Compose

4. 由于本人使用的 Docker 版本比较新（26.1.3），在高版本的 Docker 中，docker-compose.yml 无需 version 关键字， 所以本文脚本不会携带 version
   

5. 本人使用了 TLS/SSL，即：配置了 https，如果暂时不想使用 https，可将 脚本中的 https 修改为 http如果要 GitLab Docker 容器镜像仓库，必须配置 https 即使你使用权威机构颁发的证书（如：阿里、腾讯等云厂商免费或购买的证书，或者从其他第三方申请、购买的证书），或者自己生成的证书，一般在服务器中都需要配置证书信任一个证书是否在当前操作系统中授信，取决于该证书链是否存在于当前系统的授信证书列表中比如：在 Windows 7 及更早版本的系统上安装软件时，可能会遇见 Windows 验证软件签名时异常， 原因是当前 Windows 不存在需要验证软件签名的证书链，这时只要在当前操作系统中安装微软新颁发的证书链后，即可完成软件的安装 （注意：此处介绍的虽然是软件签名的证书，但是与 https 证书授信原理相同）比如：网站证书已配置完成，浏览器访问时 https 正常工作，但是服务器中的 java 程序、curl、wget 无法访问， 原因是浏览器操作系统包含的证书链包含了访问的域名证书，而服务器中的证书链一般比较旧，需要手动添加证书进行信任如果使用自己创建的证书，需要进行证书信任，请按照使用的域名、IP 进行创建，不要张冠李戴， 如：自己创建域名证书是颁发给 gitlab.xuxiaowei.cn，而使用时用作 registry.xuxiaowei.cn 进行配置，这样无法进行信任。自己生成证书时，推荐使用通配符证书，如：*.xuxiaowei.cn，可以用于 gitlab.xuxiaowei.cn、registry.xuxiaowei.cn 等域名证书的配置

6. 如果要启用 GitLab Pages 功能，需要使用与 GitLab 实例不同的 IP， 参见文档：GitLab Pages 管理，下方脚本已完成分配不同 IP 的配置

7. 如果要启用 GitLab Docker 容器镜像仓库，也需要与 GitLab Pages 一样，与 GitLab 实例使用不同的 IP，下方脚本已完成分配不同 IP 的配置

视频​

• 请查看此视频合集中名称带有 docker-compose 的视频：https://www.bilibili.com/video/BV1E1421y718
  

配置

yamlservices:gitlab:image: 'registry.gitlab.cn/omnibus/gitlab-jh:17.1.0'restart: always# hostname: 'gitlab.xuxiaowei.cn'# 更新证书 并 启动 gitlabentrypoint: /bin/bash -c "update-ca-certificates && /assets/wrapper"#healthcheck:# # 用于定义健康检查的命令，这里使用的是 curl 命令来测试指定 URL 的可访问性。# test: ["CMD", "curl", "-k", "https://gitlab.xuxiaowei.cn/-/liveness?token=FFWoGWuYJih1Jp9e3zby"]# # 定义了健康检查之间的间隔时间。这个字段可能需要补充完整，以确定健康检查之间的间隔时间。# interval: 5s# # 定义了在判定失败之前尝试健康检查的次数。这个字段可能需要补充完整，以确定允许的重试次数。# retries: 5# # 定义了每次健康检查的超时时间。这个字段可能需要补充完整，以确定每次健康检查的超时时间。# timeout: 5s# # 定义了容器启动后开始进行健康检查之前的等待时间。这个字段可能需要补充完整，以确定健康检查开始之前的等待时间。# start_period: 180senvironment:GITLAB_OMNIBUS_CONFIG: |external_url 'https://gitlab.xuxiaowei.cn'# Add any other gitlab.rb configuration here, each on its own line

    # 时区    gitlab_rails['time_zone'] = 'Asia/Shanghai'
    # http 重定向到 https    nginx['redirect_http_to_https'] = true    nginx['redirect_http_to_https_port'] = 80    # 监听的 IP    nginx['listen_addresses'] = ['172.26.11.2']
    # 容器镜像库    registry_external_url 'https://registry.xuxiaowei.cn'    # 容器镜像库：http 重定向到 https    registry_nginx['redirect_http_to_https'] = true    registry_nginx['redirect_http_to_https_port'] = 80    # 容器镜像库：监听的 IP    registry_nginx['listen_addresses'] = ['172.26.12.2']
    # Pages    pages_external_url 'https://pages.xuxiaowei.cn'    pages_nginx['enable'] = false    # Pages：http 重定向到 https    pages_nginx['redirect_http_to_https'] = true    gitlab_pages['redirect_http'] = true    # Pages：监听的 IP    gitlab_pages['external_http'] = ['172.26.13.2:80']    gitlab_pages['external_https'] = ['172.26.13.2:443']
    # 配置第三方登陆    # 注意：如果要配置多个第三方登陆，需要合并下列配置    # 钉钉 配置    # gitlab_rails['omniauth_providers'] = [{ name: "dingtalk", app_id: "", app_secret: "" }]    # GitHub 配置    # gitlab_rails['omniauth_providers'] = [{ name: "github", app_id: "", app_secret: "", args: { scope: "user:email" } }]    # GitLab 配置    # gitlab_rails['omniauth_providers'] = [{ name: "gitlab", app_id: "", app_secret: "", args: { scope: "read_user" } }]
    # 邮箱：此处以 Office 365 为例，其他类型的邮箱雷同    gitlab_rails['smtp_enable'] = true    gitlab_rails['smtp_address'] = 'smtp.office365.com'    gitlab_rails['smtp_port'] = 587    gitlab_rails['smtp_user_name'] = 'xuxiaowei-test@xuxiaowei.com.cn'    # 邮箱：配置密码，在容器内的 /etc/gitlab/gitlab.rb 中配置    # gitlab_rails['smtp_password'] = ''    gitlab_rails['smtp_domain'] = 'xuxiaowei.com.cn'    gitlab_rails['smtp_authentication'] = 'login'    gitlab_rails['smtp_enable_starttls_auto'] = true    gitlab_rails['smtp_openssl_verify_mode'] = 'peer'    gitlab_rails['gitlab_email_from'] = 'xuxiaowei-test@xuxiaowei.com.cn'
ports:  - '80:80'  - '443:443'  - '2222:22'volumes:  - '$GITLAB_HOME/config:/etc/gitlab'  # 挂载证书，启动容器时进行信任  - '$GITLAB_HOME/config/ssl:/usr/local/share/ca-certificates'  - '$GITLAB_HOME/logs:/var/log/gitlab'  - '$GITLAB_HOME/data:/var/opt/gitlab'shm_size: '256m'container_name: gitlabextra_hosts:  - "gitlab.xuxiaowei.cn:172.26.11.2"networks:  instance:    ipv4_address: 172.26.11.2  registry:    ipv4_address: 172.26.12.2  pages:    ipv4_address: 172.26.13.2

gitlab-runner:# image: 'gitlab/gitlab-runner:v17.1.0'image: 'registry.cn-qingdao.aliyuncs.com/xuxiaoweicomcn/gitlab-runner:v17.1.0'volumes:- '$GITLA{B}_{H}OME/gitlab-runner/config:/etc/gitlab-runne{r}^{\prime }{-}^{\prime }$GITLAB_HOME/config/ssl:/etc/gitlab-runner/certs'- '/run/docker.sock:/run/docker.sock'container_name: gitlab-runnerextra_hosts:- "gitlab.xuxiaowei.cn:172.26.11.2"#depends_on:# gitlab:# condition: service_healthynetworks:instance:ipv4_address: 172.26.11.3

networks:instance:driver: bridgename: gitlab-instanceipam:config:- subnet: 172.26.11.0/24gateway: 172.26.11.1registry:driver: bridgename: gitlab-registryipam:config:- subnet: 172.26.12.0/24gateway: 172.26.12.1pages:driver: bridgename: gitlab-pagesipam:config:- subnet: 172.26.13.0/24gateway: 172.26.13.1

网络

• 外部访问 registry、pages 时，请自定义路由

• 因为不同网卡之间网络不通，所以 GitLab Runner 容器使用了 registry 网卡，并分配了 172.26.11.3， 所以 GitLab Runner 能与 GitLab 实例 172.26.11.2 进行通信

域名、IP 分配

挂载卷​

• 挂载卷使用目录形式，根目录是 /srv/gitlab
  

• 主要挂载卷

• 其他挂载卷

• 1：GitLab 在启用 Pages 后，当用户访问 Pages 功能时，Pages 程序会访问 GitLab 实例， 确认是否存在此 Pages 域名，由于可能无法信任证书，故此处挂载 GitLab 实例的域名证书， 在容器创建时的 entrypoint 命令 /assets/wrapper 前增加 update-ca-certificates， 主动触发信任 /usr/local/share/ca-certificates 文件夹下的证书

• 2：GitLab Runner 注册时，增加参数 --tls-ca-file 指定证书文件位置， 用于信任 GitLab 实例的 https 证书

证书配置​

• 如果使用 docker-compose.yml 文件内使用了 https，执行创建容器前，需要先存着下列证书文件，如果没有配置 https，则无需下列文件

创建 docker 命令​

1. 在服务器安装 docker、docker compose

2. 创建文件 docker-compose.yml，内容为上述脚本的内容

3. 在 docker-compose.yml 所在的文件夹中执行 export GITLAB_HOME=/srv/gitlab && docker compose up -d
   

密码​

默认用户名：root，默认密码在 /srv/gitlab/config/initial_root_password 文件中