如何在Ubuntu 20.04上安装和配置GitLab

简介

GitLab是一款开源应用程序，主要用于托管Git仓库，并具备问题追踪等与开发相关的功能。它旨在使用自己的基础设施进行托管，并提供了灵活性，可为开发团队部署为内部仓库存储、与用户进行公开交互的方式，或用于贡献者托管自己的项目的手段。

在这个指南中，您将学习如何在自己的硬件上使用最小的安装机制来创建一个GitLab实例。GitLab项目使您能够在Ubuntu 20.04服务器上安装和配置GitLab社区版。

先决条件

想要跟着本教程进行操作，你需要准备以下物品：

• An Ubuntu 20.04 server with a non-root sudo user and basic firewall. To set this up, follow our Ubuntu 20.04 initial server setup guide.

GitLab发布的硬件要求建议使用至少配置为的服务器。

• 4 cores for your CPU
• 4GB of RAM for memory

尽管您可以通过用交换空间替代一些内存来应付，但这并不被推荐。本指南中的示例将使用这些最低资源。

• A domain name pointed at your server. For more information, read our documentation on how to get started with DNS on Silicon Cloud. This tutorial will use your_domain as an example, but be sure to replace this with your actual domain name.

第一步 — 安装依赖项

在安装GitLab之前，安装并持续使用它依赖的软件非常重要。所需软件可以从Ubuntu的默认软件包仓库中安装。

首先，刷新本地软件包索引。

sudo apt update

然后通过输入该命令安装所需的依赖项。

sudo apt install ca-certificates curl openssh-server postfix tzdata perl

您很有可能已经安装了其中一些软件。在安装后缀（postfix）时，选择“互联网网站”（Internet Site）选项。在下一个屏幕上，输入您服务器的域名以配置系统发送邮件的方式。

现在你已经安装好了相关依赖，可以开始安装GitLab了。

第二步 – 安装GitLab

有了依赖项，你可以安装GitLab。这个过程利用一个安装脚本来配置你的系统，使其拥有GitLab的仓库。

首先，进入/tmp目录。

cd /tmp

然后下载安装脚本。

curl -LO https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh

请随意检查下载的脚本，以确保你对它所执行的操作感到舒适。你还可以在GitLab的安装指南中找到脚本的托管版本。

less /tmp/script.deb.sh

一旦您对脚本的安全性感到满意，请运行安装程序。

sudo bash /tmp/script.deb.sh

该脚本配置您的服务器以使用由GitLab维护的代码库。这使您可以使用与您的其他系统包管理工具相同的工具来管理GitLab。完成此操作后，您可以使用apt安装实际的GitLab应用程序。

sudo apt install gitlab-ce

这会在您的系统上安装所需的组件，并可能需要一些时间来完成。

第三步 – 调整防火墙规则。

在配置GitLab之前，您需要确保防火墙规则足够宽松，以允许Web流量通过。如果您按照先决条件中链接的指南进行操作，您已经启用了ufw防火墙。

通过运行命令，查看您当前启用的防火墙的状态。

sudo ufw status

Output
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                  
OpenSSH (v6)               ALLOW       Anywhere (v6)

当前的规则允许 SSH 流量通过，但对其他服务的访问受限。由于GitLab是一个Web应用程序，您需要允许HTTP访问。因为您将利用GitLab可以请求和启用来自Let’s Encrypt的免费TLS/SSL证书的能力，所以还需要允许HTTPS访问。

HTTP和HTTPS的端口映射协议可以在/etc/services文件中找到，因此您可以通过名称允许该流量进入。如果您还没有启用OpenSSH流量，请允许该流量。

sudo ufw allow http
sudo ufw allow https
sudo ufw allow OpenSSH

你可以再次检查ufw的状态，确保你已经允许至少这两个服务的访问。

sudo ufw status

Output
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                  
80/tcp                     ALLOW       Anywhere                  
443/tcp                    ALLOW       Anywhere                  
OpenSSH (v6)               ALLOW       Anywhere (v6)             
80/tcp (v6)                ALLOW       Anywhere (v6)             
443/tcp (v6)               ALLOW       Anywhere (v6)

这个输出表示一旦你配置了应用程序，GitLab的Web界面现在是可以访问的。

第四步 – 编辑GitLab配置文件

在使用应用程序之前，需要更新配置文件并运行重新配置命令。首先，用您首选的文本编辑器打开GitLab的配置文件。这个示例使用的是nano。

sudo nano /etc/gitlab/gitlab.rb

搜索external_url配置行。将其更新为与您的域名匹配，并确保将http更改为https，以自动重定向用户到由Let’s Encrypt证书保护的站点。

...
## GitLab URL
##! URL on which GitLab will be reachable.
##! For more details on configuring external_url see:
##! https://docs.gitlab.com/omnibus/settings/configuration.html#configuring-the-external-url-for-gitlab
##!
##! Note: During installation/upgrades, the value of the environment variable
##! EXTERNAL_URL will be used to populate/replace this value.
##! On AWS EC2 instances, we also attempt to fetch the public hostname/IP
##! address from AWS. For more details, see:
##! https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html
external_url 'https://your_domain'
...

接下来，找到letsencrypt[‘contact_emails’]设置。如果你正在使用nano编辑器，可以通过按下CTRL+W键来启用搜索提示。在提示符中输入letsencrypt[‘contact_emails’]，然后按下ENTER键。该设置定义了一组电子邮件地址，让Let’s Encrypt项目在您的域名出现问题时可以与您联系。建议将其取消注释并填写以便及时了解可能发生的任何问题。

letsencrypt['contact_emails'] = ['sammy@example.com']

完成更改后，请保存并关闭文件。如果你正在使用nano，可以按下CTRL+X，然后按Y，最后按回车键来完成这一操作。

运行以下命令以重新配置GitLab：

sudo gitlab-ctl reconfigure

这将使用GitLab在您的服务器上找到的信息初始化。 这是一个完全自动化的过程，因此您不需要回答任何提示。该过程还将为您的域配置一个Let’s Encrypt证书。

第五步 — 通过 Web 界面执行初始配置

在GitLab运行时，您可以通过Web界面对应用程序进行初始配置。

首次登录

在您的网络浏览器中访问您的GitLab服务器的域名。

https://your_domain

在您第一次访问时，您将会看到一个登录页面。

GitLab会为你生成一个初始的安全密码。它存储在一个文件夹中，你可以作为管理员sudo用户访问。

sudo nano /etc/gitlab/initial_root_password

# WARNING: This value is valid only in the following conditions
#          1. If provided manually (either via `GITLAB_ROOT_PASSWORD` environment variable or via `gitlab_rails['initial_root_password']` setting in `gitlab.rb`, it was provided before database was seeded for the firs$
#          2. Password hasn't been changed manually, either via UI or via command line.
#
#          If the password shown here doesn't work, you must reset the admin password following https://docs.gitlab.com/ee/security/reset_user_password.html#reset-your-root-password.

Password: YOUR_PASSWORD

# NOTE: This file will be automatically deleted in the first reconfigure run after 24 hours.

在登录页面上，输入以下内容：

• Username: root
• Password: [the password listed on /etc/gitlab/initial_root_password]

将这些值输入到字段中，然后点击登录按钮。您将登录到应用程序，并进入一个引导您开始添加项目的页面。

您现在可以对您的GitLab实例进行微调。

更新您的密码

登录后，你应该做的第一件事之一是更改你的密码。要进行这个更改，点击导航栏右上角的图标，然后选择编辑个人资料。

然后，你将进入用户设置页面。在左侧导航栏中，选择“密码”以更改你的GitLab生成的密码为一个安全的密码，然后在完成更新后点击“保存密码”按钮。

您将被带回登录界面，并收到一个通知，说明您的密码已被更改。输入您的新密码以重新登录您的GitLab实例。

调整你的个人资料设置

GitLab选择了一些合理的默认设置，但一旦开始使用软件，这些设置通常不适用。

要进行必要的修改，请点击导航栏右上角的用户图标，然后选择编辑个人资料。

您可以将“管理员”和“admin@example.com”的名称和电子邮件地址更改为更准确的内容。您选择的名称将显示给其他用户，而电子邮件将用于默认头像检测、通知、通过界面执行的Git操作等。

当您完成更新时，请点击底部的“更新个人资料设置”按钮。您将被要求输入密码以确认更改。

确认邮件将发送到您提供的地址。请按照邮件中的指示确认您的帐户，以便您可以开始使用GitLab。

更改您的账户名称

接下来，在左侧导航栏中选择“账户”。

在这里，您可以启用两步验证并更改您的用户名。默认情况下，第一个管理员帐户的名称为root。由于这是一个已知的账户名称，将其更改为不同的名称会更安全。您仍将具有管理员特权，唯一变化的是名称。用您偏好的用户名替换root。

请点击“更新用户名”按钮进行更改。随后会要求您确认更改。

下次登录GitLab时，请记得使用你的新用户名。

在您的账户上添加一个SSH密钥

你可以在Git中使用SSH密钥与你的GitLab项目进行交互。为了实现这一点，你需要将你的SSH公钥添加到你的GitLab账户中。

在左侧导航栏中，选择SSH密钥。

如果您已在本地计算机上创建了一个SSH密钥对，您可以通过键入以下命令查看公钥：

cat ~/.ssh/id_rsa.pub

Output
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDMuyMtMl6aWwqBCvQx7YXvZd7bCFVDsyln3yh5/8Pu23LW88VXfJgsBvhZZ9W0rPBGYyzE/TDzwwITvVQcKrwQrvQlYxTVbqZQDlmsC41HnwDfGFXg+QouZemQ2YgMeHfBzy+w26/gg480nC2PPNd0OG79+e7gFVrTL79JA/MyePBugvYqOAbl30h7M1a7EHP3IV5DQUQg4YUq49v4d3AvM0aia4EUowJs0P/j83nsZt8yiE2JEYR03kDgT/qziPK7LnVFqpFDSPC3MR3b8B354E9Af4C/JHgvglv2tsxOyvKupyZonbyr68CqSorO2rAwY/jWFEiArIaVuDiR9YM5 sammy@mydesktop

将此文本复制并输入到您的GitLab实例的密钥文本框中。

如果你收到的是另外一条讯息，那么说明你的机器上尚未配置SSH密钥对。

Output
cat: /home/sammy/.ssh/id_rsa.pub: No such file or directory

如果是这种情况，您可以通过输入以下命令来创建一个SSH密钥对：

ssh-keygen

接受默认设置，并可选择提供一个本地密钥保护密码：

Output
Generating public/private rsa key pair.
Enter file in which to save the key (/home/sammy/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/sammy/.ssh/id_rsa.
Your public key has been saved in /home/sammy/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:I8v5/M5xOicZRZq/XRcSBNxTQV2BZszjlWaIHi5chc0 sammy@gitlab.docsthat.work
The key's randomart image is:
+---[RSA 2048]----+
|          ..%o==B|
|           *.E =.|
|        . ++= B  |
|         ooo.o . |
|      . S .o  . .|
|     . + .. .   o|
|      +   .o.o ..|
|       o .++o .  |
|        oo=+     |
+----[SHA256]-----+

一旦你拥有了这个，你可以通过输入这个命令来展示你的公钥，就像前面的例子一样。

cat ~/.ssh/id_rsa.pub

Output
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDMuyMtMl6aWwqBCvQx7YXvZd7bCFVDsyln3yh5/8Pu23LW88VXfJgsBvhZZ9W0rPBGYyzE/TDzwwITvVQcKrwQrvQlYxTVbqZQDlmsC41HnwDfGFXg+QouZemQ2YgMeHfBzy+w26/gg480nC2PPNd0OG79+e7gFVrTL79JA/MyePBugvYqOAbl30h7M1a7EHP3IV5DQUQg4YUq49v4d3AvM0aia4EUowJs0P/j83nsZt8yiE2JEYR03kDgT/qziPK7LnVFqpFDSPC3MR3b8B354E9Af4C/JHgvglv2tsxOyvKupyZonbyr68CqSorO2rAwY/jWFEiArIaVuDiR9YM5 sammy@mydesktop

将这个文本块插入输出，并将其输入到您的 GitLab 实例中的“Key 文本框”内。为其提供一个描述性标题，然后点击“添加密钥”按钮。

现在您可以从本地计算机管理GitLab项目和代码库，而无需提供GitLab账户凭据。

步骤六 — 限制或禁止公开注册

使用您目前的设置，任何人都可以在访问您的GitLab实例主页时注册账号。如果您正在寻求托管公开项目，这可能是您想要的。然而，很多时候，更严格的设置是可取的。

首先，通过点击顶部导航栏中的汉堡菜单，在下拉菜单中选择管理区域，进入管理界面。

从左侧导航栏中选择设置。

您将被带到您的GitLab实例的全局设置页面。在这里，您可以调整一些设置，这些设置会影响新用户是否可以注册以及他们的访问级别。

停用註冊

如果您希望完全禁用注册，可以滚动到注册限制部分，然后点击展开以查看选项。

取消选中“启用注册”复选框。

在您进行更改后，请记得单击“保存更改”按钮。

现在，GitLab的注册部分已从首页删除。

限制按域名注册

如果您在一个机构中使用GitLab，并且该机构提供与域名相关联的电子邮箱地址，您可以通过限制域名来控制注册，而不是完全禁用注册。

在”注册限制”部分，选择”注册时发送确认电子邮件”的选项，这将使用户只能在确认邮箱后才能登录。

接下来，将您的域名或域名添加到“注册白名单域”框中，每行一个域名。您可以使用星号“*”来指定通配符域名。

当您完成后，请点击保存更改按钮。

现在，GitLab首页上的注册部分已被移除。

限制项目创建

默认情况下，新用户可以创建最多10个项目。如果您希望允许外部的新用户能够看到和参与项目，但同时限制他们创建新项目的权限，您可以在账户和限制设置部分进行设置。

在内部，您可以将默认项目限制更改为0，从而完全禁止新用户创建项目。

新用户仍然可以手动添加到项目中，并可以访问其他用户创建的内部或公开项目。

在你进行更新之后，记得点击保存更改按钮。

新用户现在可以创建账户，但无法创建项目。

更新 Let’s Encrypt 证书

默认情况下，GitLab会在每四天的午夜之后，根据您的external_url设置的确切分钟，自动更新Let’s Encrypt证书。您可以在/etc/gitlab/gitlab.rb文件中修改这些设置。

例如，如果您想要在每隔七天的12:30进行续订，您可以进行配置。首先，导航到配置文件：

sudo nano /etc/gitlab/gitlab.rb

然后，在文件中找到以下行并删除 “#”，然后用以下内容进行更新：

...
################################################################################
# Let's Encrypt integration
################################################################################
# letsencrypt['enable'] = nil
letsencrypt['contact_emails'] = ['sammy@digitalocean'] # This should be an array of email addresses to add as contacts
# letsencrypt['group'] = 'root'
# letsencrypt['key_size'] = 2048
# letsencrypt['owner'] = 'root'
# letsencrypt['wwwroot'] = '/var/opt/gitlab/nginx/www'
# See http://docs.gitlab.com/omnibus/settings/ssl.html#automatic-renewal for more on these settings
letsencrypt['auto_renew'] = true
letsencrypt['auto_renew_hour'] = "12"
letsencrypt['auto_renew_minute'] = "30"
letsencrypt['auto_renew_day_of_month'] = "*/7"
...

你也可以将letsencrypt[‘auto_renew’]设置为false来禁用自动续订。

...
letsencrypt['auto_renew'] = false
...

有了自动续订，您不必担心服务中断。

结论

你现在在自己的服务器上拥有一个可工作的GitLab实例。你可以开始导入或创建新项目，并为团队配置适当的访问级别。GitLab会定期添加功能并更新他们的平台，所以一定要查看项目的主页以及时了解任何改进或重要通知。