# Reference architecture: up to 2,000 users > 原文:[https://docs.gitlab.com/ee/administration/reference_architectures/2k_users.html](https://docs.gitlab.com/ee/administration/reference_architectures/2k_users.html) * [Setup components](#setup-components) * [Configure the load balancer](#configure-the-load-balancer) * [Application node terminates SSL](#application-node-terminates-ssl) * [Load balancer terminates SSL without backend SSL](#load-balancer-terminates-ssl-without-backend-ssl) * [Load balancer terminates SSL with backend SSL](#load-balancer-terminates-ssl-with-backend-ssl) * [Ports](#ports) * [Alternate SSH Port](#alternate-ssh-port) * [Configure PostgreSQL](#configure-postgresql) * [Provide your own PostgreSQL instance](#provide-your-own-postgresql-instance) * [Standalone PostgreSQL using Omnibus GitLab](#standalone-postgresql-using-omnibus-gitlab) * [Configure Redis](#configure-redis) * [Provide your own Redis instance](#provide-your-own-redis-instance) * [Standalone Redis using Omnibus GitLab](#standalone-redis-using-omnibus-gitlab) * [Configure Gitaly](#configure-gitaly) * [Gitaly TLS support](#gitaly-tls-support) * [Configure GitLab Rails](#configure-gitlab-rails) * [Configure Prometheus](#configure-prometheus) * [Configure the object storage](#configure-the-object-storage) * [Configure NFS (optional)](#configure-nfs-optional) * [Troubleshooting](#troubleshooting) # Reference architecture: up to 2,000 users[](#reference-architecture-up-to-2000-users "Permalink") 该页面描述了最多可容纳 2,000 位用户的 GitLab 参考架构. 有关参考架构的完整列表,请参见[可用参考架构](index.html#available-reference-architectures) . > * **支持的用户(大约):** 2,000 > * **高可用性:** False > * **每秒测试请求(RPS)速率:** API:40 RPS,Web:4 RPS,Git:4 RPS | Service | Nodes | Configuration | GCP | AWS | Azure | | --- | --- | --- | --- | --- | --- | | 负载均衡器 | 1 | 2 个 vCPU,1.8GB 内存 | `n1-highcpu-2` | `c5.large` | `F2s v2` | | PostgreSQL | 1 | 2 个 vCPU,7.5GB 内存 | `n1-standard-2` | `m5.large` | `D2s v3` | | Redis | 1 | 1 个 vCPU,3.75GB 内存 | `n1-standard-1` | `m5.large` | `D2s v3` | | Gitaly | 1 | 4 个 vCPU,15GB 内存 | `n1-standard-4` | `m5.xlarge` | `D4s v3` | | 亚搏体育 app Rails | 2 | 8 个 vCPU,7.2GB 内存 | `n1-highcpu-8` | `c5.2xlarge` | `F8s v2` | | 监控节点 | 1 | 2 个 vCPU,1.8GB 内存 | `n1-highcpu-2` | `c5.large` | `F2s v2` | | 对象存储 | n/a | n/a | n/a | n/a | n/a | | NFS 服务器(可选,不推荐) | 1 | 4 个 vCPU,3.6GB 内存 | `n1-highcpu-4` | `c5.xlarge` | `F4s v2` | Google Cloud Platform(GCP)架构是使用[Intel Xeon E5 v3(Haswell)](https://cloud.google.com/compute/docs/cpu-platforms) CPU 平台构建和测试的. 在不同的硬件上,您可能会发现需要对 CPU 或节点数进行更低或更高的调整. 有关更多信息,请参见我们基于[Sysbench](https://github.com/akopytov/sysbench)的[CPU 基准测试](https://gitlab.com/gitlab-org/quality/performance/-/wikis/Reference-Architectures/GCP-CPU-Benchmarks) . 由于具有更好的性能和可用性,对于数据对象(例如 LFS,上载或工件),建议使用[对象存储服务](#configure-the-object-storage)而不是 NFS. 使用对象存储服务也不需要您配置和维护节点. ## Setup components[](#setup-components "Permalink") 设置 GitLab 及其组件以容纳多达 2,000 个用户: 1. [配置外部负载平衡节点](#configure-the-load-balancer)以处理两个 GitLab 应用程序服务节点的负载平衡. 2. [配置 PostgreSQL](#configure-postgresql) (GitLab 的数据库). 3. [Configure Redis](#configure-redis). 4. [配置 Gitaly](#configure-gitaly) ,它提供对 Git 存储库的访问. 5. [配置主要的 GitLab Rails 应用程序](#configure-gitlab-rails)以运行 Puma / Unicorn,Workhorse,GitLab Shell,并满足所有前端请求(包括 UI,API 和基于 HTTP / SSH 的 Git). 6. [配置 Prometheus](#configure-prometheus)来监视您的 GitLab 环境. 7. [配置](#configure-the-object-storage)用于共享数据对象[的对象存储](#configure-the-object-storage) . 8. [配置 NFS](#configure-nfs-optional) (可选,不建议使用)以具有共享磁盘存储服务,以替代 Gitaly 或对象存储. 如果您不使用 GitLab 页面(需要 NFS),则可以跳过此步骤. ## Configure the load balancer[](#configure-the-load-balancer "Permalink") **注意:**此体系结构已经过[HAProxy 的](https://www.haproxy.org/)测试和验证. 尽管您可以使用具有类似功能的负载均衡器,但 GitLab 尚未验证其他负载均衡器. 在主动/主动 GitLab 配置中,您需要一个负载平衡器才能将流量路由到应用程序服务器. GitLab 文档超出了使用负载平衡器或其确切配置的详细信息. 如果要管理多节点系统(包括 GitLab),则可能已经选择了负载均衡器. 一些示例包括 HAProxy(开源),F5 Big-IP LTM 和 Citrix Net Scaler. 本文档包括与 GitLab 一起使用的端口和协议. 下一个问题是如何在环境中处理 SSL. 有几种不同的选择: * [The application node terminates SSL](#application-node-terminates-ssl). * [负载平衡器终止没有后端 SSL 的 SSL,](#load-balancer-terminates-ssl-without-backend-ssl)并且负载平衡器与应用程序节点之间的通信不安全. * [负载均衡器使用后端 SSL 终止 SSL,](#load-balancer-terminates-ssl-with-backend-ssl)并且负载均衡器与应用程序节点之间的通信是*安全*的. ### Application node terminates SSL[](#application-node-terminates-ssl "Permalink") 配置您的负载均衡器以将端口 443 上的连接作为`TCP`而不是`HTTP(S)`传递. 这会将连接保持不变地传递到应用程序节点的 NGINX 服务,该服务具有 SSL 证书并侦听端口 443. 有关管理 SSL 证书和配置 NGINX 的详细信息,请参见[NGINX HTTPS 文档](https://docs.gitlab.com/omnibus/settings/nginx.html) . ### Load balancer terminates SSL without backend SSL[](#load-balancer-terminates-ssl-without-backend-ssl "Permalink") 将负载平衡器配置为使用`HTTP(S)`协议而不是`TCP` . 负载平衡器将负责管理 SSL 证书和终止 SSL. 由于负载平衡器和 GitLab 之间的通信不安全,因此您需要完成一些其他配置. 有关详细信息,请参见[NGINX 代理的 SSL 文档](https://docs.gitlab.com/omnibus/settings/nginx.html) . ### Load balancer terminates SSL with backend SSL[](#load-balancer-terminates-ssl-with-backend-ssl "Permalink") 配置您的负载平衡器(如果只有一个,则为单个平衡器)以使用`HTTP(S)`协议而不是`TCP` . 负载平衡器将负责为最终用户管理 SSL 证书. 在这种情况下,负载平衡器和 NGINX 之间的流量将是安全的,并且无需为代理 SSL 添加配置. 但是,您需要向 GitLab 添加配置以配置 SSL 证书. 有关管理 SSL 证书和配置 NGINX 的详细信息,请参见[NGINX HTTPS 文档](https://docs.gitlab.com/omnibus/settings/nginx.html) . ### Ports[](#ports "Permalink") The basic load balancer ports you should use are described in the following table: | Port | 后端端口 | Protocol | | --- | --- | --- | | 80 | 80 | HTTP( *1* ) | | 443 | 443 | TCP 或 HTTPS( *1* )( *2* ) | | 22 | 22 | TCP | * ( *1* ): [Web 终端](../../ci/environments/index.html#web-terminals)支持要求您的负载平衡器正确处理 WebSocket 连接. 当使用 HTTP 或 HTTPS 代理,负载平衡器必须被配置为通过`Connection`和`Upgrade`逐跳头. 有关详细信息,请参见[Web 终端](../integration/terminal.html)集成指南. * ( *2* ):在端口 443 上使用 HTTPS 协议时,您需要向负载均衡器添加 SSL 证书. 如果需要在 GitLab 应用程序服务器上终止 SSL,请使用 TCP 协议. 如果您使用具有自定义域支持的 GitLab 页面,则将需要一些其他端口配置. GitLab 页面需要一个单独的虚拟 IP 地址. 配置 DNS,以将`pages_external_url`的`/etc/gitlab/gitlab.rb`指向新的虚拟 IP 地址. 有关更多信息,请参见[GitLab 页面文档](../pages/index.html) . | Port | 后端端口 | Protocol | | --- | --- | --- | | 80 | 变化( *1* ) | HTTP | | 443 | 变化( *1* ) | TCP( *2* ) | * ( *1* ):GitLab 页面的后端端口取决于`gitlab_pages['external_http']`和`gitlab_pages['external_https']`设置. 有关详细信息,请参见[GitLab 页面文档](../pages/index.html) . * ( *2* ):GitLab 页面的端口 443 必须使用 TCP 协议. 用户可以使用自定义 SSL 配置自定义域,如果 SSL 在负载均衡器处终止,则无法实现. #### Alternate SSH Port[](#alternate-ssh-port "Permalink") 某些组织有禁止打开 SSH 端口 22 的策略.在这种情况下,配置备用 SSH 主机名可能会有所帮助,该主机名改为允许用户通过端口 443 使用 SSH.与先前描述的相比,备用 SSH 主机名需要新的虚拟 IP 地址. GitLab HTTP 配置. 为备用 SSH 主机名配置 DNS,例如`altssh.gitlab.example.com` : | LB 端口 | 后端端口 | Protocol | | --- | --- | --- | | 443 | 22 | TCP | [Back to setup components](#setup-components) ## Configure PostgreSQL[](#configure-postgresql "Permalink") 在本节中,将指导您配置与 GitLab 一起使用的外部 PostgreSQL 数据库. ### Provide your own PostgreSQL instance[](#provide-your-own-postgresql-instance "Permalink") 如果您将 GitLab 托管在云提供商上,则可以选择将托管服务用于 PostgreSQL. 例如,AWS 提供了运行 PostgreSQL 的托管关系数据库服务(RDS). 如果您使用云托管服务,或提供自己的 PostgreSQL: 1. 根据[数据库要求文档](../../install/requirements.html#database)设置 PostgreSQL. 2. 使用您选择的密码创建一个`gitlab`用户名. `gitlab`用户需要特权才能创建`gitlabhq_production`数据库. 3. 使用适当的详细信息配置 GitLab 应用程序服务器. [配置 GitLab Rails 应用程序](#configure-gitlab-rails)涵盖了此步骤. ### Standalone PostgreSQL using Omnibus GitLab[](#standalone-postgresql-using-omnibus-gitlab "Permalink") 1. SSH 进入 PostgreSQL 服务器. 2. 从 GitLab 下载页面使用**步骤 1 和 2** [下载/安装](https://about.gitlab.com/install/)所需的 Omnibus GitLab 软件包. * 不要完成下载页面上的任何其他步骤. 3. 为 PostgreSQL 生成密码哈希. 假设您将使用默认用户名`gitlab` (推荐). 该命令将要求输入密码和确认. 将此命令在下一步中输出的值用作`POSTGRESQL_PASSWORD_HASH`的值. ``` sudo gitlab-ctl pg-password-md5 gitlab ``` 4. 编辑`/etc/gitlab/gitlab.rb`并添加以下内容,以适当地更新占位符值. * `POSTGRESQL_PASSWORD_HASH`上一步的输出值 * `APPLICATION_SERVER_IP_BLOCKS`将连接到数据库的 GitLab 应用程序服务器的 IP 子网或 IP 地址的空格分隔列表. 示例: `%w(123.123.123.123/32 123.123.123.234/32)` ``` # Disable all components except PostgreSQL roles ['postgres_role'] repmgr['enable'] = false consul['enable'] = false prometheus['enable'] = false alertmanager['enable'] = false pgbouncer_exporter['enable'] = false redis_exporter['enable'] = false gitlab_exporter['enable'] = false # Set the network addresses that the exporters used for monitoring will listen on node_exporter['listen_address'] = '0.0.0.0:9100' postgres_exporter['listen_address'] = '0.0.0.0:9187' postgres_exporter['dbname'] = 'gitlabhq_production' postgres_exporter['password'] = 'POSTGRESQL_PASSWORD_HASH' # Set the PostgreSQL address and port postgresql['listen_address'] = '0.0.0.0' postgresql['port'] = 5432 # Replace POSTGRESQL_PASSWORD_HASH with a generated md5 value postgresql['sql_user_password'] = 'POSTGRESQL_PASSWORD_HASH' # Replace APPLICATION_SERVER_IP_BLOCK with the CIDR address of the application node postgresql['trust_auth_cidr_addresses'] = %w(127.0.0.1/32 APPLICATION_SERVER_IP_BLOCK) # Disable automatic database migrations gitlab_rails['auto_migrate'] = false ``` 5. [重新配置 GitLab,](../restart_gitlab.html#omnibus-gitlab-reconfigure)以使更改生效. 6. 注意 PostgreSQL 节点的 IP 地址或主机名,端口和纯文本密码. 这些在以后配置[GitLab 应用程序服务器](#configure-gitlab-rails)时是必需的. 支持高级[配置选项](https://docs.gitlab.com/omnibus/settings/database.html) ,可以根据需要添加. [Back to setup components](#setup-components) ## Configure Redis[](#configure-redis "Permalink") 在本节中,将指导您配置与 GitLab 一起使用的外部 Redis 实例. ### Provide your own Redis instance[](#provide-your-own-redis-instance "Permalink") 需要 Redis 5.0 或更高版本,因为这是从 GitLab 13.0 开始的 Omnibus GitLab 软件包附带的版本. 较旧的 Redis 版本不支持 SPOP 的可选 count 参数,这对于[合并火车](../../ci/merge_request_pipelines/pipelines_for_merged_results/merge_trains/index.html)现在是必需的. 此外,GitLab 还利用了某些命令,例如`UNLINK`和`USAGE` ,这些命令仅在 Redis 4 中引入. 来自云提供商(例如 AWS ElastiCache)的托管 Redis 将可以使用. 如果这些服务支持高可用性,请确保它不是 Redis 群集类型. 注意 Redis 节点的 IP 地址或主机名,端口和密码(如果需要). 这些在以后配置[GitLab 应用程序服务器](#configure-gitlab-rails)时是必需的. ### Standalone Redis using Omnibus GitLab[](#standalone-redis-using-omnibus-gitlab "Permalink") Omnibus GitLab 软件包可用于配置独立的 Redis 服务器. 以下步骤是使用 Omnibus 配置 Redis 服务器的最低必需步骤: 1. SSH 进入 Redis 服务器. 2. 从 GitLab 下载页面使用**步骤 1 和 2** [下载/安装](https://about.gitlab.com/install/)所需的 Omnibus GitLab 软件包. * 不要完成下载页面上的任何其他步骤. 3. 编辑`/etc/gitlab/gitlab.rb`并添加内容: ``` ## Enable Redis redis['enable'] = true ## Disable all other services sidekiq['enable'] = false gitlab_workhorse['enable'] = false puma['enable'] = false unicorn['enable'] = false postgresql['enable'] = false nginx['enable'] = false prometheus['enable'] = false alertmanager['enable'] = false pgbouncer_exporter['enable'] = false gitlab_exporter['enable'] = false gitaly['enable'] = false grafana['enable'] = false redis['bind'] = '0.0.0.0' redis['port'] = 6379 redis['password'] = 'SECRET_PASSWORD_HERE' gitlab_rails['enable'] = false # Set the network addresses that the exporters used for monitoring will listen on node_exporter['listen_address'] = '0.0.0.0:9100' redis_exporter['listen_address'] = '0.0.0.0:9121' redis_exporter['flags'] = { 'redis.addr' => 'redis://0.0.0.0:6379', 'redis.password' => 'SECRET_PASSWORD_HERE', } ``` 4. [重新配置 Omnibus GitLab,](../restart_gitlab.html#omnibus-gitlab-reconfigure)以使更改生效. 5. 注意 Redis 节点的 IP 地址或主机名,端口和 Redis 密码. 这些在以后[配置 GitLab 应用程序服务器](#configure-gitlab-rails)时是必需的. 支持高级[配置选项](https://docs.gitlab.com/omnibus/settings/redis.html) ,可以根据需要添加. [Back to setup components](#setup-components) ## Configure Gitaly[](#configure-gitaly "Permalink") 在自己的服务器上部署 Gitaly 可以使大于单个计算机的 GitLab 安装受益. Gitaly 节点的要求取决于数据,特别是项目的数量及其大小. 建议每个 Gitaly 节点存储的数据量不得超过 5TB. 您的 2K 设置可能需要一个或多个节点,具体取决于您的存储库存储要求. 我们强烈建议所有 Gitaly 节点都安装 SSD 磁盘,因为 Gitaly I / O 繁重,因此其读取操作的吞吐量至少为 8,000 IOPS,写入操作的吞吐量至少为 2,000 IOPS. 这些 IOPS 值仅建议作为启动器使用,因为随着时间的推移,它们可能会根据环境工作负载的规模而调整得更高或更低. 如果您正在 Cloud provider 上运行环境,则可能需要参考其文档以了解如何正确配置 IOPS. Some things to note: * GitLab Rails 应用程序将[存储库分](../repository_storage_paths.html)片到[存储库中](../repository_storage_paths.html) . * A Gitaly server can host one or more storages. * 一个 GitLab 服务器可以使用一个或多个 Gitaly 服务器. * 必须以对所有 Gitaly 客户端正确解析的方式指定 Gitaly 地址. * Gitaly 服务器一定不能暴露在公共互联网上,因为默认情况下,Gitaly 的网络流量是未加密的. 强烈建议使用防火墙以限制对 Gitaly 服务器的访问. 另一种选择是[使用 TLS](#gitaly-tls-support) . **提示:**有关 Gitaly 历史和网络体系结构的更多信息,请参见[独立的 Gitaly 文档](../gitaly/index.html) . 注意: **注意:** Gitaly 文档中引用的令牌只是管理员选择的任意密码. 它与为 GitLab API 创建的令牌或其他类似的 Web API 令牌无关. 下面我们将介绍如何配置一个 Gitaly 服务器`gitaly1.internal`与秘密令牌`gitalysecret` . 我们假设您的 GitLab 安装有两个存储库存储: `default`和`storage1` . 要配置 Gitaly 服务器: 1. 从 GitLab 下载页面使用**步骤 1 和 2** [下载/安装](https://about.gitlab.com/install/)所需的 Omnibus GitLab 软件包,但**不**提供`EXTERNAL_URL`值. 2. 编辑`/etc/gitlab/gitlab.rb`以配置存储路径,启用网络侦听器并配置令牌: ``` # /etc/gitlab/gitlab.rb # Gitaly and GitLab use two shared secrets for authentication, one to authenticate gRPC requests # to Gitaly, and a second for authentication callbacks from GitLab-Shell to the GitLab internal API. # The following two values must be the same as their respective values # of the GitLab Rails application setup gitaly['auth_token'] = 'gitlaysecret' gitlab_shell['secret_token'] = 'shellsecret' # Avoid running unnecessary services on the Gitaly server postgresql['enable'] = false redis['enable'] = false nginx['enable'] = false puma['enable'] = false unicorn['enable'] = false sidekiq['enable'] = false gitlab_workhorse['enable'] = false grafana['enable'] = false # If you run a seperate monitoring node you can disable these services alertmanager['enable'] = false prometheus['enable'] = false # Prevent database connections during 'gitlab-ctl reconfigure' gitlab_rails['rake_cache_clear'] = false gitlab_rails['auto_migrate'] = false # Configure the gitlab-shell API callback URL. Without this, `git push` will # fail. This can be your 'front door' GitLab URL or an internal load # balancer. # Don't forget to copy `/etc/gitlab/gitlab-secrets.json` from web server to Gitaly server. gitlab_rails['internal_api_url'] = 'https://gitlab.example.com' # Make Gitaly accept connections on all network interfaces. You must use # firewalls to restrict access to this address/port. # Comment out following line if you only want to support TLS connections gitaly['listen_addr'] = "0.0.0.0:8075" gitaly['prometheus_listen_addr'] = "0.0.0.0:9236" # Set the network addresses that the exporters used for monitoring will listen on node_exporter['listen_address'] = '0.0.0.0:9100' ``` 3. 将以下内容添加到`/etc/gitlab/gitlab.rb`上的`gitaly1.internal` : ``` git_data_dirs({ 'default' => { 'path' => '/var/opt/gitlab/git-data' }, 'storage1' => { 'path' => '/mnt/gitlab/git-data' }, }) ``` 4. 保存文件并[重新配置 GitLab](../restart_gitlab.html#omnibus-gitlab-reconfigure) . 5. 确认 Gitaly 可以执行对内部 API 的回调: ``` sudo /opt/gitlab/embedded/service/gitlab-shell/bin/check -config /opt/gitlab/embedded/service/gitlab-shell/config.yml ``` ### Gitaly TLS support[](#gitaly-tls-support "Permalink") Gitaly 支持 TLS 加密. 为了能够与侦听安全连接的 Gitaly 实例进行通信,您将需要在 GitLab 配置中相应存储条目的`gitaly_address`中使用`tls://` URL 方案. 您将需要携带自己的证书,因为该证书不会自动提供. 证书或其证书颁发机构必须按照[GitLab 自定义证书配置中](https://docs.gitlab.com/omnibus/settings/ssl.html)所述的步骤,安装在所有 Gitaly 节点(包括使用证书的 Gitaly 节点)上,以及与之通信的所有客户端节点上. **注意:**自签名证书必须指定用于访问 Gitaly 服务器的地址. 如果要通过主机名寻址 Gitaly 服务器,则可以为此使用"公用名"字段,也可以将其添加为"使用者备用名". 如果要通过 Gitaly 服务器的 IP 地址对其进行寻址,则必须将其作为主题备用名称添加到证书中. [gRPC 不支持在证书中使用 IP 地址作为公用名](https://github.com/grpc/grpc/issues/2691) .**注意:**可以同时为 Gitaly 服务器配置未加密的侦听地址`listen_addr`和已加密的侦听地址`tls_listen_addr` . 如果需要,这使您可以从未加密的流量逐渐过渡到加密的流量. 要使用 TLS 配置 Gitaly: 1. 创建`/etc/gitlab/ssl`目录,并在其中复制密钥和证书: ``` sudo mkdir -p /etc/gitlab/ssl sudo chmod 755 /etc/gitlab/ssl sudo cp key.pem cert.pem /etc/gitlab/ssl/ sudo chmod 644 key.pem cert.pem ``` 2. 将证书复制到`/etc/gitlab/trusted-certs`以便 Gitaly 在调用自身时信任该证书: ``` sudo cp /etc/gitlab/ssl/cert.pem /etc/gitlab/trusted-certs/ ``` 3. 编辑`/etc/gitlab/gitlab.rb`并添加: ``` gitaly['tls_listen_addr'] = "0.0.0.0:9999" gitaly['certificate_path'] = "/etc/gitlab/ssl/cert.pem" gitaly['key_path'] = "/etc/gitlab/ssl/key.pem" ``` 4. Delete `gitaly['listen_addr']` to allow only encrypted connections. 5. 保存文件并[重新配置 GitLab](../restart_gitlab.html#omnibus-gitlab-reconfigure) . [Back to setup components](#setup-components) ## Configure GitLab Rails[](#configure-gitlab-rails "Permalink") **注意:**在我们的体系结构中,我们使用 Puma Web 服务器运行每个 GitLab Rails 节点,并将其工作程序数设置为可用 CPU 的 90%以及四个线程. 对于运行带有其他组件的 Rails 的节点,应该相应地降低 worker 的值,我们发现 50%达到了很好的平衡,但这取决于工作量. 本节介绍如何配置 GitLab 应用程序(Rails)组件. 在每个节点上执行以下操作: 1. 如果您[使用的是 NFS](#configure-nfs-optional) : 1. 如有必要,请使用以下命令安装 NFS 客户端实用程序软件包: ``` # Ubuntu/Debian apt-get install nfs-common # CentOS/Red Hat yum install nfs-utils nfs-utils-lib ``` 2. 在`/etc/fstab`指定必要的 NFS 挂载. `/etc/fstab`的确切内容取决于您选择配置 NFS 服务器的方式. 有关示例和各种选项,请参见[NFS 文档](../high_availability/nfs.html) . 3. 创建共享目录. 这些可能会有所不同,具体取决于您的 NFS 安装位置. ``` mkdir -p /var/opt/gitlab/.ssh /var/opt/gitlab/gitlab-rails/uploads /var/opt/gitlab/gitlab-rails/shared /var/opt/gitlab/gitlab-ci/builds /var/opt/gitlab/git-data ``` 2. 使用[GitLab 下载中的](https://about.gitlab.com/install/) **步骤 1 和 2**下载/安装 Omnibus GitLab. 不要完成下载页面上的其他步骤. 3. 创建/编辑`/etc/gitlab/gitlab.rb`并使用以下配置. 为了保持整个节点的链接均匀性, `external_url`在应用服务器上应指向外部 URL,用户将用来访问 GitLab. 这将是[负载均衡器](#configure-the-load-balancer)的 URL,它将把流量路由到 GitLab 应用程序服务器: ``` external_url 'https://gitlab.example.com' # Gitaly and GitLab use two shared secrets for authentication, one to authenticate gRPC requests # to Gitaly, and a second for authentication callbacks from GitLab-Shell to the GitLab internal API. # The following two values must be the same as their respective values # of the Gitaly setup gitlab_rails['gitaly_token'] = 'gitalyecret' gitlab_shell['secret_token'] = 'shellsecret' git_data_dirs({ 'default' => { 'gitaly_address' => 'tcp://gitaly1.internal:8075' }, 'storage1' => { 'gitaly_address' => 'tcp://gitaly1.internal:8075' }, 'storage2' => { 'gitaly_address' => 'tcp://gitaly2.internal:8075' }, }) ## Disable components that will not be on the GitLab application server roles ['application_role'] gitaly['enable'] = false nginx['enable'] = true ## PostgreSQL connection details gitlab_rails['db_adapter'] = 'postgresql' gitlab_rails['db_encoding'] = 'unicode' gitlab_rails['db_host'] = '10.1.0.5' # IP/hostname of database server gitlab_rails['db_password'] = 'DB password' ## Redis connection details gitlab_rails['redis_port'] = '6379' gitlab_rails['redis_host'] = '10.1.0.6' # IP/hostname of Redis server gitlab_rails['redis_password'] = 'Redis Password' # Set the network addresses that the exporters used for monitoring will listen on node_exporter['listen_address'] = '0.0.0.0:9100' gitlab_workhorse['prometheus_listen_addr'] = '0.0.0.0:9229' sidekiq['listen_address'] = "0.0.0.0" puma['listen'] = '0.0.0.0' # Add the monitoring node's IP address to the monitoring whitelist and allow it to # scrape the NGINX metrics. Replace placeholder `monitoring.gitlab.example.com` with # the address and/or subnets gathered from the monitoring node gitlab_rails['monitoring_whitelist'] = ['/32', '127.0.0.0/8'] nginx['status']['options']['allow'] = ['/32', '127.0.0.0/8'] ## Uncomment and edit the following options if you have set up NFS ## ## Prevent GitLab from starting if NFS data mounts are not available ## #high_availability['mountpoint'] = '/var/opt/gitlab/git-data' ## ## Ensure UIDs and GIDs match between servers for permissions via NFS ## #user['uid'] = 9000 #user['gid'] = 9000 #web_server['uid'] = 9001 #web_server['gid'] = 9001 #registry['uid'] = 9002 #registry['gid'] = 9002 ``` 4. 如果您正在使用[具有 TLS 支持](#gitaly-tls-support)的`git_data_dirs` ,请确保`git_data_dirs`条目配置了`tls`而不是`tcp` : ``` git_data_dirs({ 'default' => { 'gitaly_address' => 'tls://gitaly1.internal:9999' }, 'storage1' => { 'gitaly_address' => 'tls://gitaly1.internal:9999' }, 'storage2' => { 'gitaly_address' => 'tls://gitaly2.internal:9999' }, }) ``` 1. 将证书复制到`/etc/gitlab/trusted-certs` : ``` sudo cp cert.pem /etc/gitlab/trusted-certs/ ``` 5. 保存文件并[重新配置 GitLab](../restart_gitlab.html#omnibus-gitlab-reconfigure) . 6. 运行`sudo gitlab-rake gitlab:gitaly:check`确认节点可以连接到 Gitaly. 7. 拖尾日志以查看请求: ``` sudo gitlab-ctl tail gitaly ``` **注意:**如上例所示,当在`external_url`指定`https`时,GitLab 会假定您在`/etc/gitlab/ssl/`具有 SSL 证书. 如果没有证书,NGINX 将无法启动. 有关更多信息,请参见[NGINX 文档](https://docs.gitlab.com/omnibus/settings/nginx.html) .[Back to setup components](#setup-components) ## Configure Prometheus[](#configure-prometheus "Permalink") The Omnibus GitLab package can be used to configure a standalone Monitoring node running [Prometheus](../monitoring/prometheus/index.html) and [Grafana](../monitoring/performance/grafana_configuration.html): 1. SSH 进入"监视"节点. 2. 从 GitLab 下载页面使用**步骤 1 和 2** [下载/安装](https://about.gitlab.com/install/)所需的 Omnibus GitLab 软件包. 不要完成下载页面上的任何其他步骤. 3. 编辑`/etc/gitlab/gitlab.rb`并添加内容: ``` external_url 'http://gitlab.example.com' # Enable Prometheus prometheus['enable'] = true prometheus['listen_address'] = '0.0.0.0:9090' prometheus['monitor_kubernetes'] = false # Enable Login form grafana['disable_login_form'] = false # Enable Grafana grafana['enable'] = true grafana['admin_password'] = 'toomanysecrets' # Disable all other services gitlab_rails['auto_migrate'] = false alertmanager['enable'] = false gitaly['enable'] = false gitlab_exporter['enable'] = false gitlab_workhorse['enable'] = false nginx['enable'] = true postgres_exporter['enable'] = false postgresql['enable'] = false redis['enable'] = false redis_exporter['enable'] = false sidekiq['enable'] = false puma['enable'] = false unicorn['enable'] = false node_exporter['enable'] = false gitlab_exporter['enable'] = false ``` 4. Prometheus 还需要一些抓取配置,以从我们配置了导出器的各个节点中提取所有数据. 假设您节点的 IP 为: ``` 1.1.1.1: postgres 1.1.1.2: redis 1.1.1.3: gitaly1 1.1.1.4: rails1 1.1.1.5: rails2 ``` 将以下内容添加到`/etc/gitlab/gitlab.rb` : ``` prometheus['scrape_configs'] = [ { 'job_name': 'postgres', 'static_configs' => [ 'targets' => ['1.1.1.1:9187'], ], }, { 'job_name': 'redis', 'static_configs' => [ 'targets' => ['1.1.1.2:9121'], ], }, { 'job_name': 'gitaly', 'static_configs' => [ 'targets' => ['1.1.1.3:9236'], ], }, { 'job_name': 'gitlab-nginx', 'static_configs' => [ 'targets' => ['1.1.1.4:8060', '1.1.1.5:8060'], ], }, { 'job_name': 'gitlab-workhorse', 'static_configs' => [ 'targets' => ['1.1.1.4:9229', '1.1.1.5:9229'], ], }, { 'job_name': 'gitlab-rails', 'metrics_path': '/-/metrics', 'static_configs' => [ 'targets' => ['1.1.1.4:8080', '1.1.1.5:8080'], ], }, { 'job_name': 'gitlab-sidekiq', 'static_configs' => [ 'targets' => ['1.1.1.4:8082', '1.1.1.5:8082'], ], }, { 'job_name': 'node', 'static_configs' => [ 'targets' => ['1.1.1.1:9100', '1.1.1.2:9100', '1.1.1.3:9100', '1.1.1.4:9100', '1.1.1.5:9100'], ], }, ] ``` 5. 保存文件并[重新配置 GitLab](../restart_gitlab.html#omnibus-gitlab-reconfigure) . 6. 在 GitLab 用户界面中,将`admin/application_settings/metrics_and_profiling` >指标-Grafana 设置为`/-/grafana`到`http[s]:///-/grafana` [Back to setup components](#setup-components) ## Configure the object storage[](#configure-the-object-storage "Permalink") GitLab 支持使用对象存储服务来保存多种类型的数据,建议在[NFS 上使用](#configure-nfs-optional) . 通常,对象存储服务更适合较大的环境,因为对象存储通常具有更高的性能,可靠性和可伸缩性. GitLab 已测试或了解客户使用的对象存储选项包括: * SaaS / Cloud 解决方案(例如[Amazon S3](https://aws.amazon.com/s3/)或[Google Cloud Storage](https://cloud.google.com/storage) ). * 来自各种存储供应商的本地硬件和设备. * MinIO( [部署指南](https://docs.gitlab.com/charts/advanced/external-object-storage/minio.html) ). 要将 GitLab 配置为使用对象存储,请根据要使用的功能参考以下指南: 1. [Object storage for backups](../../raketasks/backup_restore.html#uploading-backups-to-a-remote-cloud-storage). 2. [Object storage for job artifacts](../job_artifacts.html#using-object-storage) including [incremental logging](../job_logs.html#new-incremental-logging-architecture). 3. [Object storage for LFS objects](../lfs/index.html#storing-lfs-objects-in-remote-object-storage). 4. [Object storage for uploads](../uploads.html#using-object-storage-core-only). 5. [Object storage for merge request diffs](../merge_request_diffs.html#using-object-storage). 6. [容器注册表的对象存储](../packages/container_registry.html#use-object-storage) (可选功能). 7. [Mattermost 的对象存储](https://docs.mattermost.com/administration/config-settings.html#file-storage) (可选功能). 8. [包的对象存储](../packages/index.html#using-object-storage) (可选功能). 9. [依赖代理的对象存储](../packages/dependency_proxy.html#using-object-storage) (可选功能). 10. [Pseudonymizer 的对象存储](../pseudonymizer.html#configuration) (可选功能). 11. [用于自动缩放 Runner 缓存的对象存储](https://docs.gitlab.com/runner/configuration/autoscale.html) (可选,以提高性能). 12. [Object storage for Terraform state files](../terraform_state.html#using-object-storage-core-only). 对于 GitLab,建议为每种数据类型使用单独的存储桶. 我们的配置的局限性是对象存储的每次使用都是单独配置的. 我们有一个[问题](https://gitlab.com/gitlab-org/gitlab/-/issues/23345)需要改进,那就是允许一个存储桶具有单独的文件夹. 在通过 Helm 图表部署 GitLab 时使用单个存储桶会导致从备份还原[无法正常运行](https://docs.gitlab.com/charts/advanced/external-object-storage/) . 尽管您可能暂时不使用 Helm 部署,但是如果稍后将 GitLab 迁移到 Helm 部署,GitLab 仍然可以工作,但是您可能不会意识到备份无法正常工作,直到遇到对备份起作用的关键要求. [Back to setup components](#setup-components) ## Configure NFS (optional)[](#configure-nfs-optional "Permalink") 为了提高性能,建议尽可能使用[对象存储](#configure-the-object-storage)以及[Gitaly](#configure-gitaly) ,而不是使用 NFS. 但是,如果您打算使用 GitLab 页面,则[必须使用 NFS](troubleshooting.html#gitlab-pages-requires-nfs) . 有关配置 NFS 的信息,请参阅[NFS 文档页面](../high_availability/nfs.html) . [Back to setup components](#setup-components) ## Troubleshooting[](#troubleshooting "Permalink") 请参阅[故障排除文档](troubleshooting.html) . [Back to setup components](#setup-components)