Rocky Linux 9下用清华源5分钟搞定GitLab-CE安装附防火墙配置在当今的软件开发协作中GitLab已经成为团队不可或缺的代码管理和持续集成平台。对于国内开发者而言如何在Rocky Linux 9系统上快速部署GitLab-CE同时解决镜像下载慢和防火墙配置问题是提升团队效率的关键一步。本文将带你用清华镜像源5分钟完成安装并详细解析防火墙配置的每个环节确保你的GitLab服务安全可靠地运行。1. 环境准备与系统检查在开始安装之前我们需要确保Rocky Linux 9系统已经做好充分准备。首先确认系统版本Rocky Linux作为RHEL的替代品其9.x版本带来了许多新特性同时也意味着一些软件包的兼容性需要特别注意。执行以下命令检查系统信息cat /etc/redhat-release uname -r理想情况下你应该看到类似Rocky Linux release 9.x的输出。如果系统版本低于9.x建议先进行升级sudo dnf upgrade -y接下来更新系统基础软件包并安装必要的依赖sudo dnf update -y sudo dnf install -y curl policycoreutils openssh-server postfix注意Postfix是GitLab用于发送通知邮件的SMTP服务器如果你计划使用其他邮件服务可以跳过postfix的安装。提示对于国内服务器建议先配置清华源加速基础软件包的下载速度。编辑/etc/yum.repos.d/rocky.repo文件将所有mirror.centos.org替换为mirrors.tuna.tsinghua.edu.cn。2. 配置清华镜像源安装GitLab-CE国内访问GitLab官方源速度较慢使用清华镜像源可以大幅提升下载速度。以下是详细配置步骤首先创建GitLab-CE的yum仓库配置文件sudo tee /etc/yum.repos.d/gitlab-ce.repo EOF [gitlab-ce] nameGitlab CE Repository baseurlhttps://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el9/ gpgcheck0 enabled1 EOF关键点解析baseurl中的el9明确指定了针对Enterprise Linux 9的版本gpgcheck0跳过了GPG验证生产环境建议开启验证并配置正确的GPG密钥清华镜像源会自动同步GitLab官方仓库通常延迟在2小时以内更新yum缓存并安装GitLab-CEsudo yum makecache sudo yum install -y gitlab-ce安装完成后我们需要配置GitLab的外部访问URL。编辑配置文件sudo vi /etc/gitlab/gitlab.rb找到external_url项修改为你的服务器IP或域名例如external_url http://your_server_ip注意如果你计划使用HTTPS需要在此处配置https://开头的URL并提前准备好SSL证书。应用配置变更sudo gitlab-ctl reconfigure这个过程可能需要几分钟时间系统会自动配置所有必要的服务。完成后你可以检查服务状态sudo gitlab-ctl status3. 防火墙配置与端口管理安全是服务器管理的第一要务正确配置防火墙对于保护GitLab实例至关重要。Rocky Linux 9默认使用firewalld作为防火墙管理工具我们需要放行必要的端口。GitLab正常运行需要以下端口HTTP: 80HTTPS: 443如果启用SSH: 22如果使用SSH协议访问Git仓库执行以下命令开放端口sudo firewall-cmd --permanent --add-servicehttp sudo firewall-cmd --permanent --add-servicehttps sudo firewall-cmd --permanent --add-servicessh sudo firewall-cmd --reload验证防火墙规则是否生效sudo firewall-cmd --list-all你应该能看到类似下面的输出public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: cockpit dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:对于需要更精细控制的环境你可以直接指定端口而非服务sudo firewall-cmd --permanent --add-port8080/tcp高级技巧如果你只想对特定IP开放GitLab访问可以使用firewalld的rich规则sudo firewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.1.100/32 port port80 protocoltcp accept4. 初始访问与安全加固安装完成后首次访问GitLab需要进行一些安全设置。在浏览器中输入服务器的IP地址如http://your_server_ip你将看到GitLab的登录页面。初始管理员账户是root密码存储在以下文件中sudo cat /etc/gitlab/initial_root_password重要这个初始密码24小时后会自动失效因此登录后第一件事就是修改密码。登录后建议立即进行以下安全设置修改root密码右上角用户头像 → Settings → Password配置SMTP邮件服务Admin Area → Settings → Email限制新用户注册Admin Area → Settings → General → Sign-up restrictions配置备份Admin Area → Settings → Repository → Repository storage对于生产环境还应该考虑启用HTTPS加密配置定期自动备份设置监控和告警定期更新GitLab版本备份GitLab数据非常简单sudo gitlab-rake gitlab:backup:create备份文件默认存储在/var/opt/gitlab/backups目录建议定期将这些文件复制到远程存储。5. 常见问题与解决方案即使按照步骤操作在实际部署中仍可能遇到各种问题。以下是几个常见问题及其解决方法问题1gitlab-ctl reconfigure执行时间过长解决方案这通常是因为服务器资源不足。可以尝试增加服务器内存建议至少4GB临时关闭其他服务释放资源使用sudo gitlab-ctl reconfigure --skip-auto-reconfigure跳过部分检查问题2无法通过IP访问GitLab排查步骤检查GitLab服务是否运行sudo gitlab-ctl status检查端口监听状态sudo ss -tulnp | grep 80检查防火墙规则sudo firewall-cmd --list-all检查SELinux状态getenforce如果是Enforcing模式可能需要调整策略问题3邮件服务无法正常工作配置检查清单确认/etc/gitlab/gitlab.rb中SMTP配置正确测试邮件发送sudo gitlab-rails console然后执行Notify.test_email(testexample.com, Test, Test).deliver_now检查邮件日志sudo tail -f /var/log/mail.log问题4备份恢复失败正确恢复步骤停止相关服务sudo gitlab-ctl stop unicorn; sudo gitlab-ctl stop sidekiq执行恢复sudo gitlab-rake gitlab:backup:restore BACKUP备份文件名重启服务sudo gitlab-ctl restart检查状态sudo gitlab-rake gitlab:check SANITIZEtrue6. 性能优化与日常维护要让GitLab运行得更高效特别是在资源有限的服务器上可以考虑以下优化措施数据库调优编辑/etc/gitlab/gitlab.rbpostgresql[shared_buffers] 256MB postgresql[max_worker_processes] 8Redis配置优化redis[max_memory] 512MB redis[maxmemory_policy] allkeys-lruUnicorn工作进程调整unicorn[worker_processes] 4 unicorn[worker_timeout] 60注意这些值需要根据服务器实际资源情况进行调整。修改后需要重新配置sudo gitlab-ctl reconfigure sudo gitlab-ctl restart日常维护建议每周检查磁盘空间df -h每月更新系统sudo yum update每季度检查日志文件sudo du -sh /var/log/gitlab/*每年审查备份策略监控GitLab性能可以使用内置工具sudo gitlab-ctl tail sudo gitlab-rake gitlab:check对于大型团队考虑将GitLab数据存储在独立的高性能存储设备上git_data_dirs({ default { path /mnt/gitlab-data } })7. 高级配置与团队协作设置当GitLab基础服务运行稳定后可以根据团队需求进行更精细的配置。以下是一些常见的高级设置LDAP/Active Directory集成在/etc/gitlab/gitlab.rb中添加gitlab_rails[ldap_enabled] true gitlab_rails[ldap_servers] { main { label Company LDAP, host ldap.company.com, port 636, uid sAMAccountName, encryption simple_tls, verify_certificates true, bind_dn CNGitLab,OUService Accounts,DCcompany,DCcom, password your_password, active_directory true, base OUUsers,DCcompany,DCcom } }CI/CD Runner配置安装GitLab Runnercurl -L https://packages.gitlab.com/install/repositories/runner/gitlab-runner/script.rpm.sh | sudo bash sudo yum install -y gitlab-runner sudo gitlab-runner register项目仓库镜像在Admin Area → Settings → Repository → Repository mirroring中可以设置最大镜像容量镜像频率超时设置Webhook与集成GitLab支持与多种工具集成常见的有Slack/MS Teams通知Jira问题跟踪Kubernetes集群集成Prometheus监控配置示例Slack通知gitlab_rails[slack_app_id] YOUR_APP_ID gitlab_rails[slack_app_secret] YOUR_APP_SECRET gitlab_rails[slack_app_verification_token] YOUR_VERIFICATION_TOKEN多节点高可用部署对于关键业务环境可以考虑多节点部署方案前端负载均衡多个应用服务器PostgreSQL流复制Redis Sentinel集群配置示例external_url http://gitlab.example.com gitlab_rails[db_host] postgresql-master.example.com gitlab_rails[redis_host] redis-master.example.com