GitLab自定义域名配置全攻略:从Nginx反向代理到安全防护(附避坑指南)
GitLab自定义域名配置全攻略:从Nginx反向代理到安全防护(附避坑指南)
当你第一次在浏览器地址栏输入git.yourcompany.com却发现跳转到一堆晦涩的IP和端口时,就该意识到自定义域名的重要性了。作为代码托管的门面,一个专业的GitLab域名不仅能提升团队协作体验,更是企业技术形象的展示窗口。本文将手把手带你完成从基础配置到高阶防护的全流程,特别针对那些官方文档没细说、社区讨论常踩坑的细节问题。
1. 环境准备与基础配置
在开始之前,请确保你拥有:
- 一台已安装GitLab的Linux服务器(社区版或企业版均可)
- 有效的域名所有权及DNS解析管理权限
- 基础Linux命令行操作能力
1.1 修改GitLab核心配置
首先通过SSH连接到服务器,用vim打开主配置文件:
sudo vim /etc/gitlab/gitlab.rb找到这两个关键参数进行修改:
external_url 'https://git.yourdomain.com' nginx['listen_port'] = 8800这里有几个容易出错的细节:
- 如果启用HTTPS,
external_url必须包含https://前缀 - 端口号避免使用80、443等常见端口,防止与后续Nginx冲突
- 域名建议使用二级域名(如git.xxx.com)而非主域名
保存后执行配置生效命令:
sudo gitlab-ctl reconfigure sudo gitlab-ctl restart注意:
reconfigure命令会重置部分自定义配置,如有其他定制项需提前备份
2. Nginx反向代理深度配置
2.1 基础代理设置
在/etc/nginx/conf.d/gitlab.conf中创建如下配置:
server { listen 80; server_name git.yourdomain.com; location / { proxy_pass http://localhost:8800; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_redirect off; } }测试并重载Nginx配置:
sudo nginx -t && sudo systemctl reload nginx2.2 大文件传输优化
Git仓库经常需要传输大型二进制文件,默认配置可能导致push失败。在location块中添加:
client_max_body_size 512m;推荐值参考:
| 使用场景 | 建议值 |
|---|---|
| 常规代码仓库 | 50m |
| 含设计稿仓库 | 200m |
| 机器学习数据集 | 1024m |
2.3 强制HTTPS配置
在80端口的server块中添加跳转:
return 301 https://$host$request_uri;然后配置443端口server:
server { listen 443 ssl; server_name git.yourdomain.com; ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/privkey.pem; # 其余配置与HTTP版本相同 }3. 安全防护增强措施
3.1 安全头部注入
在Nginx配置中添加这些关键安全头:
add_header X-Frame-Options "SAMEORIGIN"; add_header X-XSS-Protection "1; mode=block"; add_header X-Content-Type-Options "nosniff"; add_header Content-Security-Policy "default-src 'self'"; add_header Strict-Transport-Security "max-age=63072000; includeSubDomains";各头部作用说明:
X-Frame-Options:防止点击劫持X-XSS-Protection:启用XSS过滤器Content-Security-Policy:控制资源加载来源HSTS:强制浏览器使用HTTPS连接
3.2 爬虫屏蔽策略
在server块末尾添加:
if ($http_user_agent ~* (360Spider|Baiduspider|Googlebot|bot|spider|crawl)) { return 403; }常见需要屏蔽的爬虫UA:
- 360Spider
- Baiduspider
- Googlebot
- MJ12bot
- AhrefsBot
4. 高级调优与故障排查
4.1 性能优化参数
在http上下文中添加这些Nginx全局配置:
proxy_connect_timeout 600; proxy_send_timeout 600; proxy_read_timeout 600; send_timeout 600; keepalive_timeout 60; client_header_timeout 60; client_body_timeout 60;4.2 常见问题排查
问题1:502 Bad Gateway
- 检查GitLab服务状态:
sudo gitlab-ctl status - 验证端口监听:
netstat -tulnp | grep 8800 - 查看Nginx错误日志:
tail -f /var/log/nginx/error.log
问题2:样式加载异常
- 清除浏览器缓存
- 检查
proxy_set_header Host $host是否配置正确 - 确认
external_url与访问域名完全一致
问题3:SSH克隆失败
- 检查
/opt/gitlab/embedded/service/gitlab-rails/config/gitlab.yml中的ssh_host - 验证DNS解析:
dig git.yourdomain.com - 测试SSH连接:
ssh -T git@git.yourdomain.com
4.3 备份与迁移
创建完整备份:
sudo gitlab-rake gitlab:backup:create备份文件默认存储在/var/opt/gitlab/backups,建议额外备份这些关键文件:
- /etc/gitlab/gitlab.rb
- /etc/gitlab/gitlab-secrets.json
- /var/opt/gitlab/nginx/conf
迁移到新服务器时,先安装相同版本的GitLab,然后:
sudo gitlab-ctl stop sudo cp backup_gitlab.rb /etc/gitlab/gitlab.rb sudo gitlab-ctl reconfigure sudo gitlab-ctl start sudo gitlab-rake gitlab:backup:restore BACKUP=备份文件名