- 电子邮件确认
- 密码要求
- SSH 密钥限制
- SSH 主机密钥指纹
- SSH
known_hosts条目 - 邮件配置
- 备份
- 延迟群组删除
- 延迟项目删除
- 非活跃项目删除
- 备用 SSH 端口
- 极狐GitLab Pages
- 极狐GitLab CI/CD
- 软件包限制
- 账户和限制设置
- 默认导入源
- IP 范围
- 主机名列表
- Webhook
- Runner SaaS
- Puma
- 最大指派人和审核者的数量
- JihuLab.com 特定的速率限制
- JihuLab.com 特定的 Gitaly RPC 并发限制
- JihuLab.com 日志记录
JihuLab.com 设置
此页面展示 JihuLab.com 上的设置信息,可供极狐GitLab SaaS 用户使用。
电子邮件确认
JihuLab.com 将:
-
email_confirmation_setting设置为 硬设置。 -
unconfirmed_users_delete_after_days设置为三天。
密码要求
JihuLab.com 对新账户的密码和更改的密码有以下要求:
- 最小字符长度为 10 个字符;
- 最大字符长度为 128 个字符;
- 必须包含大写字母、小写字母和数字;
- 可以使用任何字符。例如:
~、!、@、#、$、%、^、&、*、()、[]、_、+、=、-。
SSH 密钥限制
JihuLab.com 使用默认 SSH 密钥限制。
SSH 主机密钥指纹
进行当前实例配置以在 JihuLab.com 上查看 SSH 主机密钥指纹。
- 登录极狐GitLab。
- 在左侧边栏中,选择 帮助 () > 帮助。
- 在帮助页面上,选择 检查当前实例配置。
在实例配置中,您会看到 SSH 主机密钥指纹:
| 算法 | SHA256 |
|---|---|
| ED25519 | oFjzO7Pjq2iFPAVDPI9LmQLeC7Vmst/vFy6Bd1Mlljw
|
| RSA | NH6pILFtJnZCTefvALgWVShVUSyXmhnnwj/RjR76CJ4
|
| DSA (deprecated) | X42tkbvmtfwwPXggioadkFni7DgBybAdI9aensl/Hh4
|
| ECDSA | /YbJq0B1VPMOFY0SOs9DINmpXC7Ihyd6amYgZnrWFVc
|
SSH known_hosts 条目
将以下内容添加到 .ssh/known_hosts 以跳过 SSH 中的手动指纹确认:
JihuLab.com ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAF3eNpQq0GNg0IZgh6gWOd1UOoaVJAQU9tjj6ocVuMT
JihuLab.com ssh-rsa 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
JihuLab.com ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAD6qo5z7vy4J1dTRyhaf8ats0lDWVgpgMddICUaVRTSMcNjfSaq4XHdPnSeXwWsAuSYN/3KZzoVsKcvZ/y5bc15fQHomE2B4Wn0+AnFv8XDv0ZHuAnZ4JLvbjtG0aVjsdO/97MF3kAeabQm4+ci4YPx4GZVxE/2LcN+W8S024Ky7+qLKA==
邮件配置
JihuLab.com 使用阿里云邮箱推送服务发送通知邮件,系统邮件的域名为 msg.jihulab.com。
JihuLab.com 使用阿里云企业邮箱服务接收特定邮件,接收邮件的域名为 mg.jihulab.com。
服务台自定义邮箱
JihuLab.com 提供的服务台(Service Desk)功能允许用户通过发送邮件的方式创建议题。邮件地址为 contact-project+%{key}@mg.jihulab.com。您可以在项目设置中自定义邮件后缀。
备份
当前 JihuLab.com 的备份策略:
- 生产数据库的 base backup 备份是每 24 小时进行一次,同时通过 wal 进行连续增量备份,流向腾讯云 COS。这些备份都是加密的,备份保留 40 天。
- 存储所有用户 git 仓库数据的文件系统通过磁盘快照的方式进行备份,每 15 分钟进行一次,备份保留 7 天。
- 存储在对象存储(腾讯云 COS)中的数据,如产物、容器镜像库等,没有额外的备份,依靠的是腾讯云 COS 提供的 99.9999999999% 的数据持久性,以及多 AZ 的存储架构。
用户可以采用以下两种方式,自行备份 JihuLab.com 上的的项目:
延迟群组删除
所有群组都默认启用延迟删除。延迟 7 天后,群组将被永久删除。 如果您使用的是基础版,您的群组将立即被删除,并且无法恢复。
延迟项目删除
所有群组都默认启用延迟项目删除。延迟 7 天后,项目将被永久删除。 如果您使用的是基础版,您的项目将立即被删除,并且无法恢复。
非活跃项目删除
非活跃项目删除在 JihuLab.com 上默认禁用。
备用 SSH 端口
可以通过为 git+SSH 使用不同的 SSH 端口,来访问 JihuLab.com。
| 设置 | 值 |
|---|---|
Hostname
| altssh.jihulab.com
|
Port
| 443
|
~/.ssh/config 的示例如下:
Host jihulab.com
Hostname altssh.jihulab.com
User git
Port 443
PreferredAuthentications publickey
极狐GitLab Pages
由于安全合规等因素,JihuLab.com 暂未开启 Pages 功能。
极狐GitLab CI/CD
以下是有关极狐GitLab CI/CD 的当前设置。 此处未列出的设置或功能限制均使用相关文档中列出的默认值。
| 设置 | JihuLab.com | 默认值(私有化部署版) |
|---|---|---|
| 最大产物大小(压缩) | 1 GB | 查看最大产物大小。 |
| 产物过期时间 | 默认 30 天后删除,除非另有规定 | 查看默认产物过期。 |
| 计划流水线 Cron | */5 * * * *
| 查看流水线计划高级配置。 |
| 活跃流水线的最大作业数量 | 基础版:500专业版和旗舰版: 1000
| 查看活跃流水线作业数。 |
| 项目的最大 CI/CD 订阅量 | 2
| 查看项目的 CI/CD 订阅数。 |
| 项目中流水线触发器的最大数量 | 基础版:25000专业版和旗舰版:无限制 | 查看限制流水线触发器的数量。 |
| 项目中流水线计划的最大数量 | 基础版:10专业版和旗舰版: 50
| 查看最大流水线计划数量。 |
| 由流水线计划创建的最大流水线数量 | 基础版:24专业版和旗舰版: 288
| 查看限制每天由流水线计划创建的流水线数量。 |
| 每个安全策略项目定义的计划规则的最大数量 | 所有用户无限制 | 查看为安全策略项目定义的计划规则的数量(引入于 15.1 版本)。 |
| 计划作业归档 | 3 个月 | 从不 |
| 每个单元测试报告的最多测试用例 | 500000
| 无限制 |
| 注册 Runner 的最大数量 | 基础版:每个群组 50,每个项目 50专业版和旗舰版:每个群组 1000,每个项目 1000
| 查看每个范围的注册 Runner 的数量。 |
| dotenv 变量限制 | 基础版:50专业版: 100旗舰版: 150
| 查看限制 dotenv 变量。 |
| 授权令牌持续时间(分钟) | 15
| 要设置自定义值,请在 Rails 控制台中运行:ApplicationSetting.last.update(container_registry_token_expire_delay: <integer>),其中 <integer> 是所需的分钟数。
|
软件包限制
上传到极狐GitLab 软件包库的包的最大文件大小因格式而异:
| 包类型 | JihuLab.com |
|---|---|
| Conan | 5 GB |
| Generic | 5 GB |
| Helm | 5 MB |
| Maven | 5 GB |
| npm: | 5 GB |
| NuGet | 5 GB |
| PyPI | 5 GB |
| Terraform | 1 GB |
账户和限制设置
JihuLab.com 启用以下账户限制。如果设置未列出,则默认值与私有化部署实例的设置相同:
| 设置 | JihuLab.com 默认值 |
|---|---|
| 包括 LFS 的仓库大小 | 2 GB |
| 最大导入大小 | 2 GB |
| 从外部对象存储导入的最大远端文件大小 | 2 GB |
| 通过直接传输从源极狐GitLab 实例导入时的最大下载文件大小 | 2 GB |
| 最大附件大小 | 100 MB |
| 导入归档的最大解压缩文件大小 | 5 GB |
如果您接近或已经超过了仓库大小限制,您可以使用 Git 降低您的仓库大小或购买额外存储。
git push 和极狐GitLab 项目导入通过 Cloudflare 的每个请求限制为 5 GB。文件上传以外的导入不受此限制的影响。仓库限制适用于公共和私有项目。默认导入源
为新的极狐GitLab 私有化部署安装禁用所有导入器引入于极狐GitLab 16.0。
| 导入源 | JihuLab.com 默认 |
|---|---|
| Bitbucket 云 | 是 |
| Bitbucket 服务器 | 否 |
| FogBugz | 否 |
| Gitea | 否 |
| Gitee | 是 |
| 直接传输的极狐GitLab | 是 |
| 使用文件导出的极狐GitLab | 是 |
| GitHub | 是 |
| Manifest 文件 | 是 |
| 通过 URL 方式从仓库导入 | 是 |
IP 范围
在配置 JihuLab.com 的 Webhook 和仓库镜像时,需要允许以下 IP 列表:
1.117.22.3/321.117.26.213/32
JihuLab.com 前端使用的是星盾,如果需要连接到 JihuLab.com,您可能需要允许星盾的 CIDR 块(IPv4 和 IPv6)。
JihuLab.com 上的共享 Runner 部署在腾讯云上,不提供静态 IP。
主机名列表
在本地 HTTP 代理(或其它网络屏蔽软件)中配置允许列表,添加如下主机名:
jihulab.com*.jihulab.comgitlab.cn*.gitlab.cn
Webhook
以下限制适用于 Webhook:
速率限制
Webhook 速率限制是指每个顶级命名空间每分钟可以调用 Webhook 的次数。 限制的数值根据您的订阅级别和订阅中的席位数量而有所不同。
| 订阅级别 | JihuLab.com 默认 |
|---|---|
| 基础版 | 500
|
| 专业版 | 不多于 99 个席位:1,600100-399 个席位:2,800不少于 400 个席位:4,000
|
| 旗舰版及开源 | 不多于 999 个席位:6,0001,000-4,999 个席位:9,000不少于 5,000 个席位:13,000
|
其他限制
| 设置 | JihuLab.com 默认 |
|---|---|
| Webhook 数量 | 每个项目 100 个,每个群组 50 个(子群组 Webhook 数量不计入父群组 Webhook 数量限制中)
|
| 最大负载大小 | 25 MB |
| 超时时间 | 10 秒 |
对于私有化部署实例的限制,请参见:
Runner SaaS
Runner SaaS 是托管的、安全的、受管理的构建环境,您可以使用它来为您的 JihuLab.com 托管项目运行 CI/CD 作业。
更多内容请参阅 Runner SaaS。
Puma
JihuLab.com 的 Puma 请求超时时间默认为 60 秒。
最大指派人和审核者的数量
- 最大指派人的数量引入于极狐GitLab 15.6。
- 最大审核者的数量引入于极狐GitLab 15.9。
合并请求执行以下指派人和审核者数量:
- 最大指派人的数量:200
- 最大审核者的数量:200
JihuLab.com 特定的速率限制
当请求受到速率限制时,系统会以 429 状态码响应。在再次进行请求之前,客户端应该等待。在速率限制响应中,还详细说明了此响应的信息标头。
下表描述了 JihuLab.com 的速率限制:
| 速率限制 | 从 2021-02-12 | 从 2022-02-03 |
|---|---|---|
| 受保护的路径(对于给定的 IP 地址) | 每分钟 10 个请求 | 每分钟 10 个请求 |
| 原始端点流量(对于给定的项目、提交和文件路径) | 每分钟 300 个请求 | 每分钟 300 个请求 |
| 未经身份验证的流量(来自给定的 IP 地址) | 每分钟 500 个请求 | 每分钟 500 个请求 |
| 经过身份验证的 API 流量(对于给定的用户) | 每分钟 2000 个请求 | 每分钟 2000 个请求 |
| 经过身份验证的非 API HTTP 流量(对于给定的用户) | 每分钟 1000 个请求 | 每分钟 1000 个请求 |
| 所有流量(来自给定的 IP 地址) | 每分钟 2000 个请求 | 每分钟 2000 个请求 |
| 议题创建 | 每分钟 300 个请求 | 每分钟 200 个请求 |
| 备注创建(议题与合并请求中) | 每分钟 60 个请求 | 每分钟 60 个请求 |
| 高级、项目和群组搜索 API(对于给定的用户) | 每分钟 10 个请求 | 每分钟 10 个请求 |
| 流水线创建请求(对于给定的项目、用户和提交) | 每分钟 25 个请求 |
极狐GitLab 可以在几个层级上限制请求的速率,这里列出的速率限制是在应用程序中配置的,这些限制是每个 IP 地址最严格的限制。
速率限制响应
有关速率限制响应的信息,请参阅:
受保护的路径节流
JihuLab.com 以 HTTP 状态代码 429,来响应每个 IP 地址每分钟超过 10 个的受保护路径上的 POST 请求。
请参阅下文,了解哪些路径受到保护,包括用户创建、用户确认、用户登录和密码重置。
用户和 IP 速率限制包括响应被阻止请求的标头列表。
查看受保护的路径,获取更多信息。
IP 阻塞
当 JihuLab.com 从系统视为潜在恶意的单个 IP 地址接收异常流量时,可能会发生 IP 阻塞。这可以基于速率限制设置。异常流量停止后,IP 地址会根据阻塞的类型自动释放,如下节所述。
如果您收到对 JihuLab.com 的所有请求的 403 Forbidden 错误,请检查任何可能触发阻塞的自动化进程。如需帮助,请联系极狐技术支持,并提供详细信息,例如受影响的 IP 地址。
Git 和容器镜像库未通过身份验证禁用
如果在 3 分钟内从单个 IP 地址收到 30 个失败的身份验证请求,JihuLab.com 会以 HTTP 状态代码 403 响应 1 小时。
这仅适用于 Git 请求和容器镜像库 (/jwt/auth) 请求(组合)。
此限制:
- 可由成功验证的请求重置。例如,29 个失败的身份验证请求后跟 1 个成功的请求,然后再有 29 个失败的身份验证请求不会触发禁用。
- 不适用于
gitlab-ci-token认证的 JWT 请求。
没有提供响应标头。
分页响应标头
出于性能原因,如果查询返回超过 10,000 条记录,系统会排除一些标头。
可见性设置
在 JihuLab.com 上禁用了内部可见性设置:
- 项目
- 群组
- 代码片段
SSH 最大连接数
JihuLab.com 通过 MaxStartups 设置,定义了最大并发数、未验证 SSH 连接数。如果并发的连接数超过允许的最大连接数,它们将被删除,且出现 ssh_exchange_identification 错误。
通过上传导出文件进行群组和项目导入
为防止滥用,将为以下操作进行速率限制:
- 导入项目和群组。
- 使用文件导出群组和项目。
- 导出下载内容。
详情请参阅:
- 项目导入/导出速率限制
- 群组导入/导出速率限制
不可配置的限制
有关不可配置的速率限制的信息,请参阅不可配置的限制文档,也适用于 JihuLab.com。
JihuLab.com 特定的 Gitaly RPC 并发限制
极狐GitLab 为不同类型的 Git 操作配置每个仓库的 Gitaly RPC 并发和排队限制,例如 git clone。当超过这些限制时,会向客户端返回 fatal: remote error: GitLab is currently unable to handle this request due to load 消息。
JihuLab.com 日志记录
我们使用 Fluentd 来解析我们的日志。Fluentd 将我们的日志发送到 kafka,Filebeat 将日志转发到 Elastic 集群。
作业日志
默认情况下,极狐GitLab 不会使作业日志过期。作业日志无限期保留且无法在 JihuLab.com 上配置为过期。您可以使用作业 API 或通过删除流水线,手动清除作业日志。