- 身份验证
- 项目和群组
- 导入项目
- 极狐GitLab实例安全
- 监控极狐GitLab性能
- 备份您的极狐GitLab数据
- 极狐GitLab私有化部署支持
- 极狐GitLab SaaS 支持
- 极狐GitLab私有化部署的 API 和速率限制
- 极狐GitLab SaaS 的 API 和速率限制
{{< details >}}
- Tier: 基础版, 专业版, 旗舰版
- Offering: 私有化部署
{{< /details >}}
开始使用极狐GitLab管理。配置您的组织及其身份验证,然后保护、监控和备份极狐GitLab。
身份验证
身份验证是确保您的安装安全的第一步。
- 强制所有用户使用双因素身份验证 (2FA)。我们强烈推荐为极狐GitLab私有化部署实例启用 2FA。
- 确保用户执行以下操作:
- 选择一个强大且安全的密码。如果可能,请将其存储在密码管理系统中。
- 如果没有为所有人配置,请为您的帐户启用双因素身份验证 (2FA)。此一次性密码是一个附加的安全措施,即使入侵者拥有您的密码,也能将他们拒之门外。
- 添加备用电子邮件。如果您失去对帐户的访问权限,极狐GitLab支持团队可以更快地帮助您。
- 保存或打印您的恢复代码。如果您无法访问身份验证设备,可以使用这些恢复代码登录到您的极狐GitLab帐户。
- 在您的个人资料中添加SSH 密钥。您可以根据需要使用 SSH 生成新的恢复代码。
- 启用个人访问令牌。在使用 2FA 时,您可以使用这些令牌访问极狐GitLab API。
项目和群组
通过配置您的群组和项目来组织您的环境。
开始:
更多资源
- 使用 LDAP 同步群组成员资格。
- 使用继承权限管理用户访问。使用最多 20 个级别的子群组来组织团队和项目。
导入项目
您可能需要从外部来源导入项目,例如 GitHub、Bitbucket 或另一个极狐GitLab实例。许多外部来源可以导入到极狐GitLab 中。
- 查看极狐GitLab项目文档。
- 考虑仓库镜像——一种项目迁移的替代方案。
- 查看我们的迁移索引,了解常见迁移路径的文档。
- 使用我们的导入/导出 API安排项目导出。
常见项目导入
有关这些数据类型的帮助,请联系您的极狐GitLab客户经理或极狐GitLab支持部门,了解我们的专业迁移服务。
极狐GitLab实例安全
安全是入职流程的重要组成部分。保护您的实例可以保护您的工作和组织。
虽然这不是一个详尽的列表,但遵循这些步骤为保护您的实例提供了一个坚实的起点。
- 使用长根密码并存储在保险库中。
- 安装受信任的 SSL 证书,并建立续订和吊销流程。
- 根据您组织的指南配置 SSH 密钥限制。
- 禁用新用户注册。
- 需要电子邮件确认。
- 设置密码长度限制,配置 SSO 或 SAML 用户管理。
- 如果允许注册,限制电子邮件域。
- 需要双因素身份验证 (2FA)。
- 禁用 Git 通过 HTTPS 的密码身份验证。
- 设置未知登录的电子邮件通知。
- 设置受保护路径的速率限制。
监控极狐GitLab性能
在您建立基本设置后,您可以开始审查极狐GitLab的监控服务。Prometheus 是我们的核心性能监控工具。 与其他监控解决方案(例如 Zabbix 或 New Relic)不同,Prometheus 与极狐GitLab紧密集成,并拥有广泛的社区支持。
- Prometheus 捕获 这些极狐GitLab指标。
- 了解有关极狐GitLab捆绑软件指标的更多信息。
- 默认情况下启用 Prometheus 及其导出器。但是,您需要配置该服务。
- 了解有关极狐GitLab 架构的更多信息。
监控组件
- Web 服务器:处理服务器请求并促进其他后端服务事务。 监控 CPU、内存和网络 IO 流量以跟踪此节点的健康状况。
- Workhorse:缓解主服务器的网络流量拥塞。 监控延迟峰值以跟踪此节点的健康状况。
- Sidekiq:处理后台操作,使极狐GitLab运行顺畅。 监控长时间未处理的任务队列以跟踪此节点的健康状况。
备份您的极狐GitLab数据
极狐GitLab 提供备份方法,以确保您的数据安全和可恢复。无论您是使用极狐GitLab私有化部署还是 JihuLab.com 数据库,定期备份您的数据都至关重要。
- 决定备份策略。
- 考虑编写 cron 作业以进行每日备份。
- 单独备份配置文件。
- 决定要排除在备份之外的内容。
- 决定将备份上传到哪里。
- 限制备份的生命周期。
- 运行测试备份和恢复。
- 设置定期验证备份的方法。
备份一个实例
例程因您是使用 Linux 软件包还是 Helm chart 部署而有所不同。
使用 Linux 软件包安装的(单节点)极狐GitLab 服务器进行备份时,您可以使用单个 Rake 任务。
了解有关备份 Linux 软件包或 Helm 变体的信息。 此过程备份您的整个实例,但不备份配置文件。确保这些文件已单独备份。 将您的配置文件和备份存档保存在单独的位置,以确保加密密钥不会与加密数据一起保存。
恢复备份
您只能将备份恢复到创建时的完全相同版本和类型(基础版/企业版)的极狐GitLab。
替代备份策略
在某些情况下,Rake 任务可能不是备份的最佳解决方案。如果 Rake 任务不适合您,请考虑以下 替代方案。
选项 1:文件系统快照
如果您的极狐GitLab服务器包含大量 Git 仓库数据,您可能会发现极狐GitLab备份脚本过于缓慢。特别是在备份到异地位置时可能会很慢。
通常,Git 仓库数据大小达到约 200 GB 时开始变慢。在这种情况下,您可能会考虑将文件系统快照作为备份策略的一部分。 例如,考虑一个包含以下组件的极狐GitLab服务器:
- 使用 Linux 软件包。
- 托管在 AWS 上,使用包含 ext4 文件系统的 EBS 驱动器,并挂载在
/var/opt/gitlab
。
EC2 实例通过拍摄 EBS 快照来满足应用程序数据备份的要求。备份包括所有仓库、上传和 PostgreSQL 数据。
通常,如果您在虚拟化服务器上运行极狐GitLab,您可以创建整个极狐GitLab服务器的虚拟机快照。 通常情况下,虚拟机快照需要您关闭服务器电源。
选项 2:极狐GitLab Geo
{{< details >}}
- Tier: 专业版, 旗舰版
- Offering: 私有化部署
{{< /details >}}
Geo 提供极狐GitLab 实例的本地只读实例。
虽然极狐GitLab Geo 通过使用本地极狐GitLab节点帮助远程团队更高效地工作,但它也可以用作灾难恢复解决方案。 了解有关使用Geo 作为灾难恢复解决方案的更多信息。
Geo 复制您的数据库、Git 仓库和其他一些资产。 了解有关Geo 复制的数据类型的更多信息。
极狐GitLab私有化部署支持
极狐GitLab通过不同的渠道为极狐GitLab私有化部署提供支持。
- 优先支持:专业版和旗舰版 极狐GitLab私有化部署客户在分级响应时间内获得优先支持。 了解更多关于升级到优先支持的信息。
- 现场升级协助:在生产升级期间获得一对一的专家指导。凭借您的优先支持计划, 您有资格与我们支持团队成员进行现场、预约的屏幕共享会话。
获取极狐GitLab私有化部署的帮助:
- 使用极狐GitLab文档进行自助支持。
- 加入极狐GitLab论坛以获得社区支持。
- 在提交票证之前收集您的订阅信息。
极狐GitLab SaaS 支持
如果您使用极狐GitLab SaaS,您有多个渠道可以获得支持和找到答案。
- 优先支持:Gold 和 Silver 极狐GitLab SaaS 客户在分级响应时间内获得优先支持。 了解更多关于升级到优先支持的信息。
- 极狐GitLab SaaS 24/7 监控:我们全体站点可靠性和生产工程师团队始终在线。 通常,在您注意到问题时,已经有人在调查了。
获取极狐GitLab SaaS 的帮助:
- 访问极狐GitLab文档以获取自助支持。
- 加入极狐GitLab论坛以获得社区支持。
极狐GitLab私有化部署的 API 和速率限制
速率限制可防止拒绝服务或暴力攻击。在大多数情况下,您可以通过限制来自单个 IP 地址的请求速率来减少应用程序和基础设施的负载。
速率限制还可以提高应用程序的安全性。
配置极狐GitLab私有化部署的速率限制
您可以从管理员区域更改默认速率限制。有关配置的更多信息,请参阅管理员区域页面。
- 定义议题速率限制,以设置每分钟每用户的最大议题创建请求数量。
- 对未经身份验证的 Web 请求实施用户和 IP 速率限制。
- 查看原始端点的速率限制。原始文件访问的默认设置为每分钟 300 个请求。
- 查看六个活动默认值的导入/导出速率限制。
有关 API 和速率限制的更多信息,请参阅我们的API 页面。
极狐GitLab SaaS 的 API 和速率限制
速率限制可防止拒绝服务或暴力攻击。当 JihuLab.com 从单个 IP 地址收到异常流量时,通常会发生 IP 阻止。系统将异常流量视为基于速率限制设置的潜在恶意流量。
速率限制还可以提高应用程序的安全性。
配置极狐GitLab SaaS 的速率限制
您可以从管理员区域更改默认速率限制。有关配置的更多信息,请参阅管理员区域页面。
- 查看速率限制页面。
- 阅读我们的API 页面,了解有关 API 和速率限制的更多信息。
极狐GitLab SaaS 特定的阻止和错误响应
- 403 禁止错误:如果错误发生在所有极狐GitLab SaaS 请求中,请查找可能触发阻止的自动化过程。如需更多帮助,请联系极狐GitLab支持,并提供您的错误详细信息,包括受影响的 IP 地址。
- HAProxy API 节流:极狐GitLab SaaS 对每秒超过 10 个请求的 API 请求返回 HTTP 状态码 429,每个 IP 地址。
- 受保护路径节流:极狐GitLab SaaS 对受保护路径上每分钟超过 10 个请求的 POST 请求返回 HTTP 状态码 429,每个 IP 地址。
- Git 和容器注册表认证失败禁令:如果在三分钟内从单个 IP 地址收到 30 次认证失败请求,极狐GitLab SaaS 会在一小时内返回 HTTP 状态码 403。