Как настроить Gitlab Runner за Nginx прокси сервером?

Question

[Euxinus]

Здравствуйте.

Есть гитлаб сервер который находится за nginx сервером по адресу domen1.gitlab.com далее /location далее proxy_pass 192.168.0.26:8086 и есть отдельный сервер на котором запущен докер, с ранером внутри по адресу 192.168.0.22 но еще не зарегистрирован, т.к нет доступа.

конфиг ранера в докер контейнере:

[[runners]]
  name = "shell-runner"
  url = "https://domen1.gitlab.com"
  token = "glrt-Yvjd-sde8u-PViNDgbuz"
  executor = "shell"
  environment = ["HTTP_PROXY=http://domen1.gitlab.com:443", "HTTPS_PROXY=http://domen1.gitlab.com", "NO_PROXY=localhost,127.0.0.1,domen1.gitlab.com"]
  listen_address = "0.0.0.0:8099"
  pre_clone_script = "git config --global http.proxy $HTTP_PROXY; git config --global https.proxy $HTTPS_PROXY"

nginx находится за роутером:


nginx кофиг:

server {
    listen 8080;
    server_name domen1.gitlab.com domen1.gitlab.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name domen1.gitlab.com domen1.gitlab.com;

    ssl_certificate /etc/letsencrypt/live/domen1.gitlab.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domen1.gitlab.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
       proxy_pass http://192.168.0.26:8086; #Адрес и порт GitLab Server
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        proxy_set_header X-Forwarded-Host $host;
    }

    location /runner/ {
        proxy_pass http://192.168.0.22:8099;  #Адрес и порт GitLab Runner
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # Добавляем заголовок X-Forwarded-Host, если требуется
        proxy_set_header X-Forwarded-Host $host;
    }
}

Подскажите как правильно сделать такую настройку? Заранее спасибо.

Comments

[Виталий Артемьев]

Ваш гитлаб имеет публичный адрес?

[Денис Юрьев]

раннер к гитлабу подключается, а не наоборот.

[Euxinus]

Виталий Артемьев, да, имеет (domen1.gitlab.com)

[Euxinus]

Денис Юрьев, можете по подробнее написать, то о чем вы имеете ввиду?

[Денис Юрьев]

Euxinus, куда подробнее? раннер подключается по 80/443 tcp порту к гитлабу и запрашивает для себя задачи.

за nginx раннер находится или еще где - абсолютно без разницы.

[VoidVolker]

Euxinus а в чем проблема-то? Что не работает? Откуда и куда у вас нет доступа? Для работы раннера сервер гитлаба должен быть с него доступен.

[Euxinus]

VoidVolker, проблема в том, что ранер не может подключиться к серверу : docker logs gitlab-runner

Configuration loaded                                builds=0 max_builds=1
listen_address not defined, metrics & debug endpoints disabled  builds=0 max_builds=1
[session_server].listen_address not defined, session endpoints disabled  builds=0 max_builds=1
Initializing executor providers                     builds=0 max_builds=1
WARNING: Checking for jobs... failed                runner=Yvjd-sde8 status=couldn't execute POST against https://domen1.gitlab.com/api/v4/jobs/request: Post "https://domen1.gitlab.com/api/v4/jobs/request": dial tcp МойБелыйАйпиТут:443: i/o timeout

[Euxinus]

Денис Юрьев, так тоже делал. Если я вас правильно понял, то конфиг для ранера должен быть таким.

[[runners]]
  name = "shell-runner"
  url = "https://domen1.gitlab.com"
  token = "glrt-Yvjd-sde8u-PViNDgbuz"
  executor = "shell"
  environment = ["HTTP_PROXY=http://domen1.gitlab.com:443", "HTTPS_PROXY=http://domen1.gitlab.com", "NO_PROXY=localhost,127.0.0.1,domen1.gitlab.com"]

результат команды docker logs gitlab-runner такой

Configuration loaded                                builds=0 max_builds=1
listen_address not defined, metrics & debug endpoints disabled  builds=0 max_builds=1
[session_server].listen_address not defined, session endpoints disabled  builds=0 max_builds=1
Initializing executor providers                     builds=0 max_builds=1
WARNING: Checking for jobs... failed                runner=Yvjd-sde8 status=couldn't execute POST against https://domen1.gitlab.com/api/v4/jobs/request: Post "https://domen1.gitlab.com/api/v4/jobs/request": dial tcp МойБелыйАйпиТут:443: i/o timeout

[VoidVolker]

Euxinus, ну, в таком случае вам надо смотреть почему он не может подключиться - по шагам проверяйте доступность сервера ручками. Правильно ли резолвится хост, разрешено ли исходящее подключение со стороны фаерволла и т.п.

[Euxinus]

внутри контейнера гитлаб сервер не пингуется

[Euxinus]

VoidVolker,

1) nslookup внутри контейнера domen1.gitlab.com показывает

/ # nslookup domen1.gitlab.com
Server:         8.8.8.8
Address:        8.8.8.8:53

Non-authoritative answer:
Name:   domen1.gitlab.com
Address: МойБелыйАйпиТут

Non-authoritative answer:

2) вне контейнера

nslookup domen1.gitlab.com
Server:         127.0.0.53
Address:        127.0.0.53#53

Name:   domen1.gitlab.com
Address: 192.168.0.19

3) curl -v https://domen1.gitlab.com не отрабатывает только внутри контейнера

4) фаервол отключен

[VoidVolker]

Ну вот, значит у вас проблема с ДНС: смотрите опцию dns в мане докера.

[Euxinus]

VoidVolker, в настройках /etc/docker/daemon.json указал днс

{
  "dns": ["8.8.8.8", "8.8.4.4"]
}

перезапустил заново этой командой

sudo docker run -d --name gitlab-runner --restart always --dns=8.8.8.8 --network bridge -v /home/gitlab-runner/config:/etc/gitlab-runner -v /var/run/docker.sock:/var/run/docker.sock gitlab/gitlab-runner:latest

не помогло

[VoidVolker]

Дык разве вам нужен внешний IP гитлаба? Вы же написали, что на хосте у вас гитлаб резолвится локально в адрес 192.168.0.19 и он локально работает, а в контейнере - нет. Значит вам надо указать правильный DNS сервер внутри контейнера - ваш DNS, который и отдаст правильный локальный IP адрес гитлаба. А тут вы наоброт настраиваете внутри контейнера глобальный DNS. Таки определитесь сначала как именно вам надо организовать доступ к гитлабу из контейнера - в рамках локальной сети или в рамках глобальной.

[Euxinus]

VoidVolker, не судите строго, я впервые пробую все это настроить. Раньше никогда таким не занимался. Ровно один месяц как я погружаюсь в девопс профессию. Короче пайплайн сработал. Я добавил днс 8888 и 8844 в resolv.conf внутри контейнера а перед этим создал сам ранер внутри контейнера с флагом --dns=8.8.8.8 и --network host :

sudo docker run -d --name gitlab-runner --restart always --dns=8.8.8.8 --network host \
-v /home/gitlab-runner/config:/etc/gitlab-runner \
-v /var/run/docker.sock:/var/run/docker.sock \
gitlab/gitlab-runner:latest

config.toml такой:

[[runners]]
name = "shell-runner"
url = "https://domen1.gitlab.com"
token = "glrt-Yvjd-sde8u-PViNDgbuz"
executor = "shell"
environment = ["HTTP_PROXY=domen1.gitlab.com:443", "HTTPS_PROXY=domen1.gitlab.com", "NO_PROXY=localhost,127.0.0.1,domen1.gitlab.com"]

[Euxinus]

еще я установил эти пакеты в контейнер, не знаю поспособствовало ли это чему то или нет, но да ладно.

docker exec -it gitlab-runner apt-get update
docker exec -it gitlab-runner apt-get install iputils-ping
docker exec -it gitlab-runner apt-get install dnsutils

[Euxinus]

VoidVolker, спасибо большое за обратную связь. Выручаете уже в который раз