Как заставить gitlab-ce в docker контейнере работать по https?

Question

[Михаил Аксенов]

Имеется следующая конфигурация: https://gist.github.com/uberpwner/ce2bfc69bd8c9fe5...

Если отключить в ней параметры, отвечающие за https - всё спокойно работает по обычному http.
Однако, когда я включаю https - получаю connection timeout.

Сертификат и ключ существуют (генерируются, если удалить) и путь к ним прописан правильный.
Нужные порты в файрволле открыты.
Контейнер запускается и работает со статусом healthy

Есть ли способ заставить это работать?

Comments

[mureevms]

Для этой цели я поднял еще один контейнер с nginx, на котором настроен HTTPS, проксирующий запросы на контейнер с гитлабом. Делается не сложно, могу дать конфиги, если интересно.

[Михаил Аксенов]

mureevms, буду очень благодарен.

Answer 1

[mureevms]

Просто приведу конфиг, по сути в нем все понятно. Если будут дополнительные вопросы - задавайте.

Структура каталогов:

.
├── docker-compose.yml
└── volumes
    ├── gitlab
    │   ├── config
    │   │   ├── ...
    │   ├── data
    │   │   ├── ...
    │   └── logs
    │       └── ...
    └── nginx
        ├── conf.d
        │   └── gitlab.domain.com.conf
        ├── dhparam.pem
        ├── logs
        ├── nginx.conf
        └── www

docker-compose.yml:

gitlab:
  image: 'gitlab/gitlab-ce:latest'
  restart: always
  hostname: 'gitlab'
  container_name: gitlab
  environment:
    GITLAB_OMNIBUS_CONFIG: |
      external_url 'http://{{ domain_name }}'
      nginx['enable'] = false
      web_server['external_users'] = ['www-data']
      gitlab_workhorse['listen_network'] = "tcp"
      gitlab_workhorse['listen_addr'] = "0.0.0.0:8181"
      gitlab_rails['trusted_proxies'] = [ '172.17.0.1/16' ]
      gitlab_rails['gitlab_shell_ssh_port'] = 22
      gitlab_rails['time_zone'] = 'Asia/Tomsk'
      gitlab_rails['ldap_enabled'] = true
      gitlab_rails['ldap_servers'] = YAML.load <<-'EOS'
      main:
        label: 'LDAP'
        host: '{{ ldap_server }}'
        port: 389
        uid: 'sAMAccountName'
        bind_dn: 'CN={{ cn }},OU={{ ou }},DC={{ dc }},DC=com'
        password: '{{ pass }}'
        encryption: 'plain'
        active_directory: true
        allow_username_or_email_login: false
        lowercase_usernames: false
        block_auto_created_users: false
        base: 'OU={{ ou }},DC={{ dc }},DC=com'
        user_filter: '(&(objectCategory=Person)(sAMAccountName=*))'
      EOS
      gitlab_rails['backup_upload_connection'] = {
        :provider => 'Local',
        :local_root => '/mnt'
      }
      gitlab_rails['backup_upload_remote_directory'] = 'backup'
      gitlab_rails['backup_keep_time'] = 864000
  ports:
    - '22:22'
  volumes:
    - ./volumes/gitlab/config:/etc/gitlab
    - ./volumes/gitlab/logs:/var/log/gitlab
    - ./volumes/gitlab/data:/var/opt/gitlab
    - /mnt/backup:/mnt/backup

nginx:
  container_name: nginx
  image: nginx:1.15.0-alpine
  restart: always
  links:
    - gitlab:gitlab
  ports:
    - 80:80
    - 443:443
  volumes:
    - /etc/letsencrypt/:/etc/letsencrypt
    - ./volumes/nginx/logs:/var/log/nginx
    - ./volumes/nginx/conf.d:/etc/nginx/conf.d
    - ./volumes/nginx/www:/var/www
    - ./volumes/nginx/dhparam.pem:/etc/nginx/dhparam.pem
    - ./volumes/nginx/nginx.conf:/etc/nginx/nginx.conf

{{ xx }} - это переменные, просто замените на свои значения.
Обратите внимание на gitlab_workhorse['listen_addr'] - это адрес и порт, которые будет слушать гитлаб, можно оставить как есть. Порт 22 редиректится из системы в гитлаб контейнер, поэтому системный SSH демон я повесил на другой порт.

volumes/nginx/conf.d/gitlab.domain.com.conf:

upstream gitlab-endpoint {
    server gitlab:8181 fail_timeout=0;
}

server {
    listen 80;
    server_name gitlab.domain.com;

    location /.well-known {
        root /var/www/;
    }
    location / {
        return  301 https://$server_name$request_uri;
    }
}

server {
    listen 443 ssl http2;
    server_name gitlab.domain.com;
    ssl_dhparam /etc/nginx/dhparam.pem;
    ssl_certificate /etc/letsencrypt/live/gitlab.domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/gitlab.domain.com/privkey.pem;

  location / {
    proxy_read_timeout      300;
    proxy_connect_timeout   300;
    proxy_redirect          off;

    proxy_set_header        X-Forwarded-Proto $scheme;
    proxy_set_header        Host              $http_host;
    proxy_set_header        X-Real-IP         $remote_addr;
    proxy_set_header        X-Forwarded-For   $proxy_add_x_forwarded_for;
    proxy_set_header        X-Frame-Options   SAMEORIGIN;

    proxy_pass              http://gitlab-endpoint;
  }
    location /.well-known {
        root /var/www/;
    }
}

В конечном итоге выглядит так:

root@gitlab:/docker# docker-compose ps
 Name          Command          State                    Ports                  
--------------------------------------------------------------------------------
gitlab   /assets/wrapper        Up      0.0.0.0:22->22/tcp, 443/tcp, 80/tcp     
nginx    nginx -g daemon off;   Up      0.0.0.0:443->443/tcp, 0.0.0.0:80->80/tcp

Comments

[Михаил Аксенов]

Спасибо за конфиг. Вопросы скорее всего будут, пока разбираюсь. :)

[Proritsatel]

Михаил Аксенов, Подскажите пожалуйста, а возможно ли в такой же конфигурации как у Вас настроить Registry?
Нашел статью https://serveradmin.ru/gitlab-container-registry-z... в которой говорится, что на одном домене нельзя настроить и веб-морду и встроенный регистри.

[mureevms]

Proritsatel,

на одном домене нельзя настроить и веб-морду и встроенный регистри

Сделайте второй, не проблема же. Первый gitlab.domain.xyz, второй registry.domain.xyz

[Proritsatel]

mureevms У меня просто уже есть отдельный домен my_domain, если я сделаю registry.my_domain мне ведь понадобится новые сертификаты получать?
В похожей конфигурации я сейчас могу использовать регистри локально, у меня работает push, а при попытке запушить извне, я получаю ошибку подписи самоподписного сертификата.

А как тогда можно использовать встроенный регистри? Я сделал letsencrypt['enable']=true
И ещё несколько настроек в gitlab.rb.

А вообще в официальной документации написано, что можно на одном домене всё сделать, но только не работает это решение.

The Container Registry is automatically enabled and available on your GitLab domain, port 5050 if:

You’re using the built-in Let’s Encrypt integration, and
You’re using GitLab 12.5 or later.
Otherwise, the Container Registry is not enabled. To enable it:

You can configure it for your GitLab domain, or
You can configure it for a different domain.

[mureevms]

Proritsatel, Если честно, я не настраивал регистри и встроенный в Гитлаб Letsencrypt, делал фронтендом Nginx, сам ставил и настраивал LE для получения сертификатов и проксировал запросы на регистри и сам гитлаб

[mureevms]

А все потому, что встроенный LE сначала как-то косячно работал, потом косячно перевыпускал сертификаты. Плюнул на все это и сделал с внешним Nginx'ом )

[Proritsatel]

mureevms, Вот и я намучился со встроеным регистри, так и не смог его настроить и сам в ручную получил сертификаты. Сейчас зарегал второй домен, получил на него сертификаты letsencrypt.
Я Тоже использую nginx на машине, и уже проксирую входящие запросы. И у меня возник вопрос - Вы поднимали отдельный контейнер registry:2 ?
Хорошая статья по этой теме, пусть будет тут https://serveradmin.ru/gitlab-container-registry-z....

[mureevms]

Proritsatel, да, поднимал