使用Docker-Compose私有化部署GitLab：从配置到运维的完整指南

一、私有化部署GitLab的核心价值

在开源代码托管需求激增的背景下，私有化部署GitLab成为企业保障代码安全、实现合规管理的关键方案。相较于SaaS服务，私有化部署具备三大核心优势：

1. 数据主权控制：完全掌握代码库、用户数据及审计日志，避免第三方服务的数据泄露风险
2. 性能定制优化：可根据团队规模灵活配置计算资源、存储和网络参数
3. 合规性保障：满足金融、医疗等行业对数据本地化的监管要求

Docker-Compose通过声明式YAML配置，将GitLab服务及其依赖（如数据库、缓存）封装为可复用的编排模板，显著降低部署复杂度。相较于手动安装，其优势体现在：

• 环境一致性保障：通过镜像版本控制消除”在我机器上能运行”的问题
• 快速扩容能力：支持水平扩展Runner、Gitaly等服务组件
• 生态整合便利：无缝集成Prometheus监控、Let’s Encrypt证书管理等周边工具

二、部署前环境准备

2.1 硬件资源规划

根据团队规模推荐配置：
| 用户规模 | CPU核心 | 内存 | 存储 | 备注 |
|—————|————-|———|———|———|
| 10人以下 | 4核 | 8GB | 100GB | 开发测试环境 |
| 50人团队 | 8核 | 16GB | 500GB | 含CI/CD负载 |
| 200+企业 | 16核+ | 32GB+ | 1TB+ | 高可用集群 |

存储方案建议采用独立卷组：

# 示例存储卷创建命令
docker volume create --name gitlab-config
docker volume create --name gitlab-logs
docker volume create --name gitlab-data

2.2 网络环境配置

需开放关键端口：

• 80/443：Web访问及Let’s Encrypt证书验证
• 22：SSH协议访问（可修改为非标准端口增强安全）
• 2376：Docker守护进程API（如需远程管理）

建议配置Nginx反向代理实现HTTPS强制跳转：

server {
    listen 80;
    server_name git.example.com;
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl;
    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;
    location / {
        proxy_pass http://gitlab:80;
        proxy_set_header Host $host;
    }
}

三、Docker-Compose配置详解

3.1 基础配置模板

version: '3.8'
services:
  web:
    image: gitlab/gitlab-ee:latest
    container_name: gitlab
    restart: unless-stopped
    hostname: git.example.com
    environment:
      GITLAB_OMNIBUS_CONFIG: |
        external_url 'https://git.example.com'
        gitlab_rails['gitlab_shell_ssh_port'] = 2222
        postgresql['enable'] = false
        redis['enable'] = false
        gitlab_rails['db_host'] = 'postgres'
        gitlab_rails['redis_host'] = 'redis'
    ports:
      - '2222:22'
      - '80:80'
      - '443:443'
    volumes:
      - gitlab-config:/etc/gitlab
      - gitlab-logs:/var/log/gitlab
      - gitlab-data:/var/opt/gitlab
    depends_on:
      - postgres
      - redis
  postgres:
    image: postgres:13
    environment:
      POSTGRES_USER: gitlab
      POSTGRES_PASSWORD: secure_password
      POSTGRES_DB: gitlabhq_production
    volumes:
      - postgres-data:/var/lib/postgresql/data
  redis:
    image: redis:6-alpine
    command: ["redis-server", "--appendonly", "yes"]
    volumes:
      - redis-data:/data
volumes:
  gitlab-config:
  gitlab-logs:
  gitlab-data:
  postgres-data:
  redis-data:

3.2 关键配置参数说明

1. 外部URL设置：

   external_url 'https://git.example.com' # 必须与DNS解析一致

   错误配置会导致OAuth集成失败、Webhook地址错误等问题

2. 存储路径优化：

   gitlab_rails['backup_path'] = '/var/opt/gitlab/backups'
   gitlab_rails['uploads_directory'] = '/var/opt/gitlab/uploads'

   建议将备份目录映射至独立高速存储

3. 性能调优参数：

   # 数据库连接池
   gitlab_rails['db_pool'] = 50
   # Sidekiq并发数
   gitlab_rails['sidekiq_concurrency'] = 25
   # Puma线程数
   puma['worker_processes'] = 4

四、部署后优化实践

4.1 备份策略实施

推荐采用分层备份方案：

1. 每日自动备份：

   # 在宿主机创建定时任务
   0 2 * * * docker exec -t gitlab bash -c "gitlab-backup create"

   备份文件默认存储在/var/opt/gitlab/backups

2. 异地备份传输：

   # 使用rsync同步备份文件
   rsync -avz /var/lib/docker/volumes/gitlab-data/_data/backups/ backup-server:/backups/gitlab

3. 备份验证机制：

   # 恢复测试命令
   docker exec -it gitlab bash -c "gitlab-backup restore BACKUP=1625097600_2021_06_30_13.0.4"

4.2 监控告警体系

集成Prometheus监控指标：

# 在docker-compose.yml中添加监控服务
monitoring:
  image: prom/prometheus
  volumes:
    - ./prometheus.yml:/etc/prometheus/prometheus.yml
  ports:
    - '9090:9090'

关键监控指标：

• gitlab_rails_sidekiq_queue_latency：作业积压延迟
• gitlab_rails_active_sessions：并发会话数
• process_cpu_seconds_total{job="gitlab"}：CPU使用率

五、常见问题解决方案

5.1 502 Bad Gateway错误

排查步骤：

1. 检查Puma服务状态：

   docker exec -it gitlab bash -c "gitlab-ctl tail puma"

2. 验证内存使用：

   docker stats gitlab

3. 调整Puma配置：

   puma['worker_timeout'] = 60
   puma['per_worker_max_memory_mb'] = 512

5.2 CI/CD作业卡住

典型原因及解决方案：

1. Runner资源不足：

   # 在.gitlab-ci.yml中限制并发
   concurrency: 2

2. Docker守护进程权限：

   # 修改Runner配置
   docker exec -it gitlab-runner bash -c "sed -i 's/privileged = false/privileged = true/' /etc/gitlab-runner/config.toml"

3. 缓存目录权限：

   chown -R gitlab-runner:gitlab-runner /var/lib/docker/volumes/gitlab-runner-cache

六、安全加固建议

6.1 访问控制实施

1. IP白名单：

   # 在Nginx配置中添加
   allow 192.168.1.0/24;
   deny all;

2. 双因素认证：

   gitlab_rails['otp_required_for_login'] = true
   gitlab_rails['otp_grace_period_mins'] = 480

6.2 审计日志配置

1. 关键操作记录：

   gitlab_rails['audit_log_enabled'] = true
   gitlab_rails['audit_log_path'] = '/var/log/gitlab/gitlab-rails/audit.log'

2. 日志轮转设置：

   # 在宿主机创建logrotate配置
   /var/lib/docker/volumes/gitlab-logs/_data/gitlab-rails/*.log {
     daily
     rotate 30
     missingok
     compress
   }

七、升级与维护策略

7.1 版本升级流程

1. 升级前检查：

   docker exec -it gitlab bash -c "gitlab-rake gitlab:check SANITIZE=true"

2. 分阶段升级：

   # 先升级到中间版本
   docker-compose pull
   docker-compose up -d web
   # 验证服务正常后再升级到目标版本

3. 回滚方案：

   # 使用之前的镜像标签
   docker-compose -f docker-compose.yml -f docker-compose.rollback.yml up -d

7.2 配置变更管理

推荐采用GitOps模式管理配置：

# 初始化配置仓库
git init /opt/gitlab-config
cd /opt/gitlab-config
cp /var/lib/docker/volumes/gitlab-config/_data/gitlab.rb .
git add gitlab.rb
git commit -m "Initial config"

通过本文的详细指导，开发者可系统掌握使用Docker-Compose部署GitLab的全流程。实际部署中需特别注意：1）严格测试备份恢复流程 2）建立完善的监控告警体系 3）定期进行安全漏洞扫描。建议每季度进行一次健康检查，内容包括存储空间清理、日志分析、性能基准测试等，确保系统长期稳定运行。