极狐GitLab 管理入门

开始进行极狐GitLab 管理。配置您的组织及其认证，然后保护、监控和备份极狐GitLab。

认证#

认证是保障您安装安全的第一步。

• 强制所有用户使用双重认证 (2FA)。
• 确保用户执行以下操作：
  • 选择一个强密码并安全保存。如果可能，将其存储在密码管理系统中。
  • 如果尚未为所有人配置，请为您的账户开启双重认证 (2FA)。这个一次性密码是额外的安全措施，即使他人拥有您的密码，也能将他们拒之门外。
  • 添加备用电子邮件。如果您无法访问账户，极狐GitLab 支持团队可以更快地帮助您。
  • 保存或打印您的恢复代码。如果您无法访问认证设备，可以使用这些恢复代码登录极狐GitLab 账户。
  • 将 SSH 密钥 添加到您的个人资料中。您可以根据需要使用 SSH 生成恢复代码。
  • 创建个人访问令牌。使用 2FA 时，您可以使用这些令牌访问极狐GitLab API。

项目和群组#

通过配置群组和项目来组织您的环境。

• 项目：为您的文件和代码指定一个位置，或者在业务类别中跟踪和组织议题。
• 群组：组织用户或项目的集合。使用这些群组可以快速分配人员和项目。
• 角色：定义用户对项目和群组的访问及可见性权限。

开始：

• 创建项目。
• 创建群组。
• 向群组添加成员。
• 创建子群组。
• 向子群组添加成员。
• 开启外部授权控制。

更多资源

• 使用 LDAP 同步群组成员。
• 通过继承的权限管理用户访问。可以使用最多 20 级子群组来组织团队和项目。
  • 继承成员资格。
  • 示例。

导入项目#

您可能需要从 GitHub、Bitbucket 或另一个极狐GitLab 实例等外部源导入项目。许多外部源都可以导入到极狐GitLab 中。

• 查看极狐GitLab 项目文档。
• 考虑仓库镜像，这是项目迁移的替代方案。
• 查阅导入并迁移到极狐GitLab 以了解常见迁移路径的文档。
• 使用我们的导入/导出 API 安排项目导出。

热门项目导入#

• GitHub Enterprise 到极狐GitLab 私有化部署
• Bitbucket Server

如需获取这些数据类型的帮助，请联系您的极狐GitLab 客户经理或极狐GitLab 支持，了解我们的专业迁移服务。

极狐GitLab 实例安全#

安全是入门流程的重要组成部分。保护您的实例就是保护您的工作和组织。

虽然这不是一份详尽的清单，但遵循以下步骤将为您的实例安全打下坚实的基础。

• 使用长度较长且保存在保管库中的 root 密码。
• 安装受信任的 SSL 证书，并建立续订和吊销流程。
• 根据组织的指导方针配置 SSH 密钥限制。
• 关闭新用户账户创建功能。
• 要求电子邮件确认。
• 设置密码长度限制，配置 SSO 或 SAML 用户管理。
• 如果允许新用户创建账户，限制电子邮件域名。
• 要求双重认证 (2FA)。
• 关闭 Git over HTTPS 的密码认证。
• 设置未知登录的邮件通知。
• 配置用户和 IP 速率限制。
• 限制 webhooks 的本地访问。
• 设置受保护路径的速率限制。
• 订阅安全警报 通过通信偏好中心。
• 在我们的博客页面 上关注安全最佳实践。

监控极狐GitLab 性能#

完成基本设置后，您就可以查看极狐GitLab 监控服务了。Prometheus 是我们的核心性能监控工具。与其他监控解决方案（例如 Zabbix 或 New Relic）不同，Prometheus 与极狐GitLab 紧密集成，并拥有广泛的社区支持。

• Prometheus 会采集这些极狐GitLab 指标。
• 了解有关极狐GitLab 捆绑软件指标 的更多信息。
• Prometheus 及其导出器默认处于开启状态，但您必须配置该服务。
• 了解应用性能指标 为何重要。

监控组件#

• Web 服务器：处理服务器请求并促进其他后端服务事务。监控 CPU、内存和网络 IO 流量以跟踪此节点的健康状况。
• Workhorse：减轻主服务器的 Web 流量拥塞。监控延迟峰值以跟踪此节点的健康状况。
• Sidekiq：处理使极狐GitLab 平稳运行的后台操作。监控长时间未处理的任务队列以跟踪此节点的健康状况。

备份你的极狐GitLab 数据#

极狐GitLab 提供备份方法以确保您的数据安全且可恢复。

• 确定备份策略。
• 考虑编写一个 cron 作业以每日进行备份。
• 单独备份配置文件。
• 决定哪些内容不包含在备份中。
• 决定将备份上传到哪里。
• 限制备份的保留时间。
• 执行备份和恢复测试。
• 设置定期验证备份的方法。

备份实例#

具体流程因您使用 Linux 软件包还是 Helm Chart 进行部署而异。

要备份使用 Linux 软件包的单节点安装，您可以使用一个 Rake 任务。

了解备份 Linux 软件包或 Helm 变体。 此过程会备份整个实例，但不会备份配置文件。请确保单独备份这些文件。 将配置文件和备份存档保存在单独的位置，以确保加密密钥不与加密数据放在一起。

恢复备份#

您只能将备份恢复到创建备份时完全相同的版本和类型（基础版或企业版）的极狐GitLab 上。

• 查看 Linux 软件包 (Omnibus) 备份和恢复文档。
• 查看 Helm Chart 备份和恢复文档。

替代备份策略#

在某些情况下，用于备份的 Rake 任务可能不是最佳解决方案。如果 Rake 任务不适合您，可以考虑以下一些替代方案。

文件系统快照#

如果您的极狐GitLab 服务器包含大量 Git 仓库数据，您可能会发现极狐GitLab 备份脚本太慢。备份到异地位置时可能尤其缓慢。

通常在 Git 仓库数据大小达到约 200 GB 时开始变慢。在这种情况下，您可以考虑使用文件系统快照作为备份策略的一部分。 例如，考虑一台具有以下组件的极狐GitLab 服务器：

• 使用 Linux 软件包。
• 托管在 AWS 上，且有一个 EBS 驱动器，该驱动器包含挂载在 /var/opt/gitlab 的 ext4 文件系统。

该 EC2 实例通过创建 EBS 快照满足了应用数据备份的要求。备份包括所有仓库、上传文件和 PostgreSQL 数据。

如果您在虚拟化服务器上运行极狐GitLab，则可以创建整个极狐GitLab 服务器的虚拟机快照。通常虚拟机快照需要您关闭服务器电源。

极狐GitLab Geo#

Geo 提供您极狐GitLab 实例的本地只读实例。

虽然极狐GitLab Geo 通过使用本地极狐GitLab 节点帮助远程团队更高效地工作，但它也可以用作灾难恢复解决方案。 了解更多关于使用 Geo 作为灾难恢复解决方案 的信息。

Geo 会复制您的数据库、Git 仓库以及一些其他资产。 了解更多关于 Geo 复制的数据类型 的信息。

获取极狐GitLab 支持帮助#

极狐GitLab 通过不同渠道为极狐GitLab 私有化部署提供支持。

• 优先支持：专业版和旗舰版 私有化部署客户可获得分层响应时间的优先支持。了解更多关于升级到优先支持 的信息。
• 实时升级协助：在生产升级过程中获得一对一专家指导。凭借您的 优先支持计划，您有资格与我们支持团队成员进行一次预定时间的实时屏幕共享会话。

要获取帮助：

• 使用极狐GitLab 文档进行自助支持。
• 加入 极狐GitLab 论坛 获取社区支持。
• 在提交工单之前，收集您的订阅信息。
• 提交支持工单。

API 和速率限制#

速率限制可防止拒绝服务攻击或暴力破解。在大多数情况下，您可以通过限制单个 IP 地址的请求速率来减少应用程序和基础设施的负载。

速率限制还能提高应用程序的安全性。

配置速率限制#

您可以从 管理员 区域更改默认速率限制。有关配置的更多信息，请参见 管理员 区域页面。

• 定义议题速率限制，以设置每位用户每分钟创建议题请求的最大数量。
• 对未认证的 Web 请求强制执行用户和 IP 速率限制。
• 查看 原始端点的速率限制。默认设置为原始文件访问每分钟 300 个请求。
• 查看六个活动默认值的导入/导出速率限制。

有关 API 和速率限制的更多信息，请参见我们的 API 页面。

极狐GitLab 培训资源#

您可以了解更多关于如何管理极狐GitLab 的信息。

• 参与极狐GitLab 论坛，与我们有才华的社区交流技巧。
• 查看我们的博客 以获取持续更新，包括：
  • 版本发布
  • 应用
  • 贡献
  • 新闻
  • 活动

付费极狐GitLab 培训#

• 极狐GitLab 教育服务：通过我们的专业培训课程，了解更多关于极狐GitLab 和 DevOps 最佳实践 的信息。查看我们的完整课程目录。

免费极狐GitLab 培训#

• 极狐GitLab 基础：探索关于 Git 和极狐GitLab 基础 的自助指南。
• 极狐GitLab 大学：在 极狐GitLab 大学 的结构化课程中学习新的极狐GitLab 技能。

第三方培训#

• Udemy：如需更实惠的指导培训，请考虑 Udemy 上的 GitLab CI: Pipelines, CI/CD, and DevOps for Beginners。
• LinkedIn Learning：请查看 LinkedIn Learning 上的 Continuous Delivery with GitLab，这是另一种低成本的指导培训选项。