我有一台带有多个虚拟机的服务器,其中一个是我的代理,它将正确的域定向到正确端口上的正确虚拟机。
- 我使用标准 docker-compose 文件创建 gitlab-ce 和 gitlab-runner
- 我通过代理中的域重定向到 Docker 虚拟机中的端口 8080
这一切工作正常,我可以使用浏览器登录https://gitlab.mydomain.de。
现在的问题是:所有到运行器的链接和到克隆存储库的链接都以http://localhost
而不是开头https://gitlab.mydomain.de
。
docker-compose 文件中的选项 GITLAB_OMNIBUS_CONFIG->external_url
包含 http://localhost,所以我将其更改为https://gitlab.mydomain.de,停止并重新启动 docker 容器
docker-compose down; docker-compose up
但这次我只得到一个502 网关错误错误在浏览器中。
这是我的代理配置:
server {
listen 10.77.77.254:443 ssl;
listen [2a01:4f8:241:1d02:0:77:77:254]:443 ssl;
server_name gitlab.mydomain.de;
include snippets.d/ssl_generic;
ssl_certificate /etc/letsencrypt/live/gitlab.mydomain.de/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/gitlab.mydomain.de/privkey.pem;
include snippets.d/standard;
location / {
include snippets.d/proxy_generic;
proxy_pass http://10.77.77.107:8080;
}
}
这是我的docker-compose.yml
:
version: '3.7'
services:
web:
image: 'gitlab/gitlab-ce:latest'
restart: always
hostname: 'localhost'
container_name: gitlab-ce
environment:
GITLAB_OMNIBUS_CONFIG: |
external_url 'https://gitlab.mydomin.de'
ports:
- '8080:80'
- '8443:443'
volumes:
- '/var/docker/gitlab/config:/etc/gitlab'
- '/var/docker/gitlab/logs:/var/log/gitlab'
- '/var/docker/gitlab/data:/var/opt/gitlab'
networks:
- gitlab
gitlab-runner:
image: gitlab/gitlab-runner:alpine
container_name: gitlab-runner
restart: always
depends_on:
- web
volumes:
- /var/run/docker.sock:/var/run/docker.sock
- '/var/docker/gitlab/gitlab-runner:/etc/gitlab-runner'
networks:
- gitlab
networks:
gitlab:
name: gitlab-network
如果我改变
external_url 'https://gitlab.mydomain.de'
返回http
external_url 'http://gitlab.mydomain.de'
然后设置再次工作(但现在在网络界面上出现仅以“http://”开头的错误 URL)。
问题似乎出https
在 external_url 中。
如果我将 proxy_pass 更改为http://10.77.77.107:8433
docker-compose 文件中向主机呈现 ssl 端口的位置,那么我会得到一个400 错误请求 错误:
400 Bad Request The plain HTTP request was sent to HTTPS port
更新: 这里他们说:
默认情况下,当你指定 external_url 时,Omnibus GitLab 将设置一些 NGINX 代理标头,这些标头在大多数环境中被认为是合理的。
例如,Omnibus GitLab 将设置:
"X-Forwarded-Proto" => "https", "X-Forwarded-Ssl" => "on"
如果您在 external_url 中指定了 https 架构。
但是,如果您的 GitLab 处于更复杂的设置(例如反向代理后面),您将需要调整代理标头以避免出现诸如“您想要的更改被拒绝”或“无法验证 CSRF 令牌真实性”之类的错误已完成 422 无法处理。
我尝试覆盖默认标头。在综合部分的 docker-compose 文件中,我添加了 X-Forwarded-Proto: http:
environment:
GITLAB_OMNIBUS_CONFIG: |
external_url 'https://gitlab.mydomain.de'
letsencrypt['enabled'] = false
nginx['listen_port'] = 80
nginx['proxy_set_headers'] = { "X-Forwarded-Proto" => "http", 'X-Forwarded-Ssl' => 'off' }
但这也没有帮助
我该如何解决这个问题?
答案1
无需覆盖默认标头。在docker-compose.yml
GITLAB_OMNIBUS_CONFIG 部分的文件中只需添加nginx['listen_https'] = false
:
environment:
GITLAB_OMNIBUS_CONFIG: |
external_url 'https://gitlab.mydomain.de'
letsencrypt['enabled'] = false
nginx['listen_https'] = false
nginx['listen_port'] = 80
这将禁用 docker 内部的 SSL,并且您的反向代理可以执行 SSL 操作
看https://docs.gitlab.com/omnibus/settings/nginx.html#external-proxy-and-load-balancer-ssl-termination