Docker Compose安装Gitlab并使用外置Nginx，启用https-随心随风

前情提要

我的 nginx 用 docker 安装的，和 gitlab 不同的服务器，操作用户是 root。

安装 gitlab

创建挂载文件目录

mkdir gitlab
cd gitlab

创建 docker-compose 文件

touch docker-compose.yml

使用 vi 命令把以下内容复制到 docker-compose 文件

version: '3.6'
services:
  gitlab-ce:
    hostname: gitlab.example.com
    ports:
      - '9080:9080'
      - '9081:22'
    container_name: gitlab
    restart: always
    environment:
      GITLAB_OMNIBUS_CONFIG: |
        # 改为自己的域名
        external_url 'https://gitlab.example.com'
        # 不使用gitlab自带的nginx
        nginx['enable'] = false
        # 设置非捆绑 Web 服务器用户的用户名
        web_server['external_users'] = ['root', 'nginx', 'www-data']
        # 将非捆绑的 Web 服务器添加到受信任代理列表中，我自己的nginx服务器ip地址
        gitlab_rails['trusted_proxies'] = ['nginx服务器ip地址']
        # 监听自定义端口，监听的端口要和暴露的端口要一致
        gitlab_workhorse['listen_network'] = "tcp"
        gitlab_workhorse['listen_addr'] = "0.0.0.0:9080"
        # 减少gitlab使用内存
        gitlab_rails['rack_attack_git_basic_auth'] = {
          'enabled' => true,
          'ip_whitelist' => ["127.0.0.1"],
          'maxretry' => 10,
          'findtime' => 60,
          'bantime' => 3600
        }
        gitlab_rails['env'] = {
          'GITLAB_RAILS_RACK_TIMEOUT' => 300
        }
        puma['worker_processes'] = 2
        puma['min_threads'] = 1
        puma['max_threads'] = 8
        puma['per_worker_max_memory_mb'] = 1200
        sidekiq['concurrency'] = 9
        postgresql['shared_buffers'] = "512MB"
        postgresql['max_worker_processes'] = 8
        # 邮箱配置，我用的阿里云企业邮箱
        gitlab_rails['smtp_enable'] = true
        gitlab_rails['smtp_address'] = "smtp.qiye.aliyun.com"
        gitlab_rails['smtp_port'] = 465
        gitlab_rails['smtp_user_name'] = "gitlab@example.com"
        gitlab_rails['smtp_password'] = "邮箱密码"
        gitlab_rails['smtp_domain'] = "gitlab.example.com"
        gitlab_rails['smtp_authentication'] = "login"
        gitlab_rails['smtp_enable_starttls_auto'] = false
        gitlab_rails['smtp_openssl_verify_mode'] = 'peer'
        gitlab_rails['smtp_tls'] = true
        gitlab_rails['gitlab_email_from'] = "gitlab@example.com"
        gitlab_rails['gitlab_email_reply_to'] = "gitlab@example.com"
        user["git_user_email"] = "gitlab@example.com"
    volumes:
      - './config:/etc/gitlab'
      - './logs:/var/log/gitlab'
      - './data:/var/opt/gitlab'
    privileged: true
    image: gitlab/gitlab-ce

-‘9080:9080’：因为不使用 gitlab 自带的 nginx，所以我没有暴露 80、443 端口，改为自定义端口。
-‘9081:22’：暴露 22 端口，gitlab 默认监听 22 端口，这样我们可以使用 ssh 来操作仓库代码。想自定义 ssh 端口，请看文章最后。
关于减少 gitlab 使用内存的配置参数，我也是摸着石头过河。依据自身服务器配置（2 核 8G 内存）参考了官方文章和其他网站文章进行了修改和配置。
使用外置 nginx 可参考官方文章。注意最后一个步骤，官方说让你去下载 nginx 配置文件，你会看到有多个配置文件，适用不同情况，咱们已经自定义端口了，所以直接用我下面的 nginx 配置文件即可。
把 yml 文件里面的 hostname 和 external_url 改成你的域名，然后把 Web 服务器 ip 地址和邮箱(删除相关的邮箱配置也行)也修改成自己的。

启动容器

docker-compose up -d

查看默认密码

等待容器启动大约五分钟后，再执行下面的命令查看默认密码

docker exec -it gitlab grep 'Password:' /etc/gitlab/initial_root_password

默认用户名为root，记得登录后及时修改密码。密码文件将在 24 小时后的第一次容器重启删除。

配置 nginx

安装 nginx

关于如何使用 docker 安装 nginx，请看我自己写的这篇文章

gitlab 的 nginx 配置文件

新建一个 nginx 的配置文件，放在 nginx 的 conf.d 目录下，文件名可以自己定义，我这里定义为 gitlab.conf。

注意： 以下配置中的 stream 模块部分，需要从这个文件剪切出来，并粘贴到你的主 nginx.conf 文件中（通常在 http 模块之外），否则 Nginx 会启动失败。

server {
  listen *:80;
  server_name  gitlab.example.com;
  server_tokens off; ### Don't show the nginx version number, a security best practice
  return 301 https://$http_host$request_uri;
  access_log  /var/log/nginx/gitlab_registry_access.log;
  error_log   /var/log/nginx/gitlab_registry_error.log;
}

server {
  # If a different port is specified in https://gitlab.com/gitlab-org/gitlab-foss/blob/8-8-stable/config/gitlab.yml.example#L182,
  # it should be declared here as well
  listen *:443 ssl;
  server_name  gitlab.example.com;
  server_tokens off; ### Don't show the nginx version number, a security best practice

  client_max_body_size 0;
  chunked_transfer_encoding on;

  ### Strong SSL Security
  ### https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html & https://cipherli.st/
  ssl_certificate /etc/nginx/cert/cert-j76op8xez670x42z/fullchain.cer;
  ssl_certificate_key /etc/nginx/cert/cert-j76op8xez670x42z/cert.key;

  ssl_session_timeout 1d;
  #ssl_session_cache shared:SSL:10m;
  ssl_session_tickets off;

  # These settings are in line with the modern settings from https://ssl-config.mozilla.org/
  # and are supported by all still-supported browsers since 2019. If you have specific needs
  # for older settings, please consult the intermediate settings there.
  ssl_protocols TLSv1.3;
  ssl_prefer_server_ciphers off;

  ### [Optional] Enable HTTP Strict Transport Security
  # add_header Strict-Transport-Security "max-age=63072000; includeSubDomains";

  access_log  /var/log/nginx/gitlab_registry_access.log;
  error_log   /var/log/nginx/gitlab_registry_error.log;

  location / {
    proxy_pass          http://ip:9080;
    client_max_body_size 1024m;
    proxy_set_header  Host              $http_host;   # required for docker client's sake
    proxy_set_header  X-Real-IP         $remote_addr; # pass on real client's IP
    proxy_set_header  X-Forwarded-For   $proxy_add_x_forwarded_for;
    proxy_set_header  X-Forwarded-Proto $scheme;
    proxy_read_timeout                  900;
    # 为 Websocket 连接添加以下行
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
  }
}
stream {
    upstream gitlab_ssh {
        hash   $remote_addr consistent;
        server ip:9081;
    }
    server {
        listen 9081;
        proxy_connect_timeout   30s;
        proxy_timeout   300s;
        proxy_pass gitlab_ssh;
    }
}

修改server_name参数为你的 gitlab 网站域名。
修改ssl_certificate和ssl_certificate_key参数为你的 SSL 证书位置。
修改ip参数为你的 gitlab 的服务器 ip 。
记得把 nginx 的 9081 端口暴露出去。

大功搞成

访问 https://gitlab.example.com 即可访问你的 Gitlab 。博主的 Gitlab 👉 https://gitlab.iarthit.com

升级 Gitlab

docker compose down
docker compose pull
docker compose up -d

备份 Gitlab - 2025-07-13

# 进入容器
docker exec -it gitlab /bin/bash
# 备份命令，备份文件默认存储在容器内的 /var/opt/gitlab/backups 目录中
gitlab-backup create
# 备份配置文件和密钥文件（可选），备份 /etc/gitlab 目录下的配置文件，备份文件默认存储在容器内的 /etc/gitlab/config_backup 目录中
gitlab-ctl backup-etc

设置备份保留时间（可选）

# 编辑 GitLab 配置文件 /etc/gitlab/gitlab.rb
gitlab_rails['backup_keep_time'] = 604800  # 7 天
# 应用配置
gitlab-ctl reconfigure

配置 cron 定时任务，定时备份创建一个 shell 脚本（例如 backup.sh）来执行备份操作。脚本内容如下：

#!/bin/bash
CONTAINER_NAME="gitlab"

# 备份数据
docker exec -t $CONTAINER_NAME gitlab-backup create

# 备份配置文件
docker exec -t $CONTAINER_NAME gitlab-ctl backup-etc

# 清理旧的配置文件备份（受 backup_keep_time 限制）
docker exec -t $CONTAINER_NAME gitlab-ctl backup-etc --delete-old-backups

确保脚本具有执行权限

chmod +x ./backup.sh

编辑 crontab 文件

sudo crontab -e

添加以下行以每天凌晨 2 点执行备份

0 2 * * * /bin/bash /root/gitlab/backup.sh CRON=1

验证

crontab -l

补充

安装 gitlab 可以看看这篇文章，讲的挺全的。文章里面讲减少 gitlab 服务使用资源的文章的时候，注意里面有一些参数已过时，你用的的话 gitlab 容器直接起不来，报错。报的错就是下面说的。
安装 gitlab 时，如果出现类似以下错误：

unicorn['worker_timeout'] has been deprecated since 13.10 and was removed in 14.0. Starting with GitLab 14.0, Unicorn is no longer supported and users must switch to Puma, following https://docs.gitlab.com/ee/administration/operations/puma.html.

那么就请打开这个网址，里面说的很清楚。

从 GitLab 13.0 开始，Puma 是默认 Web 服务器，Unicorn 已被禁用。在 GitLab 14.0 中，Unicorn 已从 Linux 软件包中删除，不再受支持。

所以使用 unicorn 参数配置时，请删除。改用 puma 参数配置。

自定义 gitlab 的 ssh 端口，如2222
1. 在 docker-compose.yml 中修改端口映射(22修改为2222)和添加环境变量 ```
  - ‘9081:2222’ gitlab_rails[‘gitlab_shell_ssh_port’] = 2222 ```
2. 在 docker-compose.yml 中添加 gitlab_sshd['port'] = 2222
```
# In docker-compose.yml
environment:
  GITLAB_OMNIBUS_CONFIG: |
    ...
    gitlab_rails['gitlab_shell_ssh_port'] = 2222
    gitlab_sshd['port'] = 2222
    ...
```
  这样修改后，GitLab 会自动管理 sshd 的配置，无需手动进入容器修改。
3. 测试是否成功
```
$ ssh -T git@gitlab.iarthit.com
Welcome to GitLab, @arthit!
```