CentOS如何优化GitLab的网络设置

CentOS 上优化 GitLab 网络设置的实用方案

一 基础网络与防火墙

• 使用 NetworkManager 管理网络，确保主机名、IP、网关、DNS 正确；公网访问需将域名解析到服务器 IP。
• 仅开放必要端口：HTTP 80、HTTPS 443、SSH 22；如使用 firewalld：
  • 开放端口：sudo firewall-cmd --permanent --zone=public --add-service=http --add-service=https --add-service=ssh
  • 重载规则：sudo firewall-cmd --reload
• 若服务器位于 NAT 之后，需在网关做端口转发（外网 80/443/22 → 内网 GitLab IP 的 80/443/22）。
• 在 /etc/gitlab/gitlab.rb 正确设置外部访问地址：external_url 'https://your_domain_or_ip'，然后执行 sudo gitlab-ctl reconfigure 使配置生效。

二 TCP 内核参数优化

• 增大并发连接与缩短端口回收时间，编辑 /etc/sysctl.conf 或新建 /etc/sysctl.d/99-gitlab-network.conf：
  • 典型优化项：
    • net.core.somaxconn = 65535（增大监听队列）
    • net.ipv4.ip_local_port_range = 1024 65535（扩大本地端口池）
    • net.ipv4.tcp_tw_reuse = 1（允许复用 TIME_WAIT 套接字）
    • net.ipv4.tcp_fin_timeout = 30（加速释放连接）
    • net.ipv4.tcp_fastopen = 3（启用 TCP Fast Open，需客户端支持）
• 应用：sudo sysctl -p /etc/sysctl.d/99-gitlab-network.conf
• 说明：不同内核/云厂商环境对 tcp_tw_recycle 等选项支持差异较大，生产环境建议优先使用 tcp_tw_reuse 并充分压测验证。

三 Nginx 与并发连接优化

• 启用 HTTP/2 与长连接，编辑 /etc/gitlab/gitlab.rb：
  • 基础 HTTPS：
    • nginx['enable'] = true
    • external_url 'https://your_domain_or_ip'
    • nginx['listen_port'] = 80
    • nginx['listen_https'] = true
    • nginx['ssl_certificate_file'] = "/etc/gitlab/ssl/gitlab.example.com.crt"
    • nginx['ssl_certificate_key_file'] = "/etc/gitlab/ssl/gitlab.example.com.key"
    • nginx['ssl_protocols'] = "TLSv1.2 TLSv1.3"
    • nginx['ssl_ciphers'] = "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS"
  • 长连接与头部缓冲：
    • nginx['keepalive_timeout'] = 65
    • nginx['keepalive_requests'] = 1000
    • nginx['proxy_read_timeout'] = 3600
    • nginx['client_max_body_size'] = "1024m"（适配大仓库/附件上传）
• 应用：sudo gitlab-ctl reconfigure
• 提示：并发能力与 CPU/内存 成正比，调大前请结合实例规格压测。

四 端口与代理场景优化

• 端口冲突时调整监听端口：在 /etc/gitlab/gitlab.rb 中设置
  • nginx['listen_port'] = 8080（示例）
  • 如启用 HTTPS：nginx['listen_https'] = true 并配置证书路径
  • 执行 sudo gitlab-ctl reconfigure 生效
• 前置 反向代理/负载均衡（如 Nginx/HAProxy/云 LB）时：
  • 建议由前置承担 TLS 终止 与 HTTP/2，GitLab 侧使用 HTTP 回源；在代理上开启长连接与头部缓冲，并正确设置 X-Forwarded-For/X-Forwarded-Proto 等头。
  • 若需对外仅暴露 443，可将 GitLab 的 external_url 设为 https://...，并确保代理到后端的协议与端口正确。

五 验证与持续监控

• 连通性与协议：
  • 访问 https://your_domain 验证证书与页面加载；
  • ss -lntp | grep -E '(:80|:443|:22)' 检查监听；
  • curl -Iv https://your_domain 查看 TLS/HTTP 细节；
  • 使用 git ls-remote https://your_domain/your-group/your-repo.git 测试 Git 拉取。
• 监控与日志：
  • 建议接入 Prometheus + Grafana 监控请求时延、5xx 错误、连接数等；
  • 在 /etc/gitlab/gitlab.rb 将日志级别调为 info 或 warn 以减少磁盘写入：gitlab_rails['log_level'] = "info"；变更后 sudo gitlab-ctl reconfigure。
• 变更流程：所有网络与 Nginx 调优变更后执行 sudo gitlab-ctl reconfigure，必要时 sudo gitlab-ctl restart；上线前在测试环境充分压测并回滚预案。