Gitlab bietet von sich aus bereits einen Backupfunktion die manuell oder auch per Cronjob angestoßen werden kann, auch wird diese Funktion bei einem Versionsupgrade automatisch ausgeführt.

Ohne weitere Konfiguration wird jedoch nur ein lokales Backup erzeugt. Testen kann man das mit

sudo gitlab-rake gitlab:backup:create

oder für Installationen von Source mit

sudo -u git -H bundle exec rake gitlab:backup:create RAILS_ENV=production


Nun wollen wir uns darum kümmern das dieser Job das erstellte Backup zusätzlich auf einen externen Server lädt. Konkret werde ich das Backup per CIFS Mount auf meinen Storage Server schieben, Gitlab unterstützt jedoch zahlreiche weitere Storageprovider wie Amazon S3 Bucket, Dropbox, etc.

Eine CIFS Freigabe zu mounten geht recht leicht:

mount -t cifs //—–.your-storagebox.de/backup /mnt/bx10 -o user=—,password=—-,noperm

Wichtig ist neben der korrekten Adresse, den richtigen Benutzername und Passwort auch die Option *noperm*.

Da ich eine Omnibus Installation von Gitlab habe muss ich nun in der Datei /etc/gitlab/gitlab.rb folgendes Eintragen:

gitlab_rails[‚backup_upload_connection‘] = {
‚provider‘ => ‚Local‘,
‚local_root‘ => ‚/mnt/bx10‘
}
gitlab_rails[‚backup_upload_remote_directory‘] = ‚gitlab‘

Das sind alle nötigen Einstellungen damit Gitlab zukünftig jedes Backup auch auf der Cifs Freigabe speichert.

Nun sollte das ganze so aussehen:

Als letztes erstellen wir noch einen Cronjob der unseren Quellcode täglich um 3 Uhr frühs sichert:

0 3 * * * sudo gitlab-rake gitlab:backup:create

*WICHTIG!*
Dies sichert nur die Gitlab Application Files, also euere Repositories, die Datenbank etc. Die Gitlab Konfiguration wird absichtlich nicht gesichert da dort Keys abgelegt sind die aus Sicherheitsgründen nicht zusammen mit den Repositories gespeichert werden sollten.

Wer es noch nicht getan hat, kann über diese Seite Gitlab installieren. Vorraussetzung für die weiteren Schritte ist dass Gitlab isntalliert wurde und über Port 80 erreichbar ist.

Als nächstes installieren wir git, da wir das benötigen um den Lets Encrypt Client zu nutzen

cd /root  
git clone https://github.com/letsencrypt/letsencrypt

Bevor wir das Zertifikat beantragen können, wird noch eine Lets Encrypt Konfiguration erstellt in der wir alle wichtigen Daten definieren.

mkdir letsencrypt-config  
vi letsencrypt-config/gitlab.ini

Der Inhalt der Datei:

# Lets Encrypt Config für gitlab

# wir wollen den webroot Authenticator nutzen. 
authenticator = webroot
webroot-path = /var/www/letsencrypt

# die Domain unter der Gitlab aufrufbar ist
domains = gitlab.yourdomain.de

# die eigene Mailadresse mit der das Zertifikat beantragt wird
email = your@email.de

# wir wollen einen 4096 bit RSA key anstatt eines 2048 keys
rsa-key-size = 4096

Nun müssen wir noch das Verzeichnis anlegen dass für die webroot Authentifizierung verwendet wird

mkdir -p /var/www/letsencrypt

Als nächstes passen wir die gitlab Konfiguration an, damit diese unsere neuen Zertifikate nutzt. Dazu öffnen wir die Datei **/etc/gitlab/gitlab.rb** und ändern folgende Werte. Dabei muss auch darauf geachtet werden dass die entsprechenden Zeilen nicht auskommentiert sind.

nginx['enable'] = true
nginx['redirect_http_to_https'] = true
nginx['ssl_certificate']= "/etc/letsencrypt/live/gitlab.yourdomain.de/fullchain.pem"
nginx['ssl_certificate_key'] = "/etc/letsencrypt/live/gitlab.yourdomain.de/privkey.pem"

Folgende Zeile muss neu eingefügt werden

nginx['custom_gitlab_server_config']="location ^~ /.well-known {\n alias /var/www/letsencrypt/.well-known;\n}\n"

Damit die SSL Beantragung funktioniert muss Gitlab nun erstmal rekonfiguriert werden.

gitlab-ctl reconfigure

Als nächstes nutzen wir die vorhin angelegte Lets Encrypt Konfiguration um das SSL Zertfikat zu erstellen

/root/letsencrypt/letsencrypt-auto certonly -c /root/letsencrypt-config/gitlab.ini

Beim ersten Aufruf werden vor der eigentlichen SSL Beantragung noch evtl. fehlende Abhänigkeiten installiert.

Nun können wir wieder die gitlab Konfiguration unter /etc/gitlab/gitlab.rb öffnen und die URL auf https ändern.

external_url 'https://gitlab.yourdomain.de'

Das war es auch schon. Gitlab muss abschließen noch rekonfiguriert werden:

gitlab-ctl reconfigure

Ab nun ist die Gitlab Installation unter https erreichbar.

Lets Encrypt Zertifikate sind immer nur 90 Tage gültig. Damit das Zertifikat jeden Monat automatisch erneuert wird, richten wir einen Cronjob ein der sich darum kümmert:

0 0 1 * * /root/.local/share/letsencrypt/bin/letsencrypt certonly -c /root/letsencrypt-config/gitlab.ini --renew-by-default