解决无法访问 GitLab 的难题：我的本地部署与公网接入实战

前言为什么我选择自建 GitLab 本地版第一次尝试搭建 GitLab 的时候我面临的第一个问题就是为什么我明明已经部署好了却没法从外部访问这个问题的答案其实很简单——我的 GitLab 部署在本地服务器上默认只允许局域网访问。对于日常开发团队内部使用来说没问题但一旦需要远程协作、跨地域协作或者临时需要查看代码时问题就来了。我遇到的第一个大问题是端口配置。默认情况下GitLab CE 使用的端口是 80 和 443这两个端口在 CentOS 7 上默认被占用。我当时就把 GitLab 的端口改成了 8822在配置文件中设置了http_port: 8822这样本地就可以正常访问了。第二个问题是网络安全。当我把服务暴露在公网时才发现安全隐患有多大。没有防火墙配置没有密码验证任何能访问我 IP 的人都能查看到代码库。这对于团队协作来说是不可接受的。第三个问题是访问稳定性。我尝试过端口映射的方式但发现连接经常不稳定有时候需要反复重启服务才能访问。这种不确定性对于日常开发协作来说太麻烦了。我的解决方案我后来发现了一套解决方案——使用 cpolar 内网穿透工具配合 GitLab 本地部署。这套方案的核心思路是在本地 CentOS 7 上安装 GitLab CE配置端口和访问权限使用 cpolar 创建临时隧道生成公网地址并测试访问这套方案的优势在于不需要额外的公网 IP不需要复杂的网络配置安全性有保障可设置密码访问稳定可靠我通过这个过程不仅解决了访问问题更重要的是建立了一套稳定的远程访问机制。无论是团队成员远程协作还是个人随时查看代码都能快速完成。1 为什么选择自建 GitLab1.1 GitLabGitLab是一个基于Web的开源代码托管平台它提供了代码托管、项目管理、持续集成和持续部署等功能。GitLab采用了Git作为版本控制系统并提供了易于使用的界面和丰富的功能。GitLab与市场上的Gitee和GitHub相比具有以下优点开源自托管GitLab是开源软件你可以选择将其部署在自己的服务器上完全掌握代码托管的控制权不受第三方平台的限制。而Gitee和GitHub则是商业化的托管服务。完整的CI/CD支持GitLab内置了持续集成和持续部署功能使团队能够自动构建、测试和交付软件。这有助于提高团队的开发效率和软件质量。全面的项目管理功能除了代码仓库管理外GitLab还提供了项目计划、问题跟踪、文档管理和协作功能帮助团队更好地组织和管理项目。丰富的社区支持GitLab拥有庞大的全球开发者社区你可以从社区中获取开源项目、解决问题以及分享经验。同时GitLab社区版也有许多活跃的贡献者为其不断增加新功能和修复bug。1.2 GiteeGitee是中国的一家Git代码托管平台与GitHub类似。它提供了类似于GitHub的代码托管和项目管理功能但更关注中国开发者的需求。Gitee在国内有较好的网络连接速度支持中文界面和中文文档因此在中国用户中比较流行。1.3 GitHubGitHub是全球最大的代码托管平台也是一个开发者社交网络。它具有极高的知名度和广泛的开发者社区涵盖了各种技术领域。GitHub提供了卓越的协作和分享功能使得开发者能够轻松地与全球的开发者共同合作。它也提供了很多与第三方服务集成的功能例如代码审查工具、持续集成服务等。总之GitLab、Gitee和GitHub都是优秀的代码托管平台适用于不同的需求和场景。选择哪个平台取决于你的团队规模、项目需求和个人偏好。2 GitLab安装CE 13.9.62.1 添加GitLab软件仓库#从GitLab官方网站获取与添加仓库脚本的URL#sudo bash 以管理员权限运行脚本将GitLab软件仓库添加到系统中。curlhttps://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.rpm.sh|sudobashcurl命令执行完成后会在/etc/yum.repos.d目录下生成gitlab_gitlab-ce.repo文件。2.2 安装GitLab虚拟机IP查看可以使用ifconfig命令# 使用管理员权限执行以下命令# 设置 GitLab 的外部访问地址为 http://您的虚拟机IP:8888# 并通过 yum 安装 GitLab 社区版 13.9.6自动确认所有提示#如sudo EXTERNAL_URLhttp://192.168.184.133:8888 yum install -y gitlab-ce-13.9.6sudoEXTERNAL_URLhttp://您的虚拟机IP:8888yuminstall-ygitlab-ce-13.9.6安装成功提示如下图2.3 配置GitLab打开 GitLab 的主配置文件gitlab.rb准备修改默认的访问端口。为什么要改GitLab 默认使用HTTP 80和unicorn 8080如果端口冲突或你想用其他端口比如要做端口映射或配合内网穿透工具如 cpolar就要改成自定义的端口比如 8888、8887。sudovim/etc/gitlab/gitlab.rb打开后在external_url http://您设置的IP地址:8888下面添加nginx[listen_port]8888unicorn[port]8887nginx[listen_port] 8888指定 GitLab 使用内置 nginx 服务监听8888 端口即网页访问用这个端口unicorn[port] 8887指定 GitLab 的应用服务器unicorn使用8887 端口接下来需要给防火墙开放端口刷新配置#防火墙开放端口firewall-cmd--zonepublic --add-port8888/tcp--permanentfirewall-cmd--zonepublic --add-port8887/tcp--permanent#刷新配置firewall-cmd--reload刷新GitLab以应用新的配置sudogitlab-ctl reconfigure2.4 启动及访问GitLabsudogitlab-ctl start#启动sudogitlab-ctl restart#重启sudogitlab-ctl stop#停止sudogitlab-ctl status#状态启动图示如下访问前面设置的http://192.168.184.133:8888,出现如下图即成功如上为设置密码页面设置好密码后会跳转如下登录界面管理员登录使用#用户名root#密码您设置的密码登录成功即可进入主页面3 GitLab创建项目前后端皆可此方法这里以前端举例3.1 项目创建选择新项目new project然后选择创建空项目create blank project点击进入项目信息页面填写项目信息点击创建项目后项目即可创建成功随即会跳转到创建好的项目页面3.2 下拉代码使用前需有git环境可去git官网下载复制项目的地址http://192.168.184.133:8888/root/myvue3demo.git安装好git后在任意文件夹位置鼠标右键可以看到open Git Bash here选择点击进入进入git bash终端后输入如下命令下拉代码gitclone http://192.168.184.133:8888/root/myvue3demo.git可能会出现需要输入密码的情况,输入gitlab的用户名root和您设置的gitlab密码即可3.3 上传代码为了方便快捷我这边使用cursorAI编辑器生成了一个简单的Vue3项目演示站项目会放在结尾开源供大家免费下载代码进行测试~生成的页面展示如下现在目录列表里面就有项目文件啦接下来继续在当前位置鼠标右键打开git bash执行如下命令#添加暂存区gitadd.#提交本地git仓库 加内容gitcommit-m内容#推送到远程gitpush这样代码就成功推送成功了服务器刷新也可以看到代码已经成功上传到gitlab仓库啦4 使用 cpolar 实现公网访问4.1 安装 cpolar4.1.1 什么是cpolarcpolar 是一款内网穿透工具可以将你在局域网内运行的服务如本地 Web 服务器、SSH、远程桌面等通过一条安全加密的中间隧道映射至公网让外部设备无需配置路由器即可访问。广泛支持 Windows、macOS、Linux、树莓派、群晖 NAS 等平台并提供一键安装脚本方便部署。4.1.2 安装cpolar首先我们需要先安装curlsudoyuminstallcurl接下来下载cpolar,一条命令完成安装curl-Lhttps://www.cpolar.com/static/downloads/install-release-cpolar.sh|sudobash测试cpolar版本以确保安装cploar version4.2 配置cpolar系统服务向系统添加及启动cpolar服务#添加cpolar服务sudosystemctlenablecpolar#启动cpolar服务sudosystemctl start cpolar查看服务状态sudosystemctl status cpolar4.3 注册及登录cpolar web ui管理界面4.3.1 注册cpolar访问cpolar官网点击免费注册按钮进行账号注册注册页面4.3.2 放行9200端口web ui端口在访问web页面前需要先检查系统防火墙是否放行9200端口避免访问不了systemctl status firewalld有两种方式可以实现访问一种是放行该端口另一种是直接关闭防火墙不建议#放行 9200 端口#--zonepublic使用默认区域通常是 public#--add-port9200/tcp添加 TCP 协议的 9200 端口#--permanent永久生效不加此参数则是临时规则重启失效firewall-cmd--zonepublic --add-port9200/tcp--permanent#重载防火墙配置(及刷新配置使其生效)firewall-cmd--reload验证端口是否已放行firewall-cmd--zonepublic --query-port9200/tcp输出内容为yes则成功放行4.3.3 访问cpolar web ui管理界面在访问之前不确定ip地址可以通过ifconfig命令查看服务器ipifconfig确定好ip地址后在浏览器中访问http//此处应为您的IP:9200#如http://192.168.184.133:9200将前面步骤注册好的cpolar账号登录即可进入后台页面登录成功同时服务器也会后台无感自动配置token,无需手动配置token配置文件位置/usr/local/etc/cpolar/cpolar.ymlcat/usr/local/etc/cpolar/cpolar.yml4.4 配置gitlab隧道及访问测试4.4.1 配置 HTTP 隧道绑定到 8888 端口点击左侧菜单栏的隧道管理展开进入隧道列表页面页面下默认会有 2 个隧道ssh隧道指向22端口tcp协议website隧道指向8080端口http协议http协议默认会生成2个公网地址一个是http另一个https免去配置ssl证书的繁琐步骤接着点击创建隧道菜单进入到创建页面如下图配置创建完成后点击左侧菜单的状态菜单接着点击在线隧道列表菜单按钮可以看到有2个gitlab的隧道一个为http协议,另一个为https协议注意每个用户创建的隧道显示的公网地址都不一样4.4.2 访问公网地址验证 GitLab 是否可访问在浏览器中访问创建gitlab隧道生成的公网地址http和https皆可这里以https为例登录gitlab账号成功进入gitlab首页4.5 设置固定二级子域名Pro用户4.5.1 保留二级子域名使用cpolar为其配置二级子域名该域名为固定格式域名不会随机变化,方便后续远程访问gitlab仓库。进入官网的预留页面https://dashboard.cpolar.com/reserved列表中显示了一条已保留的二级子域名记录地区显示为China Top。二级域名显示为gitlab01。注二级域名是唯一的每个账号都不相同请以自己设置的二级域名保留的为主4.5.2 修改gitlab隧道为子域名方式进入侧边菜单栏的隧道管理下的隧道列表可以看到前面配置名为gitlab-8888的隧道点击编辑按钮进入编辑页面修改域名类型为二级子域名然后填写前面配置好的子域名点击更新按钮4.5.3 访问子域名测试来到状态菜单下的在线隧道列表可以看到隧道名称为gitlab-8888的公网地址已经变更为二级子域名固定域名主体及后缀的形式了这里以https协议做访问测试:访问成功5 修改 clone 地址为公网地址部署完成后即使你已经使用 cpolar 成功穿透并访问 GitLab 页面GitLab 显示的项目克隆地址仍可能是内网地址如192.168.x.x如下图所示这会导致使用git clone时默认用的是内网地址外网机器无法访问。为了解决这个问题我们需要修改 GitLab 的配置使其显示为公网地址。5.1 修改GitLab 配置文件编辑gitlab的配置文件sudovim/etc/gitlab/gitlab.rb找到如图这行external_urlhttp://192.168.184.133:8888将其修改为你的 Cpolar 分配的公网地址注意不要加端口号#注意请使用http的域名external_urlhttp://gitlab01.cpolar.top保存退出后然后重新加载gitlab配置sudogitlab-ctl reconfigure5.2 访问测试访问gitlab穿透的项目地址:https://gitlab01.cpolar.top/root/myvue3demo可以看到clone的地址已经正确的从内网地址变更为cpolar穿透的二级域名地址了5.3 下拉代码测试复制clone地址http://gitlab01.cpolar.top/root/myvue3demo.git在本地资源管理器中任意文件夹位置单机鼠标右键,选择Open Git Bash here点击进入打开shell窗口输入如下命令:#项目地址替换为您项目的地址链接gitclone http://gitlab01.cpolar.top/root/myvue3demo.git输入用户信息确认后可以发现成功下拉代码5.4 上传代码测试这边使用AI软件cursor进行了简单的开源文件修改进行上传代码测试如图控制台已经提示上传成功可以看到如下提示To http://gitlab01.cpolar.top/root/myvue3demo.git打开gitlab仓库查看是否有最新提交可以发现修改的开源文件提交上传上来了6 常见问题排查6.1 修改 GitLab 的外部访问地址为公网域名在大纲为5小节的修改 clone 地址为公网地址时如果设置外部地址使用的https协议地址会出现如下问题letsencrypt_certificate[...] had an error: RuntimeError: [...] Validation failed, unable to request certificate这是因为GitLab 在执行reconfigure时尝试向 Let’s Encrypt 自动申请 HTTPS 证书失败由于你的公网地址是cpolar 动态分配的临时域名或没有正确配置 DNS导致验证失败。而 Cpolar 的地址如*.cpolar.top本质上是临时公网穿透地址没有公网 DNS 可验证所有权也无法配合 Let’s Encrypt 做 HTTP-01 验证所以只适合用作 HTTP 明文访问而不是自动走 HTTPS。不要用 https:// 开头的 external_url,改为http协议的链接填入即可然后再执行sudo gitlab-ctl reconfigure进行配置更新7 总结回头看整个过程我最大的收获是建立了一套稳定的远程访问机制。这套方案的关键在于*本地部署稳定*GitLab 在本地运行数据完全自主可控*访问配置灵活*cpolar 的临时隧道可以轻松切换*安全性有保障*通过密码和权限限制访问*维护成本可控*不需要额外硬件投入软件层面即可解决给后来者的建议先确保本地访问正常再考虑公网访问设置强密码避免未授权访问定期检查日志预防潜在问题不要依赖临时方案长期项目需要更稳定的方案如果你也遇到类似的网络访问问题这套方案值得参考。虽然需要一定的技术基础但一旦搭建完成后续维护成本很低长期来看是值得投入的。