Selbst gehostetes Gitlab + Registry zeigt nur eine weiße, leere Seite an, ist das richtig?

tag-icon tag-icon docker gitlab
Selbst gehostetes Gitlab + Registry zeigt nur eine weiße, leere Seite an, ist das richtig?

Ich betreibe ein selbstgehostetes Gitlab für mein Unternehmen in einer Docker-Umgebung und wir möchten unsere eigenen Docker-Images hosten, alsoDokumentation lesenaber ich kann es nicht tun docker login registry.mycompany-domain.tld, ich bekomme immer unauthorized: HTTP Basic: Access denied und wenn ich gehe, https://registry.mycompany-domain.tldbekomme ich nur eine leere Seite. Ich weiß nicht, ob das richtig ist, aber ich vermute, dass etwas nicht richtig funktioniert.

Aus Firewall-Gründen kann ich das Gitlab-Image nicht so aktivieren, dass Let’s Encrypt-Zertifikate automatisch abgerufen werden (ich muss dies auf einem anderen Host tun), daher habe ich das folgende Setup:

  • Ich habe eine docker-compose.ymlDatei /opt/gitlabund lege diese Ports frei:
    • 127.0.0.1:1443:443
    • '22:22'
  • in /etc/nginx/sites-enabled/gitlabkonfiguriere ich die Domäne gitlab.mycompany.tldals Proxyhttps://localhost:1443
  • Der Nginx auf dem Haupthost verwendet die Let’s Encrypt-Zertifikate, der Nginx im Docker-Container verwendet selbstsignierte Zertifikate.

Dieses Setup funktioniert, ich kann problemlos über SSH und die Weboberfläche auf Gitalb zugreifen.

Ich habe mich entschieden, eine separate Domäne für die Registrierung zu verwenden: registry.mycompany-domain.tldund dann habe ich die Registrierung im Obminus-Abschnitt der docker-compose.ymlDatei aktiviert. Jetzt sieht es so aus (die selbstsignierten Zertifikate befinden sich in /etc/CA):

--

# generated using example from https://docs.gitlab.com/omnibus/docker/#install-gitlab-using-docker-compose
# GITLAB_HOME=/opt/gitlab/container

web:
  image: 'gitlab/gitlab-ee:13.11.3-ee.0'
  restart: always
  hostname: gitlab.mycompany.tld
  shm_size: 256m
  environment:
    GITLAB_OMNIBUS_CONFIG: |
        external_url 'https://gitlab.mycompany.tld'
        letsencrypt['enable'] = false
        nginx['ssl_certificate'] = '/certificates/gitlab/gitlab.fullchain.crt'
        nginx['ssl_certificate_key'] = '/certificates/gitlab/gitlab.key'
        nginx['redirect_http_to_https'] = true
        nginx['real_ip_header'] = 'X-Forwarded-For'
        nginx['real_ip_recursive'] = 'on'
        mattermost_nginx['redirect_http_to_https'] = true

        registry_external_url 'https://registry.mycompany.tld'
        registry['enable'] = true
        registry_nginx['redirect_http_to_https'] = true
        registry_nginx['ssl_certificate'] = '/certificates/gitlab/gitlab.fullchain.crt'
        registry_nginx['ssl_certificate_key'] = '/certificates/gitlab/gitlab.key'
        gitlab_rails['registry_enabled'] = true
        gitlab_rails['registry_host'] = "registry.mycompany.tld"

        gitlab_rails['smtp_enable'] = true
        ...

  ports:
    - '127.0.0.1:1443:443'
    - '22:22'
  volumes:
    - '$GITLAB_HOME/config:/etc/gitlab'
    - '$GITLAB_HOME/logs:/var/log/gitlab'
    - '$GITLAB_HOME/data:/var/opt/gitlab'
    - '/etc/CA:/certificates'

und meine /etc/nginx/sites-enabled/registryDatei sieht folgendermaßen aus:

server {
    listen 80;
    server_name registry.mycompany.tld;
    access_log  /var/log/nginx/registry.mycompany.tld-access.log;
    error_log   /var/log/nginx/registry.mycompany.tld-error.log;

    location /.well-known {
        root /var/certbot/acme-challenges;
    }   

    location / { 
        return 301 https://$host$request_uri;
    }   

}


# see https://gitlab.com/gitlab-org/gitlab/blob/master/lib/support/nginx/registry-ssl
server {
    listen 443 http2;
    server_name registry.mycompany.tld;
    access_log  /var/log/nginx/ssl_registry.mycompany.tld-access.log;
    error_log   /var/log/nginx/ssl_registry.mycompany.tld-error.log;

    client_max_body_size 0;
    chunked_transfer_encoding on;

    ssl on; 

    ssl_certificate     /etc/letsencrypt/live/registry.mycompany.tld/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/registry.mycompany.tld/privkey.pem;
    ssl_prefer_server_ciphers on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_session_timeout  5m;

    location /{
        proxy_cache off;
        proxy_pass  https://localhost:1443;
        proxy_ssl_certificate         /etc/CA/gitlab/gitlab.fullchain.crt;
        proxy_ssl_certificate_key     /etc/CA/gitlab/gitlab.key;
        proxy_ssl_trusted_certificate /etc/CA/CA.crt;

        proxy_ssl_verify        on;
        proxy_ssl_session_reuse on;
        include /etc/nginx/proxy_params;
        proxy_read_timeout 3600;
    }
}

Wenn ich einen Blick darauf werfe, /opt/gitlab/container/logs/registry/currentkann ich sehen

2021-06-01_16:44:21.01934 time="2021-06-01T16:44:21Z" level=warning msg="error authorizing context: authorization token required" correlation_id=xxxx go_version=go1.15.8 root_repo=
2021-06-01_16:44:21.01966 {"content_type":"application/json","correlation_id":"xxxx","duration_ms":2,"host":"registry.mycompany.tld","level":"info","method":"GET","msg":"access","proto":"HTTP/1.1","referrer":"","remote_addr":"127.0.0.1:56368","remote_ip":"xxxx","status":401,"system":"http","time":"2021-06-01T16:44:21Z","ttfb_ms":2,"uri":"/v2/","user_agent":"Docker-Client/20.10.0-dev (linux)","written_bytes":87}

Ich verstehe nicht wirklich, was das bedeutet. Der Gitlab-Docker-Container hat automatisch eine Datei ( /opt/gitlab/container/data/registry/config.yml) erstellt, also weiß ich nicht wirklich, was ich tun soll.

Was übersehe ich hier?

verwandte Informationen