Какие разрешения нужны nginx для сокета Gitlab-рабочая лошадка?
Я пытался разобраться в этом весь день. Я запускаю омнибусную установку GitLab на Ubuntu 14.04, используя существующую установку nginx. Я могу войти в систему, создавать проекты, проблемы и т. Д., Но я не могу толкать / извлекать, клонировать или что-либо еще в проект извне (не через веб-интерфейс). Один улов... Я запускаю Plesk 12.5 на этом сервере. Вот некоторые выводы:
Об ошибке сообщает nginx:
2016/02/10 16:00:50 [crit] 24866#0: *53 connect() to unix://var/opt/gitlab/gitlab-workhorse/socket
failed (13: Permission denied) while connecting to upstream, client: XXX.XXX.X.X,
server: git.example.com,
request: "GET /namespace/project-name.git/info/refs?service=git-upload-pack HTTP/1.1",
upstream: "http://unix://var/opt/gitlab/gitlab-workhorse/socket:/namespace/project-name.git/info/refs?service=git-upload-pack", host: "git.example.com"
Разрешения на сокет рабочей лошадки:
srwxrwxrwx 1 git git 0 Feb 2 18:40 socket
Я пытался сменить владельца на nginx (www-data) и группа к gitlab-www но не повезло. Я не использую никаких других каталогов.... просто не знаю, куда идти отсюда. Я так близок к тому, чтобы запустить это, но чувствую себя так далеко!
Gitlab: проверьте (да, есть ошибка в настройках IMAP, но я не думаю, что это связано???)
Checking GitLab Shell ...
GitLab Shell version >= 2.6.10 ? ... OK (2.6.10)
Repo base directory exists? ... yes
Repo base directory is a symlink? ... no
Repo base owned by git:git? ... yes
Repo base access is drwxrws---? ... yes
hooks directories in repos are links: ...
[... project checks all ok ...]
Running /opt/gitlab/embedded/service/gitlab-shell/bin/check
Check GitLab API access: OK
Check directories and files:
/var/opt/gitlab/git-data/repositories: OK
/var/opt/gitlab/.ssh/authorized_keys: OK
Test redis-cli executable: redis-cli 2.8.21
Send ping to redis server: PONG
gitlab-shell self-check successful
Checking GitLab Shell ... Finished
Checking Sidekiq ...
Running? ... yes
Number of Sidekiq processes ... 1
Checking Sidekiq ... Finished
Checking Reply by email ...
Address formatted correctly? ... yes
IMAP server credentials are correct? ... no
Try fixing it:
Check that the information in config/gitlab.yml is correct
For more information see:
doc/incoming_email/README.md
Please fix the error above and rerun the checks.
Init.d configured correctly? ... skipped (omnibus-gitlab has no init script)
MailRoom running? ... can't check because of previous errors
Checking Reply by email ... Finished
Checking LDAP ...
LDAP is disabled in config/gitlab.yml
Checking LDAP ... Finished
Checking GitLab ...
Git configured with autocrlf=input? ... yes
Database config exists? ... yes
Database is SQLite ... no
All migrations up? ... yes
Database contains orphaned GroupMembers? ... no
GitLab config exists? ... yes
GitLab config outdated? ... no
Log directory writable? ... yes
Tmp directory writable? ... yes
Uploads directory setup correctly? ... yes
Init script exists? ... skipped (omnibus-gitlab has no init script)
Init script up-to-date? ... skipped (omnibus-gitlab has no init script)
projects have namespace: ...
[... project checks all yes ...]
Redis version >= 2.8.0? ... yes
Ruby version >= 2.1.0 ? ... yes (2.1.8)
Your git bin path is "/opt/gitlab/embedded/bin/git"
Git version >= 1.7.10 ? ... yes (2.6.2)
Active users: 4
Checking GitLab ... Finished
Вот конфигурация nginx для vhost:
location /uploads/ {
## If you use HTTPS make sure you disable gzip compression
## to be safe against BREACH attack.
gzip off;
proxy_read_timeout 300;
proxy_connect_timeout 300;
proxy_redirect off;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Frame-Options SAMEORIGIN;
proxy_pass https://gitlab;
}
location @gitlab {
## If you use HTTPS make sure you disable gzip compression
## to be safe against BREACH attack.
gzip off;
proxy_read_timeout 300;
proxy_connect_timeout 300;
proxy_redirect off;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Frame-Options SAMEORIGIN;
#proxy_pass http://gitlab;
# Returns 502 error if not changed to localhost
proxy_pass http://localhost:8080;
}
location ~ ^/[\w\.-]+/[\w\.-]+/gitlab-lfs/objects {
client_max_body_size 0;
error_page 418 = @gitlab-workhorse;
return 418;
}
location ~ ^/[\w\.-]+/[\w\.-]+/(info/refs|git-upload-pack|git-receive-pack)$ {
client_max_body_size 0;
error_page 418 = @gitlab-workhorse;
return 418;
}
location ~ ^/[\w\.-]+/[\w\.-]+/repository/archive {
client_max_body_size 0;
error_page 418 = @gitlab-workhorse;
return 418;
}
location ~ ^/api/v3/projects/.*/repository/archive {
client_max_body_size 0;
error_page 418 = @gitlab-workhorse;
return 418;
}
location ~ ^/[\w\.-]+/[\w\.-]+/builds/download {
client_max_body_size 0;
error_page 418 = @gitlab-workhorse;
return 418;
}
location ~ /ci/api/v1/builds/[0-9]+/artifacts {
client_max_body_size 0;
error_page 418 = @gitlab-workhorse;
return 418;
}
location @gitlab-workhorse {
client_max_body_size 0;
## If you use HTTPS make sure you disable gzip compression
## to be safe against BREACH attack.
gzip off;
# proxy_read_timeout 300;
# proxy_connect_timeout 300;
# proxy_redirect off;
proxy_buffering off;
# The following settings only work with NGINX 1.7.11 or newer
#
# # Pass chunked request bodies to gitlab-workhorse as-is
#proxy_request_buffering off;
proxy_read_timeout 300;
proxy_connect_timeout 300;
proxy_redirect off;
proxy_http_version 1.1;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Ssl on;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://gitlab-workhorse;
}
location ~ ^/(assets)/ {
root /opt/gitlab/embedded/service/gitlab-rails/public;
gzip_static on; # to serve pre-gzipped version
expires max;
add_header Cache-Control public;
}
location ~ / {
root /opt/gitlab/embedded/service/gitlab-rails/public;
try_files $uri $uri/index.html $uri.html @gitlab;
}
error_page 502 /502.html;
Наконец, вот конфигурация на уровне блоков сервера для vhost:
upstream gitlab {
server unix:/var/opt/gitlab/gitlab-rails/sockets/gitlab.socket fail_timeout=0;
}
upstream gitlab-workhorse {
server unix://var/opt/gitlab/gitlab-workhorse/socket fail_timeout=0;
}
Просматривая документы по адресу https://github.com/gitlabhq/omnibus-gitlab/blob/master/doc/settings/nginx.md я вижу это примечание, но оно не указывает, какими должны быть разрешения:
* Примечание: убедитесь, что пользователь веб-сервера имеет правильные разрешения на все каталоги, используемые внешним веб-сервером, в противном случае вы получите сбой (XX: разрешение отклонено) при чтении вышестоящих ошибок.
Любое руководство будет высоко ценится.
3 ответа
Столкнулся с подобной проблемой, и журнал ясно предложил проблемы с разрешениями.
В конце документации Gitlab для конфигурации NGINX, http://doc.gitlab.com/omnibus/settings/nginx.html приведены необходимые настройки разрешений.sudo usermod -aG gitlab-www www-dataпосле перезапуска сервисов все заработало как положено.
Странно ни один пользователь не был определен в моем /etc/nginx/nginx.conf файл, и это вызывало проблему, которую вы упомянули.
Поэтому я добавил эту строку в /etc/nginx/nginx.conf файл:
user www-data;
И тогда я запустил эту команду:
sudo usermod -aG gitlab-www www-data
Я перезапустил Nginx (sudo service nginx restart) и все прошло нормально.
Та же проблема произошла с моим сервером. И я решил путем редактирования /etc/gitlab/gitlab.rc
# my nginx run with user nginx.
web_server['external_users'] = ['nginx']
web_server['username'] = 'nginx'
web_server['group'] = 'nginx'
web_server['uid'] = 994
web_server['gid'] = 991
web_server['shell'] = '/bin/false'
web_server['home'] = '/var/lib/nginx'
Сначала я просто добавляю web_server['external_users'] = ['nginx'], но он все равно не работает, пока я не добавлю все это. Пусть это поможет вам.