gitlab-sshd
- GitLab 14.5에서 Self-Managed 고객을 위한 실험으로 도입
- GitLab 15.1의 Cloud Native GitLab 및 GitLab 15.9의 Linux 패키지에서 프로덕션 환경 사용을 위해 준비됨
gitlab-sshd
는 Go로 작성된 독립적인 SSH 서버입니다. gitlab-shell
패키지의 일부로 제공됩니다. OpenSSH 대체로써 더 낮은 메모리 사용량을 가지며 프록시 뒤에서 실행되는 응용 프로그램을 위한 IP 주소에 의한 그룹 액세스 제한을 지원합니다.
gitlab-sshd
는 SSH 작업을 제공하기 위한 OpenSSH의 가벼운 대안입니다. OpenSSH는 제한된 쉘 접근 방식을 사용하는 반면, gitlab-sshd
는 모던한 멀티 스레드 서버 응용프로그램과 유사한 방식으로 동작하여 들어오는 요청에 응답합니다. 주요 차이점은 OpenSSH가 전송 프로토콜로 SSH를 사용하는 반면 gitlab-sshd
는 원격 프로시저 호출(RPCs)을 사용한다는 것입니다. 자세한 내용은 블로그 글을 참조하세요.
GitLab Shell의 기능은 Git 작업에만 제한되지 않습니다.
OpenSSH에서 gitlab-sshd
로 전환을 고려 중이라면 다음 사항을 고려해보세요:
-
gitlab-sshd
는 PROXY 프로토콜을 지원합니다. PROXY 프로토콜에 의존하는 프록시 서버 뒤에서 실행될 수 있습니다(예: HAProxy). PROXY 프로토콜은 기본적으로 활성화되어 있지 않지만 활성화할 수 있습니다. -
gitlab-sshd
는 SSH 인증서를 지원하지 않습니다. 이에 대한 논의는 issue 655를 참조하세요.
gitlab-sshd
활성화
gitlab-sshd
를 사용하려면:
다음 지침은 오픈SSH 대신 gitlab-sshd
를 활성화합니다:
-
/etc/gitlab/gitlab.rb
파일을 편집합니다:gitlab_sshd['enable'] = true gitlab_sshd['listen_address'] = '[::]:2222' # 원하는 포트에 맞게 조정
-
선택 사항. 기본적으로 Linux 패키지 설치는
/var/opt/gitlab/gitlab-sshd
에 존재하지 않을 경우gitlab-sshd
를 위한 SSH 호스트 키를 생성합니다. 이 자동 생성을 비활성화하려면 다음 라인을 추가합니다:gitlab_sshd['generate_host_keys'] = false
-
파일을 저장하고 GitLab을 재구성합니다:
sudo gitlab-ctl reconfigure
기본적으로 gitlab-sshd
는 git
사용자로 실행됩니다. 따라서 gitlab-sshd
는 1024보다 낮은 권한이 필요한 포트 번호에서 실행할 수 없습니다. 이는 사용자가 gitlab-sshd
포트로 Git에 액세스하거나 SSH 트래픽을 숨기기 위해 로드 밸런서를 사용해야 함을 의미합니다.
새로 생성된 호스트 키가 OpenSSH 호스트 키와 다르기 때문에 사용자는 호스트 키 경고를 볼 수 있습니다. 이 문제가 발생하는 경우 호스트 키 생성을 비활성화하고 기존 OpenSSH 호스트 키를 /var/opt/gitlab/gitlab-sshd
로 복사하는 것을 고려해보세요.
다음 지침은 OpenSSH를 gitlab-sshd
로 전환합니다:
-
gitlab-shell
차트의sshDaemon
옵션을gitlab-sshd
로 설정합니다. 예:gitlab: gitlab-shell: sshDaemon: gitlab-sshd
-
Helm 업그레이드를 수행합니다.
기본적으로 gitlab-sshd
는 다음에서 대기합니다:
- 포트 22(
global.shell.port
)에서 외부 요청 - 포트 2222(
gitlab.gitlab-shell.service.internalPort
)에서 내부 요청
Helm 차트에서 다른 포트를 구성할 수 있습니다.
PROXY 프로토콜 지원
gitlab-sshd
앞에 로드 밸런서가 사용되면 GitLab은 클라이언트의 실제 IP 주소 대신 프록시의 IP 주소를 보고합니다. gitlab-sshd
는 실제 IP 주소를 얻기 위해 PROXY 프로토콜을 지원합니다.
PROXY 프로토콜을 활성화하려면:
-
/etc/gitlab/gitlab.rb
파일을 편집합니다:gitlab_sshd['proxy_protocol'] = true # 프록시 프로토콜 정책 ("use", "require", "reject", "ignore"), "use"가 기본값입니다 gitlab_sshd['proxy_policy'] = "use"
-
파일을 저장하고 GitLab을 재구성합니다:
sudo gitlab-ctl reconfigure
-
gitlab.gitlab-shell.config
옵션을 설정합니다. 예를 들어:gitlab: gitlab-shell: config: proxyProtocol: true proxyPolicy: "use"
-
Helm 업그레이드를 수행합니다.