- 대체 지역 Redis 인스턴스 사용
- 번들된 Redis를 TCP를 통해 접근 가능하게 만들기
- Linux 패키지를 사용하여 Redis 전용 서버 설정
- 여러 Redis 인스턴스 실행
- Redis Sentinel
- 장애 조치(failover) 설정에서 Redis 사용
- Google Cloud Memorystore 사용
- 기본 10,000개 이상의 Redis 연결 수 증가
- Redis용 TCP 스택 조정
- 호스트 이름에서 IP 발표
- Redis 캐시 인스턴스를 LRU로 설정
- SSL(안전한 소켓 계층) 사용
- SSL 인증서
- 명령어 이름 변경
- 지연 해제
- 스레드 I/O
- Redis 클라이언트에 민감한 구성 제공하기
- 문제 해결
Redis 구성
대체 지역 Redis 인스턴스 사용
Linux 패키지 설치에는 기본적으로 Redis가 포함되어 있습니다. GitLab 애플리케이션을 본인의 로컬에서 실행 중인 Redis 인스턴스로 지시하려면 다음 단계를 따르세요:
-
/etc/gitlab/gitlab.rb
파일 편집:# 번들된 Redis 비활성화 redis['enable'] = false # TCP를 통한 Redis gitlab_rails['redis_host'] = '127.0.0.1' gitlab_rails['redis_port'] = 6379 # 또는 Unix 도메인 소켓을 통한 Redis gitlab_rails['redis_socket'] = '/tmp/redis.sock' # 기본값은 /var/opt/gitlab/redis/redis.socket # 필요한 경우 대체 로컬 Redis에 대한 인증 암호 gitlab_rails['redis_password'] = '<redis_password>'
-
변경 사항이 적용되도록 GitLab을 다시 구성하세요:
sudo gitlab-ctl reconfigure
번들된 Redis를 TCP를 통해 접근 가능하게 만들기
Linux 패키지로 관리되는 Redis 인스턴스를 TCP를 통해 접근 가능하게 하려면 다음 설정을 사용하세요:
-
/etc/gitlab/gitlab.rb
파일 편집:redis['port'] = 6379 redis['bind'] = '127.0.0.1'
-
파일을 저장하고 변경 사항이 적용되도록 GitLab을 다시 구성하세요:
sudo gitlab-ctl reconfigure
Linux 패키지를 사용하여 Redis 전용 서버 설정
GitLab 애플리케이션과 별도의 서버에 Redis를 설정하려면 Linux 패키지 설치에서 번들된 Redis 사용을 사용할 수 있습니다.
여러 Redis 인스턴스 실행
Redis Sentinel
https://docs.gitlab.com/ee/administration/redis/replication_and_failover.html를 참조하세요.
장애 조치(failover) 설정에서 Redis 사용
https://docs.gitlab.com/ee/administration/redis/replication_and_failover.html를 참조하세요.
Google Cloud Memorystore 사용
Google Cloud Memorystore는 Redis CLIENT
명령을 지원하지 않습니다.
기본적으로 Sidekiq은 디버깅을 위해 CLIENT
를 설정하려고 시도합니다. 이는 다음 구성 설정을 통해 비활성화할 수 있습니다:
gitlab_rails['redis_enable_client'] = false
기본 10,000개 이상의 Redis 연결 수 증가
기본적으로 Redis는 10,000개의 클라이언트 연결만 수락합니다. 10,000개 이상의 연결이 필요한 경우 maxclients
속성을 필요에 맞게 설정하세요.
maxclients
속성을 조정하면 fs.file-max
(예: sysctl -w fs.file-max=20000
)와 같은 시스템 설정도 고려해야 함에 유의하세요.
redis['maxclients'] = 20000
Redis용 TCP 스택 조정
다음 설정은 더 뛰어난 성능을 위해 Redis 서버 인스턴스를 활성화하는 데 사용됩니다. tcp_timeout
는 Redis 서버가 유휴 TCP 연결을 종료하기 전에 대기하는 시간(초)을 나타내는 값입니다.
tcp_keepalive
는 통신이 없을 때 클라이언트로의 TCP ACK를 위한 설정(초)입니다.
redis['tcp_timeout'] = "60"
redis['tcp_keepalive'] = "300"
호스트 이름에서 IP 발표
현재 Redis에서 호스트 이름을 활성화하는 유일한 방법은 redis['announce_ip']
를 설정하는 것입니다. 그러나 이는 고유한 Redis 인스턴스마다 설정해야 합니다. announce_ip_from_hostname
은 이를 활성화하거나 비활성화하는 부울값입니다.
이는 hostname -f
명령어를 통해 호스트 이름을 동적으로 가져오는 설정입니다.
redis['announce_ip_from_hostname'] = true
Redis 캐시 인스턴스를 LRU로 설정
여러 Redis 인스턴스를 사용하면 Redis를 최근에 사용되지 않은 캐시로 구성할 수 있습니다. 이를 사용하려면 Redis 캐시, 요청 제한 및 리포지터리 캐시 인스턴스에만 적용해야 합니다. Redis 대기열, 공유 상태 인스턴스 및 tracechunks 인스턴스는 지속되어야 하는 데이터(예: Sidekiq 작업)를 포함하고 있으므로 이를 LRU로 구성해서는 안 됩니다.
메모리 사용을 32GB로 제한하려면 다음을 사용할 수 있습니다:
redis['maxmemory'] = "32gb"
redis['maxmemory_policy'] = "allkeys-lru"
redis['maxmemory_samples'] = 5
SSL(안전한 소켓 계층) 사용
Redis를 SSL 뒤에 실행하려면 다음 설정을 /etc/gitlab/gitlab.rb
에 사용할 수 있습니다. 가능한 값에 대해 자세히 알아보려면
redis.conf.erb
의 TLS/SSL 섹션을 참조하세요.
-
SSL 뒤에 Redis 서버 실행
redis['tls_port'] redis['tls_cert_file'] redis['tls_key_file']
-
필요한 값을 지정한 후 변경 사항이 적용되도록 GitLab을 다시 구성하세요:
sudo gitlab-ctl reconfigure
redis-cli
바이너리는 직접 TLS를 통해 Redis 서버에 연결하지 않는 지원으로 빌드되어 있지 않을 수 있습니다.
redis-cli
가 --tls
플래그를 지원하지 않으면 stunnel
과 같은 것을 사용하여 redis-cli
를 통해 Redis 서버에 연결해야 합니다.GitLab 클라이언트가 SSL을 통해 Redis 서버에 연결하도록 만들기
SSL 지원을 위해 GitLab 클라이언트를 활성화하려면:
-
다음 줄을
/etc/gitlab/gitlab.rb
에 추가하세요:gitlab_rails['redis_ssl'] = true
-
변경 사항이 적용되도록 GitLab을 다시 구성하세요:
sudo gitlab-ctl reconfigure
SSL 인증서
Redis에 사용자 정의 SSL 인증서를 사용하는 경우 해당 인증서를 신뢰하는 인증서에 추가하세요.
명령어 이름 변경
기본적으로 KEYS
명령어는 안전을 위해 비활성화되어 있습니다.
이 명령어를 숨기거나 비활성화하려면 다음과 같이 /etc/gitlab/gitlab.rb
의 redis['rename_commands']
설정을 편집하세요:
redis['rename_commands'] = {
'KEYS': '',
'OTHER_COMMAND': 'VALUE'
}
-
OTHER_COMMAND
는 수정하려는 명령어입니다. -
VALUE
는 다음 중 하나여야 합니다:- 새로운 명령어 이름
- 명령어를 완전히 비활성화하는
''
이 기능을 비활성화하려면:
-
/etc/gitlab/gitlab.rb
파일에서redis['rename_commands'] = {}
로 설정합니다. -
sudo gitlab-ctl reconfigure
를 실행하세요.
지연 해제
Redis 4에서 지연 해제가 소개되었습니다. 이는 큰 값의 해제 시 성능을 향상시킬 수 있습니다.
이 설정은 기본적으로 false
로 설정됩니다. 활성화하려면 다음을 사용하세요:
redis['lazyfree_lazy_eviction'] = true
redis['lazyfree_lazy_expire'] = true
redis['lazyfree_lazy_server_del'] = true
redis['replica_lazy_flush'] = true
스레드 I/O
Redis 6에서 스레드 I/O가 소개되었습니다. 이를 사용하면 쓰기 작업을 여러 코어에 분산시킬 수 있습니다.
이 설정은 기본적으로 비활성화되어 있습니다. 활성화하려면 다음을 사용하세요:
redis['io_threads'] = 4
redis['io_threads_do_reads'] = true
Redis 클라이언트에 민감한 구성 제공하기
자세한 내용은 구성 설명서의 예제를 참조하십시오.
문제 해결
x509: certificate signed by unknown authority
이 오류 메시지는 SSL 인증서가 서버의 신뢰된 인증서 디렉터리에 제대로 추가되지 않았음을 나타냅니다. 이것이 문제인지 확인하려면:
-
/var/log/gitlab/gitlab-workhorse/current
에서 Workhorse 로그를 확인합니다. -
다음과 같은 메시지가 있는 경우:
2018-11-14_05:52:16.71123 time="2018-11-14T05:52:16Z" level=info msg="redis: dialing" address="redis-server:6379" scheme=rediss 2018-11-14_05:52:16.74397 time="2018-11-14T05:52:16Z" level=error msg="unknown error" error="keywatcher: x509: certificate signed by unknown authority"
첫 번째 줄에서는 주소가
rediss
인 Redis 서버의 scheme이 표시되어야 합니다. 두 번째 줄은 인증서가 이 서버에서 제대로 신뢰되지 않음을 나타냅니다. 이전 섹션을 참조하십시오. -
SSL 인증서가 제대로 작동하는지 다음 문제 해결 단계를 통해 확인합니다.
NOAUTH Authentication required
Redis 서버는 명령이 수락되기 전에 AUTH
메시지를 통해 비밀번호를 요구할 수 있습니다. NOAUTH Authentication required
오류 메시지는 클라이언트가 비밀번호를 보내고 있지 않을 수 있다는 것을 나타냅니다. GitLab 로그를 확인하여 이 오류를 해결할 수 있습니다:
-
/var/log/gitlab/gitlab-workhorse/current
에서 Workhorse 로그를 확인합니다. -
다음과 같은 메시지가 있는 경우:
2018-11-14_06:18:43.81636 time="2018-11-14T06:18:43Z" level=info msg="redis: dialing" address="redis-server:6379" scheme=rediss 2018-11-14_06:18:43.86929 time="2018-11-14T06:18:43Z" level=error msg="unknown error" error="keywatcher: pubsub receive: NOAUTH Authentication required."
-
/etc/gitlab/gitlab.rb
에서 지정된 Redis 클라이언트 비밀번호가 올바른지 확인합니다:gitlab_rails['redis_password'] = 'your-password-here'
-
Linux 패키지 제공 Redis 서버를 사용하는 경우, 서버가 동일한 비밀번호를 가지고 있는지 확인합니다:
redis['password'] = 'your-password-here'
Redis 연결 재설정 (ECONNRESET)
GitLab Rails 로그(/var/log/gitlab-rails/production.log
)에서 Redis::ConnectionError: Connection lost (ECONNRESET)
를 볼 경우, 이는 서버가 SSL을 기대하지만 클라이언트가 사용하도록 구성되어 있지 않을 수 있음을 나타낼 수 있습니다.
-
서버가 실제로 SSL을 통해 포트를 수신 대기 중인지 확인합니다. 예를 들어:
/opt/gitlab/embedded/bin/openssl s_client -connect redis-server:6379
-
/var/opt/gitlab/gitlab-rails/etc/resque.yml
을 확인합니다. 다음과 같은 내용이 있어야 합니다:production: url: rediss://:mypassword@redis-server:6379/
-
rediss://
대신redis://
가 있는 경우,redis_ssl
매개변수가 올바르게 구성되지 않았거나 재구성 단계가 실행되지 않았을 수 있습니다.
CLI를 통한 Redis 연결
문제 해결을 위해 Redis에 연결할 때 다음을 사용할 수 있습니다:
-
Unix 도메인 소켓을 통한 Redis:
sudo /opt/gitlab/embedded/bin/redis-cli -s /var/opt/gitlab/redis/redis.socket
-
TCP를 통한 Redis:
sudo /opt/gitlab/embedded/bin/redis-cli -h 127.0.0.1 -p 6379
-
필요한 경우 Redis에 인증하기 위한 비밀번호:
sudo /opt/gitlab/embedded/bin/redis-cli -h 127.0.0.1 -p 6379 -a <password>