使用 Gitea 构建私有化 Git 代码托管平台

前言

随着软件开发和团队协作的不断深入，企业对于代码托管平台的需求日益增加。市面上的云端 Git 服务虽然方便，但在数据隐私、定制化需求和费用等方面可能无法满足所有企业的要求。Gitea 是一款轻量、开源且功能丰富的 Git 代码托管平台，它支持代码仓库管理、问题追踪、代码审查、Wiki 文档和持续集成等功能，完全支持私有化部署。本文将从 Gitea 的架构与功能入手，详细介绍如何在裸机、Docker 和 Kubernetes 环境中部署 Gitea，并提供各环境下的配置优化、安全加固和备份策略。

一、Gitea 概述与架构原理

1.1 Gitea 简介

• 轻量高效：Gitea 使用 Go 语言开发，占用资源少，启动速度快。
• 易于安装与部署：支持多种部署方式（裸机、Docker、Kubernetes）。
• 功能丰富：提供 Git 代码托管、代码审查、问题跟踪、Wiki 和持续集成等功能。
• 开源可定制：代码完全开源，支持二次开发和定制，满足企业多样化需求。

1.2 架构组成

Gitea 的核心组件主要包括：

• Web 服务：提供用户界面和 API 接口。
• Git 服务：处理 Git 协议请求，实现代码仓库的克隆、提交和合并。
• 数据库：存储用户、仓库、问题、评论等元数据，支持 SQLite、MySQL、PostgreSQL 等多种后端。
• 存储：用于存放仓库数据和附件文件，可配置为本地磁盘或网络存储。

1.3 核心功能

• 代码托管与版本控制：支持 Git 仓库管理、分支管理、Pull Request 与代码审查。
• 协作与问题追踪：提供问题跟踪、讨论、Wiki、里程碑等功能，支持团队协作。
• 权限控制与审计：通过内置权限管理和审计日志，保障数据安全与合规性。
• API 接口与插件支持：提供 RESTful API 和丰富的插件接口，方便与其他系统集成。

二、裸机部署 Gitea

2.1 环境准备

• 操作系统：建议使用 Ubuntu 20.04 或 CentOS 7+。
• 硬件要求：最低 1 核 CPU、1GB 内存（生产环境建议 2GB 及以上），存储空间按仓库数据量预估。
• 依赖软件：Git、MySQL 或 PostgreSQL（可选，如使用 SQLite 则无需额外安装数据库）。

2.2 安装步骤

2.2.1 下载 Gitea 二进制文件

在 Gitea 官网下载最新稳定版的 Gitea 二进制文件，例如：


wget -O gitea https://dl.gitea.io/gitea/1.17.3/gitea-1.17.3-linux-amd64
chmod +x gitea

2.2.2 配置工作目录


sudo mkdir -p /var/lib/gitea/{custom,data,log}
sudo chown -R $(whoami):$(whoami) /var/lib/gitea
sudo mkdir -p /etc/gitea

2.2.3 创建系统服务（Systemd）

创建一个 systemd 服务文件 /etc/systemd/system/gitea.service，内容如下：


[Unit]
Description=Gitea (Git with a cup of tea)
After=syslog.target
After=network.target
Requires=mysql.service

[Service]
RestartSec=2s
Type=simple
User=your_username
Group=your_username
WorkingDirectory=/var/lib/gitea/
ExecStart=/path/to/gitea web --config /etc/gitea/app.ini
Restart=always
Environment=USER=your_username HOME=/home/your_username

[Install]
WantedBy=multi-user.target

注意将 your_username 和 /path/to/gitea 替换为实际的用户名和 gitea 文件路径。

2.2.4 配置 Gitea

首次启动 Gitea 时，会自动生成配置文件。可以先启动服务，然后通过浏览器访问 http://<服务器IP>:3000 进入安装向导。


sudo systemctl daemon-reload
sudo systemctl start gitea
sudo systemctl enable gitea

按照向导完成安装，配置数据库（SQLite/MySQL/PostgreSQL）、管理员账户等信息。

2.3 裸机部署优化

• 资源调优：根据实际负载调整 Gitea 的运行参数（如运行内存、并发连接数等）。
• 安全加固：通过 Nginx 反向代理配置 HTTPS，使用防火墙限制管理界面的访问 IP。
• 备份策略：定期备份 /var/lib/gitea 和 /etc/gitea 目录，确保数据安全。

三、Docker 部署 Gitea

3.1 环境准备

• 安装 Docker 和 Docker Compose。
• 确保宿主机网络允许所需端口访问（如 3000、22 等）。

3.2 编写 Docker Compose 文件

在一个目录下创建 docker-compose.yml，内容如下：


version: '3.8'

services:
  gitea:
    image: gitea/gitea:latest
    container_name: gitea
    environment:
      - USER_UID=1000
      - USER_GID=1000
      - DB_TYPE=sqlite3  # 可根据需求更换为 mysql 或 postgres
      - APP_NAME=Gitea
      - RUN_MODE=prod
    ports:
      - "3000:3000"
      - "222:22"   # SSH 端口
    volumes:
      - ./gitea-data:/data
    restart: unless-stopped

3.3 启动 Docker 部署

在 Docker Compose 文件所在目录运行：


docker-compose up -d

3.4 Docker 部署优化

• 数据持久化：确保 ./gitea-data 目录位于稳定的存储设备上。
• 资源限制：在 Compose 文件中使用 deploy.resources 设置 CPU 与内存限制（适用于 Docker Swarm 或 Kubernetes）。
• 反向代理与 HTTPS：可以结合 Nginx 部署反向代理，为 Gitea 配置 SSL 证书。

四、Kubernetes 部署 Gitea

4.1 环境准备

• Kubernetes 集群及 kubectl、Helm 安装完毕。
• 配置好持久化存储（如 PVC）。

4.2 使用 Helm Chart 部署 Gitea

虽然 Gitea 官方没有提供 Helm Chart，但社区提供了多种非官方 Helm Charts，可参考使用。以某个社区 Helm Chart 为例：


helm repo add gitea-charts https://dl.gitea.io/charts
helm repo update
kubectl create namespace gitea
helm install gitea gitea-charts/gitea --namespace gitea 
  --set service.http.type=NodePort 
  --set service.http.nodePort=30000 
  --set persistence.enabled=true 
  --set persistence.size=10Gi

4.3 Kubernetes 部署详细配置

4.3.1 配置文件与 Secret

创建一个 Secret 存储管理员密码及其他敏感配置：


kubectl create secret generic gitea-secrets -n gitea 
  --from-literal=ADMIN_PASSWORD='your_admin_password'

4.3.2 自定义配置

编辑一个 ConfigMap 保存 Gitea 的自定义配置（app.ini）：


apiVersion: v1
kind: ConfigMap
metadata:
  name: gitea-config
  namespace: gitea
data:
  app.ini: |
    APP_NAME = Gitea
    RUN_MODE = prod
    [database]
    DB_TYPE = sqlite3
    PATH = data/gitea.db
    [security]
    INSTALL_LOCK = true
    SECRET_KEY = your_secret_key

将该 ConfigMap 挂载到 Gitea 部署中，例如修改 Helm Chart 的 values 文件来引用 ConfigMap。

4.3.3 部署与暴露服务

配置 Service 暴露 Gitea：


apiVersion: v1
kind: Service
metadata:
  name: gitea
  namespace: gitea
spec:
  type: NodePort
  ports:
    - port: 3000
      nodePort: 30000
  selector:
    app: gitea

4.3.4 自动扩容与监控

利用 Kubernetes 的 Horizontal Pod Autoscaler (HPA) 实现自动扩容：


kubectl autoscale deployment gitea --cpu-percent=50 --min=1 --max=5 -n gitea

结合 Prometheus 与 Grafana 监控 Gitea 的运行状态，观察 CPU、内存和网络指标，确保系统高效运行。

4.4 Kubernetes 部署优化

• 持久化存储优化：确保存储卷具有足够的 IOPS，适用于数据库读写频繁场景。
• 资源请求与限制：根据实际负载配置合理的 CPU 和内存资源，避免 Pod 因资源不足而被驱逐。
• Ingress 与 HTTPS：结合 Ingress Controller 部署反向代理，并配置 Let's Encrypt 自动申请 SSL 证书，确保数据传输安全。
•

五、安全与备份策略

5.1 安全加固

• HTTPS 终端：为所有外部访问的服务配置 SSL/TLS。
• 身份验证与访问控制：配置 LDAP/AD 集成，确保只有授权用户可以访问代码仓库。
• 审计日志：开启详细日志记录，便于事后追踪和审计操作记录。

5.2 数据备份

• 定期备份数据：使用 cron 或 Kubernetes CronJob 定期备份 Gitea 数据目录和数据库文件。
• 多点存储：备份数据存储在外部存储系统（如 NFS、Ceph）或云存储中，确保数据安全。

六、常见问题与故障排查

6.1 裸机部署问题

• 启动失败：检查权限、端口占用及依赖软件版本是否符合要求。
• 性能瓶颈：使用 SSD 存储数据，并调整 JVM 堆内存配置（KAFKA_HEAP_OPTS 适用于 Kafka，Gitea 依赖数据库配置）。

6.2 Docker 部署问题

• 容器重启：检查日志文件（docker logs gitea），确保环境变量及挂载目录配置正确。
• 数据丢失：确保数据卷挂载到持久化存储，并定期备份。

6.3 Kubernetes 部署问题

• Pod 调度失败：检查资源请求和限制配置，确保集群有足够资源。
• 配置更新不生效：检查 ConfigMap 和 Secret 的挂载情况，使用 kubectl rollout restart 重启部署。
• 访问异常：检查 Service、Ingress 和网络策略配置，确保外部流量正确路由到应用。

七、总结

通过本文，您已经了解了如何在裸机、Docker 和 Kubernetes 环境中部署 Gitea，实现私有化 Git 代码托管平台的完整解决方案。我们详细讲解了 Gitea 的架构、功能和各环境下的部署步骤，并提供了安全、性能和备份的优化策略。希望这篇教程能帮助您构建一个高效、安全、可扩展的私有 Git 服务平台，并为您的团队协作与代码管理带来极大便利！

如果有任何问题或需要进一步优化方案，欢迎随时交流！