【K8s】GitLab 禁用 RACK ATTACK 机制

最新推荐文章于 2025-07-08 21:39:23 发布
最新推荐文章于 2025-07-08 21:39:23 发布
阅读量1k 收藏 15
点赞数 39
CC 4.0 BY-SA版权
分类专栏: Kubernetes 文章标签: kubernetes gitlab 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82795112/article/details/149070560

本文内容均来自个人笔记并重新梳理,如有错误欢迎指正!

如果对您有帮助,烦请点赞、关注、转发、订阅专栏!

专栏订阅入口

| 精选文章 | Kubernetes | Docker | Linux | 羊毛资源 | 工具推荐 |

往期精彩文章

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法(续)

【Linux】journalctl 日志查看工具介绍

目录

一、背景介绍

二、过程介绍

1、临时解决方法

2、官方文档方法

3、修改配置文件

4、从 entrypoint 入手分析

5、最终解决方法

一、背景介绍

近期公司研发侧开始反馈,从公司内部自建的 GitLab 服务拉取代码时频繁出现 403 错误,提示信息大致如下:

Too many failed authentication attempts from this IP
fatal: unable to access 'https://gitlab.xx.com/xxx/xxx.git/': The requested URL returned error: 403

经过排查定位到是 GitLab 服务的 RACK ATTACK 模块对访问 IP 进行了限制。公司的 GitLab 服务之前有负载均衡设备,因此所有对 GitLab 服务发起的相关请求,其对应的 IP 均被 GitLab 服务认定为负载均衡设备的 IP,从而造成单个 IP 频繁请求 GitLab 服务触发了服务的安全限制。

本文将详细介绍解决该问题的相关过程,GitLab 服务相关信息如下:

  • 版本信息:GitLab CE 17.4.2
  • 部署组件:GitLab、PostgreSQL、Redis
  • 部署方式:Kubernetes 环境下,部署为 StatefulSet 对象(后续找时间出部署教程)
  • 镜像名称:sameersbn/gitlab:17.4.2

二、过程介绍
1、临时解决方法

单个 IP 频繁请求 GitLab 服务、触发 RACK ATTACK 模块的安全限制后,GitLab 服务会向 Redis 服务的库中写入一个 key,格式如下。可以通过前缀查询并删除该 key 的方式,临时解除 IP 封禁。

cache:gitlab:rack::attack:allow2ban:ban:xx.xx.xx.xx

但是后续请求很可能在短时间内再次触发安全限制导致 IP 被封禁,需要保持关注并及时操作解禁,在日常工作中不太友好。因此需要考虑通过其他方式解决问题,解决思路调整为通过修改 GitLab 服务配置来实现 RACK ATTACK 模块的禁用。

2、官方文档方法

GitLab 官方文档中介绍了 RACK ATTACK 模块的认证配置,文档地址如下:

https://archives.docs.gitlab.com/17.11/omnibus/settings/configuration/#configuring-rack-attack

但是实际操作发现,GitLab 服务的容器中并不存在 /etc/gitlab/gitlab.rb 文件(可能是 GitLab 版本或 Docker 镜像原因导致)

3、修改配置文件

说明:由于 GitLab 服务采用了 Kubernetes 环境下的容器化部署方式,相关配置文件无法直接在容器后修改生效,因此需要将文件内容进行修改后,以 ConfigMap 方式挂载到相应位置。

  • /home/git/gitlab/config/gitlab.yml
    • 将 gitlab.yml 文件内容中 rack_attack.git_basic_auth.enabled 改为 false
    • 文件挂载后 Pod 启动失败,经排查 gitlab.yml 文件是动态生成的,无法提前进行挂载

  • /home/git/gitlab/config/gitlab.yml.example
    • 看起来 gitlab.yml 文件生成自 gitlab.yml.example 文件,转为修改 gitlab.yml.example 文件内容
    • 文件挂载后 Pod 启动成功,但 gitlab.yml 文件中的 rack_attack.git_basic_auth.enabled 仍为 true
  • /home/git/gitlab/config/initializers/1_settings.rb 及其他相关文件
    • 文件挂载后 Pod 启动成功,但 gitlab.yml 文件中的 rack_attack.git_basic_auth.enabled 仍为 true

修改配置文件方式均不生效,需要进一步调整思路。

4、从 entrypoint 入手分析
  • 查看 GitLab 服务的镜像层信息,获取 entrypoint 文件路径

  • 查看 /sbin/entrypoint.sh 文件内容

  • 查看 functions 文件内容,得知存在一个 RACK_ATTACK_ENABLED 变量控制 RACK ATTACK 的启停

  • 查看 env-defaults 文件内容,进一步确认 RACK_ATTACK_ENABLED 变量来自于全局环境变量,如果没有全局环境变量不存在,则 RACK_ATTACK_ENABLED 默认取值为 true,即 RACK ATTACK 模块默认启用(官方宣传较新版本默认禁用,和实际不一致)

5、最终解决方法

经过以上分析可知,我们有两种方式可以解决本文开头的问题:

  • 通过定义环境变量的方式,将 RACK_ATTACK_ENABLED 设置为 false 以禁用 RACK ATTACK 模块
  • 通过定义环境变量的方式,将 RACK_ATTACK_ENABLED 设置为 true 以启用 RACK ATTACK 模块,同时通过 RACK_ATTACK_WHITELIST 变量设置 IP 白名单,添加负载均衡设备的 IP 地址

最终我们选择直接禁用 RACK ATTACK 模块即可:

kubectl edit sts gitlab
...
# 添加环境变量
    env:
    ...
    - name: RACK_ATTACK_ENABLED
      value: "false"
...

验证结果:

K8S系列】深入解析K8S调度
颜淡慕潇
06-28 3万+
Kubernetes调度是Kubernetes的核心功能之一,它能够自动将Pod分配到最合适的节点上,并确保Pod在所选节点上正常运行。调度器通过算法选择最佳的节点,并将Pod绑定到该节点上。调度器选择节点的依据包括节点的资源使用情况、Pod的资源需求、亲和性和反亲和性等。管理员可以根据自己的需求选择不同的调度算法,并监视调度器的日志以确保集群的正常运行。
路由器bgp协议对接生产K8S集群网络(Calico)
cloud_engineer的博客
11-05 1446
路由器对接K8S集群网络(Calico),实现外部地址可以直接访问K8S pod,无需经过node节点nat或者lvs转换
gitlabrack-attack机制和如何设置白名单的记录
weixin_30916125的博客
07-29 893
目标gitlab是使用源码安装的10.5中文版 大纲: gitlab rack-attack 机制的作用 如何启用和禁用gitlabrack-attack机制,以及如何配置白名单 如果一个ip被错误地拦截,导致了不能访问,如何快速地恢复 如果gitlab工作在一个反向代理(或者是负载均衡器)的后边,会导致的问题和解决的方法 如何写出一个可以触发拦截机制的测试用例 正文: 1.gitlab rac...
云原生Kubernetes: K8S 1.29版本 部署GitLab
cronaldo91的博客
04-24 2509
istio-ingressgateway是service资源,关联的pod是istio-system名称空间叫做iistio-ingressgateway-6d9f6c64cb-nldhf的pod。主要涉及到3个应用:Redis、Postgresql、Gitlab 核心程序,实际上只要将这3个应用分别启动起来,然后加上对应的配置就可以方便快速的安装 Gitlab )(5)先后开启rpcbind、nfs服务并热加载配置文件内容,查看本机发布的nfs共享目录。(7)复制Docker镜像到node2节点。
gitlab 访问403 处理方案
qq_38473097的博客
07-11 669
原因:gitlabrack::attack模块,来防治恶意ip刷机 确定是否是这个原因: 1、查日志 # cd /var/log/gitlab/gitlab-rails/ # grep 'Rack_Attack' production.log|more Rack_Attack: blacklist 192.168.10.61 GET / 确认这个ip是否是访问者的ip 2、进入redis: # /opt/gitlab/embedded/bin/redis-cli -s /var/opt/gitlab/
K8s的网络——Underlay和Overlay网络
西木风落
09-15 2793
在网络7层协议基础里,
k8s之Dowanward API详细理解及使用
skh2015java的博客
10-22 2884
Downward API介绍 作用:让Pod里的容器能够直接获取到这个Pod API对象本身的信息 Downward API可以通过以下两种方式将Pod信息注入容器内部 1.环境变量:用于单个变量,可以将Pod信息和Container信息注入到容器内部 2. Volume挂载:通过文件挂载到容器内部 Downward API支持的常用字段 1. 使用fieldRef可以声明使用: spec.nodeName - 宿主机名字 status.hostIP - 宿主机IP met...
k8s 超详细总结,面试必问
热门推荐
huakai_sun的博客
09-04 9万+
一个目标:容器操作;两地三中心;四层服务发现;五种Pod共享资源;六个CNI常用插件;七层负载均衡;八种隔离维度;九个网络模型原则;十类IP地址;百级产品线;千级物理机;万级容器;相如无亿,K8s有亿:亿级日服务人次。 一个目标:容器操作 Kubernetes(k8s)是自动化容器操作的开源平台。这些容器操作包括:部署,调度和节点集群间扩展。 具体功能: 自动化容器部署和复制。 实时弹性收缩容器...
移除gitlab中ip黑名单
youyudexiaowangzi的专栏
09-03 2508
参考 https://docs.gitlab.com/ee/security/rack_attack.html#remove-blocked-ips-from-rack-attack-via-redis 简言之: 1.获取哪里记录的ip黑名单 grep "Rack_Attack" /var/log/gitlab/gitlab-rails/auth.log grep "Rack_Attac...
rack-attack, 用于阻塞&节流的rack 中间件.zip
10-10
rack-attack, 用于阻塞&节流的rack 中间件 :: 攻击 !rack 中间件,用于阻塞&节流滥用请求。Rack::Attack 是一个 rack 中间件,用来保护你的网络应用程序不受坏客户端的影响。 它允许基于请求的任意属性的...
rookieo-presentation:2015 年 6 月在 Rackspace Rookie O 上的 Team 1(“Rack Attack”)小组演示
06-01
【rookieo-presentation:2015 年 6 月在 Rackspace Rookie O 上的 Team 1(“Rack Attack”)小组演示】 这个项目是2015年6月在Rackspace Rookie O活动上由Team 1(昵称为"Rack Attack")进行的一次演示。Rackspace...
rack-timeout-puma:中止在 Puma 服务器上花费太长时间的请求
06-03
基本上,我们捕获 Rack::Timeout 引发的 Exception 并将其转换为 StandardError 以便 Puma 工作人员不会被杀死。 有关问题的更好描述,请参阅 。 基本用法 Rails 应用程序 # Gemfile gem "rack-timeout-puma" 这...
CI/CD — DevOps概念之实现k8s持续交付持续集成(一)
最新发布
dghfttgv的博客
07-08 450
在使用Pepiline进行自动化步骤过程中为了使Pipeline脚本更灵活我们通常会在脚本中引用对应的变量信息,但是在一个比较复杂的Pipeline脚本中,可能每一个stage步骤到会用到变量,那么我们应该要把这些变量信息提取出来统一存放,尽量不要手动去修改脚本里的内容,这样有可能会引发脚本的语法错误或者其他格式问题不利于我们的管理,我们可以将脚本中需用到的变量信息放到与Jenkinsfile同一目录下的配置文件中或者直接在Jenkinsfile的全局变量中设置,再引用对应的变量即可。
K8s——配置管理(2)
Lemon__ing的博客
07-08 652
‌数据容量‌(1 MiB)→ 拆分或外部存储‌安全缺陷‌(明文存储)→ 敏感数据用 Secret‌更新机制差异‌(环境变量 vs 文件挂载)→ 按需选择注入方式‌隔离性‌(命名空间绑定)→ 跨 NS 同步方案‌。
K8s系列之:Kubernetes 的 OLM
zhengzaifeidelushang的博客
07-06 69
K8s系列之:Kubernetes 的 OLM
k8s服务发布进阶
2401_83683659的博客
07-07 354
service发布时,有四种模式可选,其中只有两种方式能在linux上让外部访问,是nodeport和loadbalancer模式,nodeport和loadbalancer模式原理相同,只是环境不同,nodeport在k8s中,loadbalancer在公有云环境。ingress只能通过域名访问,因为service可能会重建,如果在ingress上配置ip地址与端口,当service重建后,ingress就必须要更改配置,而使用域名就能很好解决这一问题,service更改后,域名并不改变。
认识kubernetes kubeadm安装k8s
2301_78327423的博客
07-03 920
Kubernetes(简称k8s,因为k与s之间有8个字母)是一个开源容器编排系统,由Google开发并捐赠给云原生计算基金会(CNCF)。它用于自动化容器化应用程序的部署、扩展和管理,解决了大规模容器集群中的资源调度、服务发现、负载均衡等复杂问题。通俗类比:如果将容器比作“集装箱”,Kubernetes就是“港口管理系统”,负责高效调度和管理这些“集装箱”的存储、运输和分配。
k8s服务发布基础
2401_83683659的博客
07-06 170
Iptables,kube proxy不转发,只维护iptables的规则。数据包通过iptables的规则转发,这种效率略低,当iptables的规则多的时候,读取规则相当于读取一张没有索引的表。IpVs,kube proxy不转发,只维护iptables的规则,数据包通过iptables的规则转发,使用ipset来存储iptables的规则,可直接更新iptables规则。无头服务是指服务没有入口地址(clusterIP),但是它有pod的地址,访问无头服务通过固定的服务名进行访问。
Kubernets K8s 学习
qq_41764621的博客
07-05 174
Kubernetes 是一个容器编排平台它能帮你自动化容器(通常是 Docker 容器)的部署、扩缩容、负载均衡、滚动更新、健康检查等用来管理大规模的容器集群,让服务运行更加稳定自动重启:容器崩溃后自动拉起滚动更新:平滑替换旧版本服务发现:通过 Service 和 DNS 实现负载均衡:同一个 Service 后面挂多个 Pod配置管理:用 ConfigMap/Secret 动态注入配置扩缩容:根据负载或手动调整副本数存储编排:挂载 Volume 实现数据持久化
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行者Sun1989

您的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值