【K8s】GitLab 禁用 RACK ATTACK 机制

最新推荐文章于 2025-07-12 21:48:38 发布
最新推荐文章于 2025-07-12 21:48:38 发布
阅读量2k 收藏 17
点赞数 73
CC 4.0 BY-SA版权
分类专栏: Kubernetes 文章标签: kubernetes gitlab 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82795112/article/details/149070560

本文内容均来自个人笔记并重新梳理,如有错误欢迎指正!

如果对您有帮助,烦请点赞、关注、转发、订阅专栏!

专栏订阅入口

| 精选文章 | Kubernetes | Docker | Linux | 羊毛资源 | 工具推荐 |

往期精彩文章

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法(续)

【Linux】journalctl 日志查看工具介绍

目录

一、背景介绍

二、过程介绍

1、临时解决方法

2、官方文档方法

3、修改配置文件

4、从 entrypoint 入手分析

5、最终解决方法

一、背景介绍

近期公司研发侧开始反馈,从公司内部自建的 GitLab 服务拉取代码时频繁出现 403 错误,提示信息大致如下:

Too many failed authentication attempts from this IP
fatal: unable to access 'https://gitlab.xx.com/xxx/xxx.git/': The requested URL returned error: 403

经过排查定位到是 GitLab 服务的 RACK ATTACK 模块对访问 IP 进行了限制。公司的 GitLab 服务之前有负载均衡设备,因此所有对 GitLab 服务发起的相关请求,其对应的 IP 均被 GitLab 服务认定为负载均衡设备的 IP,从而造成单个 IP 频繁请求 GitLab 服务触发了服务的安全限制。

本文将详细介绍解决该问题的相关过程,GitLab 服务相关信息如下:

  • 版本信息:GitLab CE 17.4.2
  • 部署组件:GitLab、PostgreSQL、Redis
  • 部署方式:Kubernetes 环境下,部署为 StatefulSet 对象(后续找时间出部署教程)
  • 镜像名称:sameersbn/gitlab:17.4.2

二、过程介绍
1、临时解决方法

单个 IP 频繁请求 GitLab 服务、触发 RACK ATTACK 模块的安全限制后,GitLab 服务会向 Redis 服务的库中写入一个 key,格式如下。可以通过前缀查询并删除该 key 的方式,临时解除 IP 封禁。

cache:gitlab:rack::attack:allow2ban:ban:xx.xx.xx.xx

但是后续请求很可能在短时间内再次触发安全限制导致 IP 被封禁,需要保持关注并及时操作解禁,在日常工作中不太友好。因此需要考虑通过其他方式解决问题,解决思路调整为通过修改 GitLab 服务配置来实现 RACK ATTACK 模块的禁用。

2、官方文档方法

GitLab 官方文档中介绍了 RACK ATTACK 模块的认证配置,文档地址如下:

https://archives.docs.gitlab.com/17.11/omnibus/settings/configuration/#configuring-rack-attack

但是实际操作发现,GitLab 服务的容器中并不存在 /etc/gitlab/gitlab.rb 文件(可能是 GitLab 版本或 Docker 镜像原因导致)

3、修改配置文件

说明:由于 GitLab 服务采用了 Kubernetes 环境下的容器化部署方式,相关配置文件无法直接在容器后修改生效,因此需要将文件内容进行修改后,以 ConfigMap 方式挂载到相应位置。

  • /home/git/gitlab/config/gitlab.yml
    • 将 gitlab.yml 文件内容中 rack_attack.git_basic_auth.enabled 改为 false
    • 文件挂载后 Pod 启动失败,经排查 gitlab.yml 文件是动态生成的,无法提前进行挂载

  • /home/git/gitlab/config/gitlab.yml.example
    • 看起来 gitlab.yml 文件生成自 gitlab.yml.example 文件,转为修改 gitlab.yml.example 文件内容
    • 文件挂载后 Pod 启动成功,但 gitlab.yml 文件中的 rack_attack.git_basic_auth.enabled 仍为 true
  • /home/git/gitlab/config/initializers/1_settings.rb 及其他相关文件
    • 文件挂载后 Pod 启动成功,但 gitlab.yml 文件中的 rack_attack.git_basic_auth.enabled 仍为 true

修改配置文件方式均不生效,需要进一步调整思路。

4、从 entrypoint 入手分析
  • 查看 GitLab 服务的镜像层信息,获取 entrypoint 文件路径

  • 查看 /sbin/entrypoint.sh 文件内容

  • 查看 functions 文件内容,得知存在一个 RACK_ATTACK_ENABLED 变量控制 RACK ATTACK 的启停

  • 查看 env-defaults 文件内容,进一步确认 RACK_ATTACK_ENABLED 变量来自于全局环境变量,如果没有全局环境变量不存在,则 RACK_ATTACK_ENABLED 默认取值为 true,即 RACK ATTACK 模块默认启用(官方宣传较新版本默认禁用,和实际不一致)

5、最终解决方法

经过以上分析可知,我们有两种方式可以解决本文开头的问题:

  • 通过定义环境变量的方式,将 RACK_ATTACK_ENABLED 设置为 false 以禁用 RACK ATTACK 模块
  • 通过定义环境变量的方式,将 RACK_ATTACK_ENABLED 设置为 true 以启用 RACK ATTACK 模块,同时通过 RACK_ATTACK_WHITELIST 变量设置 IP 白名单,添加负载均衡设备的 IP 地址

最终我们选择直接禁用 RACK ATTACK 模块即可:

kubectl edit sts gitlab
...
# 添加环境变量
    env:
    ...
    - name: RACK_ATTACK_ENABLED
      value: "false"
...

验证结果:

K8S系列】深入解析K8S调度
颜淡慕潇
06-28 3万+
Kubernetes调度是Kubernetes的核心功能之一,它能够自动将Pod分配到最合适的节点上,并确保Pod在所选节点上正常运行。调度器通过算法选择最佳的节点,并将Pod绑定到该节点上。调度器选择节点的依据包括节点的资源使用情况、Pod的资源需求、亲和性和反亲和性等。管理员可以根据自己的需求选择不同的调度算法,并监视调度器的日志以确保集群的正常运行。
docker中 gitlab 安装、配置和初始化
jclee95的个人博客
02-18 7032
配置文件 /etc/gitlab/gitlab.rb: 当然你也可以使用 桌面端的 VSCode 链接dockeer 打开,显示效果比 vim 更好: 然后今天主要记录以下这些配置项的注释都说了什么,下次好直接配置:
gitlab.rb 文件配置详解
热门推荐
axibazZ的博客
07-14 1万+
在官网找到的template配置文件,地址如下 https://gitlab.com/gitlab-org/omnibus-gitlab/-/blob/master/files/gitlab-config-template/gitlab.rb.template gitlab.rb文件内容如下 #可以访问GitLab的URL。 external_url 'GENERATED_EXTERNAL_URL' ## Roles for multi-instance GitLab ##redis角色 r
【云计算】公有云及企业上云方案
weixin_49199313的博客
06-26 641
公有云
rack-attack, 用于阻塞&节流的rack 中间件.zip
10-10
rack-attack, 用于阻塞&节流的rack 中间件 :: 攻击 !rack 中间件,用于阻塞&节流滥用请求。Rack::Attack 是一个 rack 中间件,用来保护你的网络应用程序不受坏客户端的影响。 它允许基于请求的任意属性的...
rookieo-presentation:2015 年 6 月在 Rackspace Rookie O 上的 Team 1(“Rack Attack”)小组演示
06-01
【rookieo-presentation:2015 年 6 月在 Rackspace Rookie O 上的 Team 1(“Rack Attack”)小组演示】 这个项目是2015年6月在Rackspace Rookie O活动上由Team 1(昵称为"Rack Attack")进行的一次演示。Rackspace...
rack-timeout-puma:中止在 Puma 服务器上花费太长时间的请求
06-03
基本上,我们捕获 Rack::Timeout 引发的 Exception 并将其转换为 StandardError 以便 Puma 工作人员不会被杀死。 有关问题的更好描述,请参阅 。 基本用法 Rails 应用程序 # Gemfile gem "rack-timeout-puma" 这...
2015年Rackspace Rookie O Rack Attack团队演示解析
资源摘要信息:"Rookie O演示是Rackspace公司于2015年6月进行的一次小组展示活动,其中名为‘Rack Attack’的小组参与了演示。Rackspace,一家知名的云计算服务提供商,以其在云计算领域的深厚技术积累和创新能力著称...
十三、K8s自定义资源Operator
最新发布
不能将运气当成战略!
07-12 641
Operator是一种用于扩展K8s API的自定义控制器,可以实现在原生资源对象上进行自定义资源类型。通过Operator,也可以实现将复杂的任务转化对K8s资源的操作,让应用程序的管理和维护更加简单和规范。
容器化改造避坑指南:传统应用迁移K8s的10个关键节点(2025实战复盘)
水务人
07-12 534
2025年企业容器化进程加速,但​​传统应用迁移K8s的失败率仍高达34%​​(Gartner报告)。本文基于50+企业级迁移案例,提炼出贯穿改造全周期的​​10个关键决策点​​,覆盖架构评估、数据持久化、网络拓扑、安全合规等核心维度。通过金融核心系统、工业物联网平台两大实战场景,详解如何规避存储卷丢失、服务雪崩、配置漂移等典型问题,提供可复用的​​风险量化评估模型​​与​​渐进式迁移路径​​,助力企业降低43%迁移成本,提升8倍投产效率。
K8S使用命令多集群管理配置
平庸
07-09 232
本文介绍了如何合并两个Kubernetes集群配置。操作步骤包括:1)将集群1设为主集群;2)分别在两个集群节点中编辑$HOME/.kube/config文件;3)创建单独目录存放两个集群的配置文件(c1和c2);4)使用KUBECONFIG=c1:c2命令合并配置;5)更新环境变量;6)验证当前上下文和集群列表。通过这种方式,可以方便地在多个Kubernetes集群间切换和管理。合并后的配置会显示所有可用集群,并可通过kubectl config命令查看和切换。
k8s深度讲解:无限的扩展性 - CRD 与 Operator
weixin_42587823的博客
07-11 958
今天,我们站在了 Kubernetes 这座技术巨塔的顶端,窥见了其设计的终极智慧。我们从etcd的数据一致性出发,见证了Scheduler和Controller的决策之舞,下沉到Kubelet的具体执行,探索了Service的网络魔法,最终,我们学会了如何通过CRD 和 Operator,成为这个生态的创造者。我们深刻地认识到,Kubernetes 不仅仅是一个“容器编排器”,它是一个通用的、声明式的、事件驱动的、可无限扩展的控制平面框架。
十二、k8s工程化管理Helm
不能将运气当成战略!
07-11 688
Helm是K8s的包管理器,类似于Linux上的apt或yum,可以用包的形式工程化管理和部署复杂的k8S应用程序,比如一键安装zookeeper集群、一键部署整个项目等。简化应用部署多环境部署快速迭代和回滚CI/CD集成项目一键启动# 创建一个自定义 Chart:test/├── charts # 依赖文件├── Chart.yaml # 当前chart的基本信息├── templates # 模板位置│ ├── _helpers.tpl # 自定义的模板或者函数。
比Loki更轻量、更高效!在Docker与K8S容器环境中部署VictoriaLogs日志系统实践
WeiyiGeek 唯一极客IT知识分享
07-10 922
描述:VictoriaLogs 支持在 Kubernetes 环境中以 Helm Chart 的方式部署,这为大规模生产环境提供了灵活性和可扩展性,同时也为部署增加了在生产环境中的复杂性和挑战,下面作者将以 部署 VictoriaLogs 单节点为例,演示如何在 Kubernetes 环境中通过手搓资源配置清单安装和配置 VictoriaLogs,以及参考官方文档示例列出 helm 部署 victorialogs 示例。),需要学习实践笔记的看友,可添加作者微信或者。
基于gitlab 构建CICD发布到K8S 平台
qq_36838700的博客
07-11 369
必须安装Docker环境必须有一套k8s环境 安装地址 https://blog.csdn.net/qq_36838700/article/details/141165373?spm=1011.2415.3001.5331安装Helm 3. 安装Helm 4. 拉取gitlab-runner 包 4.1.1 Token 如何获得 登陆你的帐号 用管理员帐号登陆 点击管理中心
基于k8s环境下pulsar高可用测试和扩缩容(上)
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
07-11 617
基于k8s环境下pulsar高可用测试和扩缩容(上)
k8s之configmap
西京刀客
07-10 275
ConfigMap 是 Kubernetes 中用于存储非机密配置数据的 API 对象。**它允许你将配置信息与容器镜像解耦**,使应用程序更加灵活和可移植。ConfigMap 以键值对的形式存储数据,可以被 Pod 以多种方式消费。
20250712-1-Kubernetes 监控与日志管理-K8s日志管理与维护_笔记
07-12 654
关键路径:/var/lib/docker/containers/<容器ID>/<容器ID>-json.log。流程顺序:API Server → Metrics Server → kubelet → cAdvisor。2. 容器标准输出日志(/var/lib/docker/containers)证书验证参数:--kubelet-insecure-tls 的作用与安全考量。1. 标准输出:节点部署日志采集器监控 docker 日志目录。1. 组件日志(kubelet/journalctl)
Kubernetes 集群部署、配置和验证-使用kubeadm快速部署一个K8s集群_笔记
weixin_45820447的博客
07-09 237
下载YAML:wget https://docs.projectcalico.org/manifests/calico.yaml。修改CALICO_IPV4POOL_CIDR与kubeadm init的–pod-network-cidr一致。部署:kubectl apply -f calico.yaml。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行者Sun1989

您的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值