GitLab Dedicated
- Tier: Ultimate
- Offering: GitLab Dedicated
GitLab Dedicated 是一种单租户 SaaS 解决方案,具有以下特点:
- 完全隔离。
- 部署在您偏好的 AWS 云区域。
- 由 GitLab 托管和维护。
每个实例提供:
使用 GitLab Dedicated,您可以:
- 提高运营效率。
- 降低基础设施管理开销。
- 提升组织敏捷性。
- 满足严格的合规要求。
可用功能
本节列出 GitLab Dedicated 可用的关键功能。
安全
GitLab Dedicated 提供以下安全功能,保护您的数据并控制对实例的访问。
身份验证和授权
GitLab Dedicated 支持 SAML 和 OpenID Connect (OIDC) 提供商进行单点登录 (SSO)。
您可以使用支持的提供商配置单点登录 (SSO) 进行身份验证。您的实例作为服务提供商,您提供必要的配置,以便 GitLab 与您的身份提供商 (IdPs) 进行通信。
安全网络
提供两种连接选项:
- 公网连接配合 IP 允许列表:默认情况下,您的实例可通过公网访问。您可以配置 IP 允许列表以限制对指定 IP 地址的访问。
- 私网连接配合 AWS PrivateLink:您可以为入站和出站连接配置 AWS PrivateLink。
对于使用非公开证书连接内部资源的私网连接,您还可以指定受信任证书。
数据加密
数据使用最新的加密标准进行静态加密和传输加密。
或者,您可以使用自己的 AWS Key Management Service (KMS) 加密密钥对静态数据进行加密。此选项让您完全控制存储在 GitLab 中的数据。
有关更多信息,请参阅静态加密数据 (BYOK)。
邮件服务
默认情况下,使用 Amazon Simple Email Service (Amazon SES) 安全发送电子邮件。作为替代方案,您可以使用 SMTP配置自己的邮件服务。
合规性
GitLab Dedicated 遵循各种法规、认证和合规框架,以确保您的数据安全性和可靠性。
查看合规性和认证详情
您可以在 GitLab Dedicated 信任中心 查看合规性和认证详情,并下载合规性工件。
访问控制
GitLab Dedicated 实施严格的访问控制以保护您的环境:
- 遵循最小权限原则,仅授予必要的最小权限。
- 限制对 AWS 组织的访问权限,仅限选定的 GitLab 团队成员。
- 为用户账户实施全面的安全策略和访问请求。
- 使用单个 Hub 账户进行自动化操作和紧急访问。
- GitLab Dedicated 工程师无法直接访问客户环境。
在紧急情况下,GitLab 工程师必须:
- 使用 Hub 账户访问客户资源。
- 通过审批流程请求访问权限。
- 通过 Hub 账户承担临时 IAM 角色。
Hub 和租户账户中的所有操作都会记录到 CloudTrail。
监控
在租户账户中,GitLab Dedicated 使用:
- AWS GuardDuty 进行入侵检测和恶意软件扫描。
- 由 GitLab 安全事件响应团队进行的基础设施日志监控,以检测异常事件。
审计和可观察性
您可以访问应用程序日志进行审计和可观察性目的。这些日志提供了对系统活动和用户操作的洞察,帮助您监控实例并满足合规要求。
自带域名
您可以使用自己的主机名访问 GitLab Dedicated 实例。除了 tenant_name.gitlab-dedicated.com,您还可以使用您拥有的域名的主机名,例如 gitlab.my-company.com。或者,您还可以为 GitLab Dedicated 实例的捆绑容器注册表和 KAS 服务提供自定义主机名。例如,gitlab-registry.my-company.com 和 gitlab-kas.my-company.com。
添加自定义主机名以:
- 增强对品牌控制的掌控
- 避免迁移已为 GitLab 自托管实例配置的现有域
添加自定义主机名时:
- 主机名包含在用于访问您实例的外部 URL 中。
- 使用先前域名连接到您实例的任何连接将不再可用。
有关为 GitLab Dedicated 实例使用自定义主机名的更多信息,请参阅自带域名 (BYOD)。
GitLab Pages 的自定义主机名不受支持。如果您使用 GitLab Pages,访问 GitLab Dedicated 实例的 Pages 站点的 URL 将是 tenant_name.gitlab-dedicated.site。
应用
GitLab Dedicated 包含自托管 Ultimate 功能集,但有少量例外。有关更多信息,请参阅不可用功能。
高级搜索
GitLab Dedicated 使用高级搜索功能。
ClickHouse
您可以通过 ClickHouse 集成访问高级分析功能,该功能默认为符合条件的客户启用。如果您符合以下条件,则有资格:
- 您的 GitLab Dedicated 租户部署在商业 AWS 区域。不支持政府版 GitLab Dedicated。
- 您租户的主区域受 ClickHouse Cloud 支持。有关支持区域的列表,请参阅ClickHouse Cloud 支持的区域。
ClickHouse 作为 GitLab Dedicated 实例的辅助数据存储,提供高级分析功能。
您的 GitLab Dedicated 实例包括在您租户主区域中部署的 ClickHouse Cloud 数据库。 该数据库不可公开访问,通过 AWS PrivateLink 连接。 您的数据在传输和静态时使用云提供商管理的 AES 256 密钥和透明数据加密进行加密。 当您将 GitLab Dedicated 实例配置为过滤出站请求时,ClickHouse 端点地址会自动添加到允许列表中。
GitLab Dedicated 上的 ClickHouse 具有以下限制:
- 不支持自带密钥 (BYOK)。
- 不适用 SLA。恢复时间目标 (RTO) 和恢复点目标 (RPO) 尽最大努力。
GitLab Pages
您可以在 GitLab Dedicated 上使用 GitLab Pages 托管您的静态网站。域名是 tenant_name.gitlab-dedicated.site,其中 tenant_name 与您的实例 URL 相同。
GitLab Pages 的自定义域不受支持。例如,如果您添加了一个名为 gitlab.my-company.com 的自定义域,访问 GitLab Dedicated 实例的 Pages 站点的 URL 仍然是 tenant_name.gitlab-dedicated.site。
您可以使用以下方式控制对 Pages 网站的访问:
- GitLab Pages 访问控制。
- IP 允许列表。您 GitLab Dedicated 实例的任何现有 IP 允许列表都会应用。
Dedicated 的 GitLab Pages:
- 默认启用。
- 如果启用了 Geo,则仅在主站点有效。
- 不包含在迁移到 GitLab Dedicated 的实例中。
托管运行器
GitLab Dedicated 的托管运行器让您能够扩展 CI/CD 工作负载,无需维护开销。
自托管运行器
作为使用托管运行器的替代方案,您可以为 GitLab Dedicated 实例使用自己的运行器。
要使用自托管运行器,请在您拥有或管理的基础设施上安装 GitLab Runner。
OpenID Connect 和 SCIM
您可以在保持对实例的 IP 限制的同时,使用 SCIM 进行用户管理 或将 GitLab 用作 OpenID Connect 身份提供商。
要将这些功能与 IP 允许列表一起使用:
预生产环境
GitLab Dedicated 支持与生产环境配置匹配的预生产环境。您可以使用预生产环境来:
- 在生产环境中实施新功能之前测试它们。
- 在生产环境中应用配置更改之前测试它们。
预生产环境必须作为 GitLab Dedicated 订阅的附加组件购买,无需额外许可证。
可用功能:
- 灵活调整大小:匹配生产环境的大小或使用较小的参考架构。
- 版本一致性:运行与生产环境相同的 GitLab 版本。
限制:
- 仅限单区域部署。
- 无 SLA 承诺。
- 不能运行比生产环境更新的版本。
不可用功能
本节列出 GitLab Dedicated 不可用的功能。
身份验证和安全
| Feature | Description | Impact |
|---|---|---|
| LDAP authentication | Authentication using corporate LDAP/Active Directory credentials. | Must use GitLab-specific passwords or access tokens instead. |
| Smart card authentication | Authentication using smart cards for enhanced security. | Cannot use existing smart card infrastructure. |
| Kerberos authentication | Single sign-on authentication using Kerberos protocol. | Must authenticate separately to GitLab. |
| Multiple login providers | Configuration of multiple OAuth/SAML providers (Google, GitHub). | Limited to a single identity provider. |
| FortiAuthenticator/FortiToken 2FA | Two-factor authentication using Fortinet security solutions. | Cannot integrate existing Fortinet 2FA infrastructure. |
| Git clone using HTTPS with username/password | Git operations using username and password authentication over HTTPS. | Must use access tokens for Git operations. |
| Sigstore | Keyless signing and verification for software supply chain security. | Must use traditional code signing methods. |
通信和协作
| Feature | Description | Impact |
|---|---|---|
| Reply by email | Respond to GitLab notifications and discussions through email. | Must use GitLab web interface to respond. |
| Service Desk | Ticketing system for external users to create issues through email. | External users must have GitLab accounts to create issues. |
开发和 AI 功能
| Feature | Description | Impact |
|---|---|---|
| Some GitLab Duo AI capabilities | AI-powered features for code suggestions, vulnerability detection, and productivity. | Limited AI assistance for development tasks. |
| Features behind disabled feature flags | Experimental or unreleased features disabled by default. | Cannot access features in development. |
有关 AI 功能的更多信息,请参阅 GitLab Duo。
功能标志
GitLab 使用功能标志来支持新或实验性功能的开发和发布。在 GitLab Dedicated 中:
- 默认启用的功能标志背后的功能可用。
- 默认禁用的功能标志背后的功能不可用,且管理员无法启用。
默认禁用的功能标志背后的功能尚未准备好用于生产环境,因此对 GitLab Dedicated 不安全。
当功能正式发布并且标志被启用或移除时,该功能将在同一 GitLab 版本中在 GitLab Dedicated 中可用。GitLab Dedicated 遵循其自己的发布计划进行版本部署。
GitLab Pages
| Feature | Description | Impact |
|---|---|---|
| Custom domains | Host GitLab Pages sites on custom domain names. | Pages sites accessible only using tenant_name.gitlab-dedicated.site. |
| PrivateLink access | Private network access to GitLab Pages through AWS PrivateLink. | Pages sites must be accessed over public internet. |
| Namespaces in URL path | Organize Pages sites with namespace-based URL structure. | Limited URL organization options. |
| Let’s Encrypt integration | Automatic SSL certificate provisioning for Pages sites. | Must manage SSL certificates manually. |
| Reduced authentication scope | Fine-grained access controls for Pages sites. | Less flexible authentication options. |
| Running Pages behind a proxy | Deploy Pages sites behind reverse proxy configurations. | Limited deployment architecture options. |
运营功能
以下运营功能不可用:
- 默认包含的辅助站点之外的多重 Geo 辅助站点 (Geo 副本)
- Geo 代理和使用统一 URL
- 自助购买和配置
- 支持部署到非 AWS 云提供商,如 GCP 或 Azure
- Switchboard 中的可观察性仪表板
需要服务器访问的功能
以下功能需要直接服务器访问,无法配置:
| Feature | Description | Impact |
|---|---|---|
| Mattermost | Integrated team chat and collaboration platform. | Use external chat solutions. |
| Server-side Git hooks | Custom scripts that run on Git events (pre-receive, post-receive). | Use push rules or webhooks. |
Access to the underlying infrastructure is only available to GitLab team members. Due to the server-side configuration, there is a security concern with running arbitrary code on services, and the possible impact on the service SLA. As an alternative, use push rules or webhooks instead.
服务级别可用性
GitLab Dedicated 维护 99.5% 可用性的月度服务级别目标。
服务级别可用性衡量日历月份内 GitLab Dedicated 可用时间的百分比。GitLab 根据以下核心服务计算可用性:
| Service area | Included features |
|---|---|
| Web interface | GitLab issues, merge requests, CI job logs, GitLab API, Git operations over HTTPS |
| Container Registry | Registry HTTPS requests |
| Git operations | Git push, pull, and clone operations over SSH |
服务级别排除项
以下内容不包括在服务级别可用性计算中:
- 由客户配置错误导致的服务中断
- 客户或云提供商基础设施问题,超出 GitLab 控制范围
- 计划维护窗口
- 关键安全或数据问题的紧急维护
- 由自然灾害、大规模互联网中断、数据中心故障或其他超出 GitLab 控制范围的事件导致的服务中断。
迁移到 GitLab Dedicated
要将数据迁移到 GitLab Dedicated:
开始使用
有关 GitLab Dedicated 的更多信息或请求演示,请参阅 GitLab Dedicated。
有关设置 GitLab Dedicated 实例的更多信息,请参阅创建您的 GitLab Dedicated 实例。