Настройка групп безопасности и ограничение доступа к инстансу Managed Service for GitLab
Правила группы безопасности определяют:
- для каких IP-адресов доступен инстанс, в том числе доступен ли он из интернета;
- по какому протоколу можно работать с Git-репозиториями в инстансе GitLab: SSH или HTTPS;
- какой сертификат можно использовать при работе по HTTPS: сертификат Let's Encrypt
(по умолчанию) или собственный сертификат ; - выделен ли доступ к GitLab Container Registry
.
Важно
От настройки группы безопасности зависит работоспособность и доступность инстанса Managed Service for GitLab.
Чтобы настроить группу безопасности инстанса Managed Service for GitLab:
- Добавьте в имеющуюся группу безопасности правила для входящего и исходящего трафика или создайте новую группу с указанными правилами.
- Примените группу безопасности к инстансу GitLab при создании или изменении.
Если к инстансу не привязать отдельную группу безопасности, к нему применится группа, созданная по умолчанию в сети инстанса. Правила этой группы безопасности, добавленные для других сервисов, влияют на доступ к инстансу GitLab.
Если у вас возникли проблемы с настройкой группы безопасности, обратитесь в техническую поддержку
Правила для входящего трафика
Зачем нужно правило |
Настройки правила |
Для работы с Git-репозиториями по протоколу SSH. |
|
Для работы с Git-репозиториями по протоколу HTTPS. |
|
Для использования сертификата Let's Encrypt. Такой сертификат используется по умолчанию |
|
Для создания резервных копий инстанса. |
|
Для проверки доступности ресурсов сетевым балансировщиком. |
|
Для подключения к GitLab Container Registry. |
|
Правила для исходящего трафика
Managed Service for GitLab использует для работы внешние ресурсы. Если в группе безопасности инстанса вы ограничили исходящий трафик, инстанс может работать некорректно. Чтобы избежать этого, добавьте в группу безопасности следующие правила:
Зачем нужно правило |
Настройки правила |
Для использования сертификата Let's Encrypt. |
|
Для создания резервных копий инстанса. |
|
Для запросов в службу метаданных при обновлении инстанса. |
|
Для запросов в службу DNS. |
|
Для запросов к NTP-серверам для поддержки двухфакторной аутентификации. |
|
Для доступа к воркерам под управлением раннера, созданного с помощью консоли управления. |
|