راه‌اندازی سرور GitLab - نسخه 17.11.5

پروژه: استقرار GitLab با امنیت بالا و معماری CI/CD ایزوله شده نسخه مورد نیاز: GitLab 17.11.5 (بحرانی - از نسخه‌های قدیمی‌تر به دلیل آسیب‌پذیری‌های امنیتی استفاده نکنید) نمای کلی معماری دو سرور جداگانه: سرور 1: GitLab اصلی (مخزن کد) - 8 vCPU، 16GB RAM، 200GB SSD سرور 2: GitLab Runner (فقط CI/CD) - 4 vCPU، 16GB RAM، 100GB SSD الزامات اصلی 1. زیرساخت (مخصوص Hetzner) استقرار هر دو سرور در Hetzner Cloud استفاده از شبکه خصوصی Hetzner برای ارتباط بین سرورها پیکربندی Hetzner Cloud Firewall + UFW در هر سرور راه‌اندازی پشتیبان‌گیری خودکار Hetzner برای سرور اصلی قابلیت بازسازی سریع برای سرور runner 2. کنترل دسترسی و امنیت شبکه سرور اصلی: فقط از IP های توسعه‌دهندگان قابل دسترسی سرور Runner: فقط از IP های تیم DevOps قابل دسترسی عدم دسترسی SSH بین سرورها پیکربندی fail2ban در هر دو سرور غیرفعال کردن احراز هویت با رمز عبور - فقط کلیدهای SSH استفاده از پورت‌های SSH غیراستاندارد 3. سرور 1: GitLab اصلی (ذخیره‌سازی کد) نصب GitLab 17.11.5 با ویژگی‌های CI/CD غیرفعال هیچ runner در این سرور ثبت نشده توسعه‌دهندگان دسترسی کامل به کد/مخازن دارند DevOps هیچ دسترسی ندارد (به جز API token برای pipeline ها) فعال‌سازی اجباری 2FA برای همه کاربران پیکربندی لیست مجاز IP فقط برای توسعه‌دهندگان راه‌اندازی audit logging برای تمام دسترسی‌های کد 4. سرور 2: GitLab Runner (اجرای CI/CD) نصب فقط GitLab Runner (نه GitLab کامل) پیکربندی Docker executor برای ایزوله‌سازی job ها تیم DevOps این سرور را مدیریت می‌کند بدون قابلیت مرور مخازن پاکسازی خودکار پس از اجرای job دسترسی اینترنت خروجی محدود 5. پیکربندی امنیتی HTTPS اجباری با Let's Encrypt cipher suite های قوی (فقط TLS 1.2+) محدودیت نرخ برای API و احراز هویت انقضای توکن container registry متغیرهای امن CI/CD شاخه‌های محافظت شده و قوانین تأیید 6. سخت‌سازی سیستم Ubuntu 22.04 LTS در هر دو سرور به‌روزرسانی‌های منظم OS فعال‌سازی SELinux/AppArmor پیاده‌سازی CIS benchmark چرخش لاگ و مانیتورینگ عدم دسترسی مستقیم root 7. استراتژی پشتیبان‌گیری پشتیبان‌گیری خودکار روزانه GitLab (سرور اصلی) تکرار خارج از سایت به Hetzner Storage Box سرور Runner: فقط پشتیبان‌گیری پیکربندی تست ماهانه رویه‌های بازیابی تخصص‌های مورد نیاز پلتفرم Hetzner: Cloud API، قوانین Firewall، شبکه‌های خصوصی، Storage Box مدیریت GitLab: نصب، معماری توزیع شده، پیکربندی runner امنیت Linux: سخت‌سازی، مدیریت firewall، SELinux/AppArmor امنیت Container: سخت‌سازی Docker برای ایزوله‌سازی runner امنیت شبکه: IP whitelisting، شبکه‌های خصوصی، امنیت API مزایای امنیتی کلیدی ایزوله‌سازی کامل کد از تیم DevOps توسعه‌دهندگان نمی‌توانند به زیرساخت دسترسی داشته باشند جداسازی واضح وظایف ردپای audit برای همه فعالیت‌ها کاهش سطح حمله تحویل‌دادنی‌ها دو سرور کاملاً پیکربندی شده (GitLab اصلی + Runner) گزارش ممیزی امنیتی مستندات شامل: نمودار شبکه و قوانین firewall رویه‌های پشتیبان‌گیری/بازیابی رویه‌های به‌روزرسانی ماتریس کنترل دسترسی داشبوردهای مانیتورینگ برای هر دو سرور اسکریپت‌های اتوماسیون برای استقرار چک‌لیست امنیتی بحرانی لیست‌های مجاز IP در هر دو سرور پیکربندی و تست شده CI/CD در سرور اصلی GitLab غیرفعال شده Runner با مجوزهای محدود ثبت شده همه رمزهای عبور پیش‌فرض تغییر یافته 2FA برای حساب‌های admin فعال شده SSL/TLS به درستی پیکربندی شده رمزنگاری پشتیبان‌گیری فعال شده عدم دسترسی SSH بین سرورها fail2ban در هر دو سرور پیکربندی شده audit logging فعال شده نکته مهم: این معماری جداسازی واقعی بین دسترسی کد (توسعه‌دهندگان) و دسترسی زیرساخت (DevOps) را فراهم می‌کند. مهندس انتخاب شده باید تجربه قبلی در موارد زیر را نشان دهد: استقرارهای GitLab در محیط production پیکربندی‌های ایزوله‌سازی GitLab runner زیرساخت Hetzner محیط‌های Linux با امنیت سخت‌سازی شده درخواست نمونه کار/رفرنس به‌ویژه در زمینه معماری‌های توزیع شده GitLab.