Informationen zu Lastenausgleichsmodulen
Ein Load-Balancer-Design verwendet ein Netzwerkgerät, um den Git- und HTTP-Traffic an einzelne GitHub Enterprise Server-Appliances zu leiten. Du kannst einen Load-Balancer verwenden, um aus Sicherheitsgründen den direkten Traffic zur Appliance einzuschränken oder um den Traffic bei Bedarf weiterzuleiten, ohne dass dazu Änderungen am DNS-Eintrag erforderlich sind. Es wird dringend empfohlen, einen TCP-basierten Load-Balancer zu verwenden, der das PROXY-Protokoll unterstützt.
DNS-Nachschlagevorgänge für den GitHub Enterprise Server-Hostnamen sollten im Load-Balancer aufgelöst werden. Es wird empfohlen, dass Du die Subdomain-Isolation aktivierst. Bei aktivierter Subdomain-Isolation sollte ein zusätzlicher Platzhaltereintrag (*.HOSTNAME
) ebenfalls im Lastenausgleich aufgelöst werden. Weitere Informationen findest du unter Subdomain-Isolation aktivieren.
Clientverbindungsinformationen verarbeiten
Da Clientverbindungen zu GitHub Enterprise Server vom Load-Balancer stammen, kann die Client-IP-Adresse verloren gehen.
Wenn Dein Load-Balancer das PROXY-Protokoll unterstützen kann, wird dringend empfohlen, es zu implementieren. Wenn keine PROXY-Unterstützung verfügbar ist, kann auch mithilfe des X-Forwarded-For
-Headers der Lastenausgleich auf den HTTP- und HTTPS-Ports vorgenommen werden.
Caution
Wenn entweder die PROXY-Unterstützung oder die HTTP-Weiterleitung aktiviert ist, ist es wichtig, dass kein externer Datenverkehr die GitHub Enterprise Server-Appliances direkt erreichen kann. Wenn der externe Traffic nicht ordnungsgemäß blockiert wird, kann die IP-Quelladresse gefälscht werden.
Warning
Wenn HTTPS-Verbindungen in einem Lastenausgleich beendet werden, müssen die vom Lastenausgleich an GitHub Enterprise Server gesendeten Anforderungen ebenfalls HTTPS verwenden. Das Downgraden der Verbindung auf HTTP wird nicht unterstützt.
Aktivieren der PROXY-Protokollunterstützung auf Ihre GitHub Enterprise Server-Instance
Du solltest die PROXY-Protokollunterstützung unbedingt sowohl für deine Instanz als auch den Lastenausgleich aktivieren. Befolge die Anweisungen deines Anbieters, um das PROXY-Protokoll auf deinem Load-Balancer zu aktivieren. Weitere Informationen findest du in der PROXY-Protokolldokumentation.
Note
GitHub Enterprise Server unterstützt PROXY Protocol V1, welches nicht mit AWS Network Load Balancers kompatibel ist. Wenn du AWS Network Load Balancers mit GitHub Enterprise Server verwendest, aktiviere nicht die PROXY-Unterstützung.
-
Klicke in einem Verwaltungskonto auf GitHub Enterprise Server und dann in der rechten oberen Ecke einer beliebigen Seite auf „“.
-
Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.
-
Wähle auf der Randleiste „ Websiteadministrator“ die Option Verwaltungskonsole aus.
-
Klicken Sie in der Randleiste „Einstellungen“ auf Datenschutz, und deaktivieren Sie den Datenschutzmodus.
-
Wähle unter „Externe Lastenausgleichsmodule“ die Option Unterstützung für PROXY-Protokoll aktivieren aus.
-
Klicke auf der Randleiste unter „Einstellungen“ auf Einstellungen speichern.
Note
Durch das Speichern von Einstellungen in der Verwaltungskonsole werden Systemdienste neu gestartet, was zu einer für den Benutzer feststellbaren Downtime führen könnte.
-
Warten Sie auf den Abschluss der Konfigurationsausführung.
PROXY-Protokoll – TCP-Portzuordnungen
Quellport | Zielport | Dienstbeschreibung |
---|---|---|
22 | 23 | Git über SSH |
80 | 81 | HTTP |
443 | 444 | HTTPS |
8080 | 8081 | HTTP für Managementkonsole |
8443 | 8444 | HTTPS für Managementkonsole |
9418 | 9419 | Git |
Aktivieren der X-Forwarded-For-Protokollunterstützung auf Ihre GitHub Enterprise Server-Instance
Verwende das X-Forwarded-For
-Protokoll nur, wenn das PROXY-Protokoll nicht verfügbar ist. Der X-Forwarded-For
-Header ist nur mit HTTP und HTTPS kompatibel. Bei Git-Verbindungen über SSH wird als IP-Adresse die des Load Balancers angegeben. In einigen Umgebungen werden Client-IP-Adressen im Überwachungsprotokoll der Instanz möglicherweise fälschlicherweise als 127.0.0.1
angezeigt.
Warning
Wenn du die X-Forwarded-For
-Unterstützung für Ihre GitHub Enterprise Server-Instance und den Lastenausgleich konfigurierst, kannst du möglicherweise keine Verbindung mit der Verwaltungskonsole herstellen. Weitere Informationen finden Sie unter GitHub Enterprise Server mit einem Load-Balancer verwenden.
-
Klicke in einem Verwaltungskonto auf GitHub Enterprise Server und dann in der rechten oberen Ecke einer beliebigen Seite auf „“.
-
Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.
-
Wähle auf der Randleiste „ Websiteadministrator“ die Option Verwaltungskonsole aus.
-
Klicken Sie in der Randleiste „Einstellungen“ auf Datenschutz, und deaktivieren Sie den Datenschutzmodus.
-
Wähle unter Externe Lastenausgleichsmodule die Option HTTP X-Forwarded-For-Header zulassen aus.
-
Klicke auf der Randleiste unter „Einstellungen“ auf Einstellungen speichern.
Note
Durch das Speichern von Einstellungen in der Verwaltungskonsole werden Systemdienste neu gestartet, was zu einer für den Benutzer feststellbaren Downtime führen könnte.
-
Warten Sie auf den Abschluss der Konfigurationsausführung.
Protokoll – TCP-Portzuordnungen für die Verwendung ohne PROXY-Unterstützung
Quellport | Zielport | Dienstbeschreibung |
---|---|---|
22 | 22 | Git über SSH |
25 | 25 | SMTP |
80 | 80 | HTTP |
443 | 443 | HTTPS |
8080 | 8080 | HTTP für Managementkonsole |
8443 | 8443 | HTTPS für Managementkonsole |
Zustandsprüfungen konfigurieren
Zustandsprüfungen ermöglichen einem Load-Balancer, das Senden von Traffic an einen nicht antwortenden Knoten zu stoppen, wenn eine vorkonfigurierte Prüfung auf diesem Knoten fehlschlägt. Wenn die Instanz aufgrund einer Wartung oder eines unerwarteten Ausfalls offline ist, kann der Lastenausgleich eine Statusseite anzeigen. In einer Hochverfügbarkeitskonfiguration (HA) kann ein Load-Balancer als Bestandteil einer Failover-Strategie verwendet werden. Das automatische Failover von HA-Paaren wird jedoch nicht unterstützt. Du musst die Replikatinstanz manuell hochstufen, bevor sie Anforderungen verarbeitet. Weitere Informationen finden Sie unter Konfigurieren von Hochverfügbarkeit.
Konfiguriere den Lastenausgleich, um die folgende URL zu überprüfen.
http(s)://HOSTNAME/status
Der Endpunkt gibt den Statuscode 200
(OK) zurück, wenn der Knoten fehlerfrei ist und zum Beantworten von Endbenutzeranforderungen verfügbar ist. Weitere Informationen findest du unter Überwachen einer Hochverfügbarkeitskonfiguration.
Note
Wenn sich die Anwendung im Wartungsmodus befindet, gibt die URL https://HOSTNAME/status
den Statuscode 503
(Service nicht erreichbar) zurück. Weitere Informationen findest du unter Wartungsmodus aktivieren und planen.
Problembehandlung bei der Konnektivität über einen Lastenausgleich
Wenn du auf Ihre GitHub Enterprise Server-Instance über einen Lastenausgleich keine Verbindung mit Diensten herstellen kannst, kannst du die folgenden Informationen überprüfen, um das Problem zu behandeln.
Note
Teste Änderungen an deiner Netzwerkinfrastruktur und Instanzkonfiguration immer in einer Stagingumgebung. Weitere Informationen finden Sie unter Testinstanz einrichten.
Fehler: „Deine Sitzung ist abgelaufen“ für Verbindungen mit der Verwaltungskonsole
Wenn du die Unterstützung für den X-Forwarded-For
-Header für deine Instanz und den Lastenausgleich aktivierst, kannst du möglicherweise nicht auf die Verwaltungskonsole deiner Instanz zugreifen. Weitere Informationen zur Verwaltungskonsole und zu den für Verbindungen erforderlichen Ports findest du unter Verwalten Ihrer Instanz über die Web-Benutzeroberfläche und Netzwerkports.
Wenn Ihre GitHub Enterprise Server-Instance angibt, dass deine Sitzung abgelaufen ist, wenn du eine Verbindung mit der Verwaltungskonsole über einen Lastenausgleich herstellst, probiere eine der folgenden Konfigurationen für den Lastenausgleich aus.
- Deaktiviere
X-Forwarded-For
-Header für Verbindungen mit deiner Instanz an Ports 8080 und 8443. - Konfiguriere deinen Lastenausgleich so, dass er auf Schicht 4 ausgeführt wird, und verwende das PROXY-Protokoll anstelle von
X-Forwarded-For
für das Passthrough von Client-IP-Adressen. Weitere Informationen findest du unter Aktivieren der PROXY-Protokollunterstützung in Ihre GitHub Enterprise Server-Instance.
Weitere Informationen findest du in der Dokumentation für den Lastenausgleich.
Liveupdates für Probleme und Überprüfungsausführungen funktionieren nicht
Wenn über einen Lastenausgleich oder Reverseproxy auf Ihre GitHub Enterprise Server-Instance zugegriffen wird, werden erwartete Liveupdates, z. B. neue Kommentare zu Problemen und Änderungen an Infobadges oder Ausgabe der Überprüfungsausführung, möglicherweise erst angezeigt, wenn die Seite aktualisiert wird. Dies ist am häufigsten der Fall, wenn der Reverseproxy oder Lastenausgleich in einem Schicht 7-Modus ausgeführt oder das erforderliche Websocket-Protokoll nicht unterstützt wird.
Um Liveupdates zu aktivieren, musst du möglicherweise den Lastenausgleich oder Proxy neu konfigurieren. Weitere Informationen findest du in der Dokumentation für den Lastenausgleich.