GitHub Enterprise Server mit einem Load-Balancer verwenden
Verwende einen Lastenausgleich vor einer einzelnen GitHub Enterprise Server-Instanz oder in einer Hochverfügbarkeitskonfiguration vor einem Paar von Instanzen.
Verwende einen Lastenausgleich.
Informationen zu Lastenausgleichsmodulen
Ein Load-Balancer-Design verwendet ein Netzwerkgerät, um den Git- und HTTP-Traffic an einzelne GitHub Enterprise Server-Appliances zu leiten. Du kannst einen Load-Balancer verwenden, um aus Sicherheitsgründen den direkten Traffic zur Appliance einzuschränken oder um den Traffic bei Bedarf weiterzuleiten, ohne dass dazu Änderungen am DNS-Eintrag erforderlich sind. Es wird dringend empfohlen, einen TCP-basierten Load-Balancer zu verwenden, der das PROXY-Protokoll unterstützt.
DNS-Nachschlagevorgänge für den GitHub Enterprise Server-Hostnamen sollten im Load-Balancer aufgelöst werden. Es wird empfohlen, dass Du die Subdomain-Isolation aktivierst. Bei aktivierter Subdomain-Isolation sollte ein zusätzlicher Platzhaltereintrag (*.HOSTNAME
) ebenfalls im Lastenausgleich aufgelöst werden. Weitere Informationen findest du unter Subdomain-Isolation aktivieren.
Clientverbindungsinformationen verarbeiten
Da Clientverbindungen zu GitHub Enterprise Server vom Load-Balancer stammen, kann die Client-IP-Adresse verloren gehen.
Wenn Dein Load-Balancer das PROXY-Protokoll unterstützen kann, wird dringend empfohlen, es zu implementieren. Wenn keine PROXY-Unterstützung verfügbar ist, kann auch mithilfe des X-Forwarded-For
-Headers der Lastenausgleich auf den HTTP- und HTTPS-Ports vorgenommen werden.
Sicherheitswarnung: Wenn entweder die PROXY-Unterstützung oder die HTTP-Weiterleitung aktiviert ist, ist es von entscheidender Bedeutung, dass kein externer Datenverkehr die GitHub Enterprise Server-Appliances direkt erreichen kann. Wenn der externe Traffic nicht ordnungsgemäß blockiert wird, kann die IP-Quelladresse gefälscht werden.
Warnung: Wenn HTTPS-Verbindungen in einem Lastenausgleich beendet werden, müssen die vom Lastenausgleich an GitHub Enterprise Server gesendeten Anforderungen ebenfalls HTTPS verwenden. Das Downgraden der Verbindung auf HTTP wird nicht unterstützt.
Du solltest die PROXY-Protokollunterstützung unbedingt sowohl für deine Instanz als auch den Lastenausgleich aktivieren.
Befolge die Anweisungen deines Anbieters, um das PROXY-Protokoll auf deinem Load-Balancer zu aktivieren. 3. Weitere Informationen findest du in der PROXY-Protokolldokumentation.
Hinweis: GitHub Enterprise Server unterstützt PROXY Protocol V1, welches nicht mit AWS Network Load Balancers kompatibel ist. Wenn du AWS Network Load Balancers mit GitHub Enterprise Server verwendest, aktiviere nicht die PROXY-Unterstützung.
- Klicke in einem Verwaltungskonto auf GitHub Enterprise Server und dann in der rechten oberen Ecke einer beliebigen Seite auf „“.
- Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator. 1. Wähle auf der Randleiste „ Websiteadministrator“ die Option Verwaltungskonsole aus. 1. Klicke auf der Randleiste unter „Einstellungen“ auf Datenschutz.
Wähle unter Externe Lastenausgleichsmodule die Option Unterstützung für PROXY-Protokoll aktivieren aus.
Hinweis: Durch das Speichern von Einstellungen in der Verwaltungskonsole werden Systemdienste neu gestartet, was zu einer für den Benutzer feststellbaren Downtime führen könnte.
- Warten Sie auf den Abschluss der Konfigurationsausführung.
PROXY-Protokoll – TCP-Portzuordnungen
Quellport | Zielport | Dienstbeschreibung |
---|---|---|
22 | 23 | Git über SSH |
80 | 81 | HTTP |
443 | 444 | HTTPS |
8080 | 8081 | HTTP für Managementkonsole |
8443 | 8444 | HTTPS für Managementkonsole |
9418 | 9419 | Git |
Aktivieren der X-Forwarded-For-Protokollunterstützung auf deine GitHub Enterprise Server-Instanz Verwende das X-Forwarded-For-Protokoll nur, wenn das PROXY-Protokoll nicht verfügbar ist. Der X-Forwarded-For
-Header funktioniert nur mit HTTP und HTTPS. Die für Git-Verbindungen über SSH gemeldete IP-Adresse zeigt die Load-Balancer-IP.
Warnung: Wenn du die X-Forwarded-For
-Unterstützung für deine GitHub Enterprise Server-Instanz und Lastenausgleich konfigurierst, kannst du möglicherweise keine Verbindung mit der Verwaltungskonsole herstellen.
3. Weitere Informationen findest du unter Fehler: „Deine Sitzung ist abgelaufen“ für Verbindungen mit der Verwaltungskonsole.
- Klicke in einem Verwaltungskonto auf GitHub Enterprise Server und dann in der rechten oberen Ecke einer beliebigen Seite auf „“.
- Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator. 1. Wähle auf der Randleiste „ Websiteadministrator“ die Option Verwaltungskonsole aus. 1. Klicke auf der Randleiste unter „Einstellungen“ auf Datenschutz.
Wähle unter Externe Lastenausgleichsmodule die Option HTTP X-Forwarded-For-Header zulassen aus.
Hinweis: Durch das Speichern von Einstellungen in der Verwaltungskonsole werden Systemdienste neu gestartet, was zu einer für den Benutzer feststellbaren Downtime führen könnte.
- Warten Sie auf den Abschluss der Konfigurationsausführung. ### Protokoll – TCP-Portzuordnungen für die Verwendung ohne PROXY-Unterstützung
Quellport | Zielport | Dienstbeschreibung |
---|---|---|
22 | 22 | Git über SSH |
25 | 25 | SMTP |
80 | 80 | HTTP |
443 | 443 | HTTPS |
8080 | 8080 | HTTP für Managementkonsole |
8443 | 8443 | HTTPS für Managementkonsole |
Das automatische Failover von HA-Paaren wird jedoch nicht unterstützt.
Du musst die Replikatinstanz manuell hochstufen, bevor sie Anforderungen verarbeitet.
Weitere Informationen findest du unter Konfigurieren von GitHub Enterprise Server für Hochverfügbarkeit.
Konfiguriere den Load-Balancer, um eine der folgenden URLs zu überprüfen:
https://HOSTNAME/status
wenn HTTPS aktiviert ist (Standard)http://HOSTNAME/status
wenn HTTPS deaktiviert ist
Bei der Überprüfung wird der Statuscode 200
(OK) zurückgegeben, wenn der Knoten fehlerfrei ist und zum Beantworten von Endbenutzeranforderungen verfügbar ist.
Hinweis: Wenn sich die Appliance im Wartungsmodus befindet, gibt die URL https://HOSTNAME/status
den Statuscode 503
(Dienst nicht verfügbar) zurück. Weitere Informationen findest du unter Wartungsmodus aktivieren und planen.
Problembehandlung bei der Konnektivität über einen Lastenausgleich Wenn du auf deine GitHub Enterprise Server-Instanz über einen Lastenausgleich keine Verbindung mit Diensten herstellen kannst, kannst du die folgenden Informationen überprüfen, um das Problem zu behandeln.
Hinweis: Teste in einer Stagingumgebung immer Änderungen an deiner Netzwerkinfrastruktur und Instanzkonfiguration.
Weitere Informationen findest du unter Einrichten einer Staginginstanz.
Fehler: „Deine Sitzung ist abgelaufen“ für Verbindungen mit der Verwaltungskonsole
- Wenn du die Unterstützung für den
X-Forwarded-For
-Header für deine Instanz und den Lastenausgleich aktivierst, kannst du möglicherweise nicht auf die Verwaltungskonsole deiner Instanz zugreifen. - Weitere Informationen zur Verwaltungskonsole und den für die Verbindungen erforderlichen Ports findest du unter Verwalten der Instanz über die Verwaltungskonsole und Netzwerkports. Wenn deine GitHub Enterprise Server-Instanz angibt, dass deine Sitzung abgelaufen ist, wenn du eine Verbindung mit der Verwaltungskonsole über einen Lastenausgleich herstellst, probiere eine der folgenden Konfigurationen für den Lastenausgleich aus.
Deaktiviere X-Forwarded-For
-Header für Verbindungen mit deiner Instanz an Ports 8080 und 8443.
Konfiguriere deinen Lastenausgleich so, dass er auf Schicht 4 ausgeführt wird, und verwende das PROXY-Protokoll anstelle von X-Forwarded-For
für das Passthrough von Client-IP-Adressen.
Weitere Informationen findest du unter Aktivieren der PROXY-Protokollunterstützung auf deine GitHub Enterprise Server-Instanz. Weitere Informationen findest du in der Dokumentation für den Lastenausgleich.
Liveupdates für Probleme und Überprüfungsausführungen funktionieren nicht Wenn über einen Lastenausgleich oder Reverseproxy auf deine GitHub Enterprise Server-Instanz zugegriffen wird, werden erwartete Liveupdates, z. B. neue Kommentare zu Problemen und Änderungen an Infobadges oder Ausgabe der Überprüfungsausführung, möglicherweise erst angezeigt, wenn die Seite aktualisiert wird.