静的オブジェクト用の外部ストレージ
GitLab 12.3 で導入されました。
GitLabは、リポジトリの静的オブジェクト(例えばアーカイブや生のblob)をコンテンツデリバリーネットワーク(CDN)のような外部ストレージから提供するように設定することができます。
設定
静的オブジェクトの外部ストレージを設定するには
- 管理エリア > 設定 >リポジトリに移動します。
- リポジトリの静的オブジェクトセクションを展開します。
- ベースURLと任意のトークンを入力します。外部ストレージを設定する際には、これらの値を
ORIGIN_HOSTNAMEとSTORAGE_TOKENとして使用するスクリプトを使用します。
トークンは外部ストレージからのリクエストを区別するために必要で、ユーザーが外部ストレージを回避して直接アプリケーションにアクセスしないようにします。トークンは外部ストレージからのリクエストのX-Gitlab-External-Storage-Token ヘッダに設定されることが期待されます。
非公開静的オブジェクトの提供
GitLabは非公開プロジェクトに属する静的オブジェクトのURLに対してユーザ固有のトークンを付加し、外部ストレージがユーザの代理として認証されるようにします。 外部ストレージから発信されたリクエストを処理する際、GitLabはtoken クエリパラメータまたはX-Gitlab-Static-Object-Token ヘッダでトークンを探し、要求されたオブジェクトにユーザがアクセスできるかどうかをチェックします。
リクエストフロー例
次の例は、ユーザー、GitLab、CDN 間のリクエストとレスポンスのシーケンスを示しています:
sequenceDiagram
User->>GitLab: GET /project/-/archive/master.zip
GitLab->>User: 302 Found
Note over User,GitLab: Location: https://cdn.com/project/-/archive/master.zip?token=secure-user-token
User->>CDN: GET /project/-/archive/master.zip?token=secure-user-token
alt object not in cache
CDN->>GitLab: GET /project/-/archive/master.zip
Note over CDN,GitLab: X-Gitlab-External-Storage-Token: secure-cdn-token
X-Gitlab-Static-Object-Token: secure-user-token GitLab->>CDN: 200 OK CDN->>User: master.zip else object in cache CDN->>GitLab: GET /project/-/archive/master.zip Note over CDN,GitLab: X-Gitlab-External-Storage-Token: secure-cdn-token
X-Gitlab-Static-Object-Token: secure-user-token
If-None-Match: etag-value GitLab->>CDN: 304 Not Modified CDN->>User: master.zip end
X-Gitlab-Static-Object-Token: secure-user-token GitLab->>CDN: 200 OK CDN->>User: master.zip else object in cache CDN->>GitLab: GET /project/-/archive/master.zip Note over CDN,GitLab: X-Gitlab-External-Storage-Token: secure-cdn-token
X-Gitlab-Static-Object-Token: secure-user-token
If-None-Match: etag-value GitLab->>CDN: 304 Not Modified CDN->>User: master.zip end
外部ストレージの設定
この手順では外部ストレージにCloudFlare Workersを使用していますが、他のCDNやFaaS(Function as a Service)システムも同じ原理で動作するはずです。
- CloudFlare Worker ドメインを選択します。
-
以下のスクリプトでは、最初の2つの定数に以下の値を設定します:
-
ORIGIN_HOSTNAMEGitLab インストールのホスト名。 -
STORAGE_TOKEN: 任意のセキュアトークン (例えば、UNIXマシンでpwgen -cn1 64を実行することで取得できます)。 このトークンは、設定のセクションで説明したように、管理パネル用に保存してください。const ORIGIN_HOSTNAME = 'gitlab.installation.com' // FIXME: SET CORRECT VALUE const STORAGE_TOKEN = 'very-secure-token' // FIXME: SET CORRECT VALUE const CACHE_PRIVATE_OBJECTS = false const CORS_HEADERS = { 'Access-Control-Allow-Origin': '*', 'Access-Control-Allow-Methods': 'GET, HEAD, OPTIONS', 'Access-Control-Allow-Headers': 'X-Csrf-Token, X-Requested-With', } self.addEventListener('fetch', event => event.respondWith(handle(event))) async function handle(event) { try { let response = await verifyAndHandle(event); // responses returned from cache are immutable, so we recreate them // to set CORS headers response = new Response(response.body, response) response.headers.set('Access-Control-Allow-Origin', '*') return response } catch (e) { return new Response('An error occurred!', {status: e.statusCode || 500}) } } async function verifyAndHandle(event) { if (!validRequest(event.request)) { return new Response(null, {status: 400}) } if (event.request.method === 'OPTIONS') { return handleOptions(event.request) } return handleRequest(event) } function handleOptions(request) { // Make sure the necessary headers are present // for this to be a valid pre-flight request if ( request.headers.get('Origin') !== null && request.headers.get('Access-Control-Request-Method') !== null && request.headers.get('Access-Control-Request-Headers') !== null ) { // Handle CORS pre-flight request return new Response(null, { headers: CORS_HEADERS, }) } else { // Handle standard OPTIONS request return new Response(null, { headers: { Allow: 'GET, HEAD, OPTIONS', }, }) } } async function handleRequest(event) { let cache = caches.default let url = new URL(event.request.url) let static_object_token = url.searchParams.get('token') let headers = new Headers(event.request.headers) url.host = ORIGIN_HOSTNAME url = normalizeQuery(url) headers.set('X-Gitlab-External-Storage-Token', STORAGE_TOKEN) if (static_object_token !== null) { headers.set('X-Gitlab-Static-Object-Token', static_object_token) } let request = new Request(url, { headers: headers }) let cached_response = await cache.match(request) let is_conditional_header_set = headers.has('If-None-Match') if (cached_response) { return cached_response } // We don't want to override If-None-Match that is set on the original request if (cached_response && !is_conditional_header_set) { headers.set('If-None-Match', cached_response.headers.get('ETag')) } let response = await fetch(request, { headers: headers, redirect: 'manual' }) if (response.status == 304) { if (is_conditional_header_set) { return response } else { return cached_response } } else if (response.ok) { response = new Response(response.body, response) // cache.put will never cache any response with a Set-Cookie header response.headers.delete('Set-Cookie') if (CACHE_PRIVATE_OBJECTS) { response.headers.delete('Cache-Control') } event.waitUntil(cache.put(request, response.clone())) } return response } function normalizeQuery(url) { let searchParams = url.searchParams url = new URL(url.toString().split('?')[0]) if (url.pathname.includes('/raw/')) { let inline = searchParams.get('inline') if (inline == 'false' || inline == 'true') { url.searchParams.set('inline', inline) } } else if (url.pathname.includes('/-/archive/')) { let append_sha = searchParams.get('append_sha') let path = searchParams.get('path') if (append_sha == 'false' || append_sha == 'true') { url.searchParams.set('append_sha', append_sha) } if (path) { url.searchParams.set('path', path) } } return url } function validRequest(request) { let url = new URL(request.url) let path = url.pathname if (/^(.+)(\/raw\/|\/-\/archive\/)/.test(path)) { return true } return false }
-
- このスクリプトで新しいワーカーを作成します。
-
ORIGIN_HOSTNAMEとSTORAGE_TOKENの値をコピーします。これらの値を使用して、静的オブジェクトの外部ストレージを構成します。
