depaula/workshop
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

refactor: migrar GitLab → Gitea (aulas 10, 11, 13)

Browse Source 
- Aula 10: Gitea + Registry + Actions + Runner (substituiu GitLab)
  - gitea-values.yaml: PostgreSQL standalone, Valkey standalone, ~800Mi RAM
  - setup.sh/cleanup.sh: namespace gitea, Helm gitea-charts/gitea + actions
  - README.md: documentação completa com de→para (GitLab/Harbor/Tekton vs Gitea)

- Aula 11: ArgoCD (GitOps) — removido GitLab Runner (runner vive na aula-10)
  - setup.sh: só ArgoCD, integração SSH com Gitea
  - node-bugado/.gitea/workflows/ci.yml: pipeline convertida

- Aula 13: Container Factory — atualizado para Gitea
  - setup.sh/cleanup.sh: referências GitLab → Gitea
  - pipelines/postgresql/ci.yml: Gitea Actions workflow
  - README.md: conexão com act_runner explicada

- CLAUDE.md: tabela de aulas atualizada
This commit is contained in:
ArgoCD Setup
2026-03-14 01:44:30 -03:00
parent ff7af56c30
commit d380cd8585
35 changed files with 3374 additions and 1202 deletions
Download Patch File Download Diff File Expand all files Collapse all files

523
aula-10/README.md
View File

@@ -1,49 +1,127 @@
# Aula 10 - GitLab via Helm (Cluster Hetzner Cloud)
# Aula 10 - Plataforma de Desenvolvimento (Gitea)
Deploy do GitLab em Kubernetes usando Helm chart oficial, com Container Registry, SSH e TLS configurável.
Git Server + Container Registry + CI/CD Runner — tudo num único deploy.
## Por que esta aula existe
Nas aulas anteriores construímos um cluster Kubernetes na Hetzner com autoscaling, ingress e storage. Agora precisamos de uma **plataforma de desenvolvimento** para:
1. **Hospedar código** (Git)
2. **Armazenar imagens Docker** (Container Registry)
3. **Automatizar builds e deploys** (CI/CD)
Normalmente, isso exigiria 3 ferramentas separadas. Nesta aula, mostramos como o Gitea entrega as 3 em um único binário.
## Por que Gitea (e não GitLab, Harbor, Tekton)?
A escolha de ferramentas é uma decisão de arquitetura. No ecossistema Kubernetes, existem opções especializadas para cada peça:
### De → Para
| Função | Opção "Enterprise" | O que usamos | Por quê |
|--------|-------------------|--------------|---------|
| **Git Server** | GitLab CE/EE | **Gitea** | GitLab pede ~5Gi RAM, 8 pods, 2 nodes. Gitea pede ~500Mi, 1 pod, 1 node. |
| **Container Registry** | Harbor | **Gitea (integrado)** | Harbor é um projeto separado (~1Gi RAM, PostgreSQL, Redis, storage backend). Gitea já tem registry OCI embutido. |
| **CI/CD** | Tekton / GitLab CI | **Gitea Actions** | Tekton é poderoso mas complexo (CRDs, pipelines, tasks, triggers — curva de aprendizado alta). Gitea Actions usa sintaxe GitHub Actions, que a maioria já conhece. |
### A conta fecha assim
```
Abordagem "enterprise" (GitLab + Harbor + Tekton):
GitLab: ~5Gi RAM, 8 pods, 40Gi storage, 2 nodes ($12.92/mês)
Harbor: ~1Gi RAM, 5 pods, 20Gi storage ($5/mês)
Tekton: ~512Mi RAM, 4 CRDs, curva de aprendizado
Total: ~6.5Gi RAM, 17+ pods (~$18/mês)
Abordagem Gitea (tudo integrado):
Gitea: ~500Mi RAM, 3 pods, 21Gi storage, 1 node ($7.41/mês)
Total: ~500Mi RAM, 3 pods (~$7/mês)
```
**Para um workshop com cluster pequeno na Hetzner (CAX11 com 4GB RAM), a conta não fecha com a abordagem enterprise.**
### Mas e a sintaxe do CI?
Esse é o ponto decisivo. Gitea Actions usa **sintaxe GitHub Actions** — o padrão de fato da indústria:
```yaml
# .gitea/workflows/ci.yml — mesma sintaxe do GitHub Actions
name: Build
on: [push]
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- run: docker build -t minha-app .
```
Se você sabe GitHub Actions, sabe Gitea Actions. Se você sabe Gitea Actions, sabe GitHub Actions. Tekton tem sua própria DSL (PipelineRun, TaskRun, etc.) que não transfere pra nenhuma outra plataforma.
### Comparação visual: GitLab vs Gitea
| | GitLab | Gitea |
|---|---|---|
| **RAM** | ~5 Gi (request) | ~500 Mi |
| **Pods** | 8 (webservice, sidekiq, gitaly, shell, postgres, redis, minio, registry) | 3 (gitea, postgresql, valkey) |
| **Storage** | 40 Gi (4 PVCs) | 21 Gi (3 PVCs) |
| **Nodes mínimos** | 2 (antiAffinity webservice/sidekiq) | 1 |
| **Install time** | 10-15 min | 2-3 min |
| **CI Syntax** | `.gitlab-ci.yml` (proprietária) | `.gitea/workflows/*.yml` (GitHub Actions) |
| **Registry** | Componente separado (+ MinIO/S3) | Integrado (OCI nativo) |
| **Runner** | `gitlab-runner` (Helm chart separado) | `act_runner` (Helm chart separado) |
## Arquitetura
```
Hetzner LoadBalancer
┌───────────────────┼───────────────────
│ │
:80/:443 :22
│ │
▼ ▼
┌───────────────┐ ┌─────────────┐
│ NGINX Ingress │ │ TCP Service │
└───────┬───────┘ └──────┬──────┘
│ │
▼ ▼
┌─────────────────────────────────────────┐
GitLab (namespace: gitlab) │
│ ┌──────────┐ ┌────────┐ ┌─────────┐ │ │
│ │Webservice│ │Sidekiq │ │ Shell │◄─┼─────┘
│ │ (Rails) │ │ (Jobs) │ │ (SSH) │ │
│ └────┬─────┘ └───┬────┘ └─────────┘ │
│ │ │ │
│ ┌────▼────────────▼────┐ │
│ │ Gitaly │ │
│ │ (Git Storage) │ │
│ └──────────────────────┘ │
┌───────────────────┼──────────────┐
│ │ │
:80/:443 :22 │
│ │ │
▼ ▼ │
┌───────────────┐ ┌─────────────┐ │
│ NGINX Ingress │ │ TCP Service │ │
└───────┬───────┘ └──────┬──────┘ │
│ │ │
▼ ▼ │
┌─────────────────────────────────────────
Namespace: gitea
│ │
│ ┌──────────┐ ┌───────┐
│ │PostgreSQL│ │ Redis │
│ │ (10Gi) │ │(10Gi) │ │
└──────────┘ └───────┘
└──────────────┬──────────────────────────┘
┌─────────────────────┐
│ Hetzner Object
Storage (S3)
│ - uploads │
- artifacts │
│ - registry images │
│ - lfs objects │
└─────────────────────┘
│ ┌─────────────────────────────────┐
│ │ Gitea Pod
│ │ Web UI + API + Git + SSH │◄────┘
│ Container Registry (OCI)
│ │ Gitea Actions (habilitado) │
└──────────────┬──────────────────┘
┌──────────────┼──────────────┐
│ │ │
▼ ▼
│ PostgreSQL Valkey act_runner
(10Gi) (1Gi) + DinD
│ (builds Docker)
└──────────────────────────────────────────┘
```
### O act_runner em detalhe
O runner é instalado como um **StatefulSet** com 2 containers:
| Container | O que faz |
|-----------|-----------|
| `act-runner` | Conecta ao Gitea, escuta por jobs, executa workflows |
| `dind` (Docker-in-Docker) | Daemon Docker privilegiado — permite `docker build` e `docker push` dentro dos workflows |
Quando você faz `git push` num repo que tem `.gitea/workflows/ci.yml`, o fluxo é:
```
git push → Gitea recebe → act_runner detecta workflow
→ Runner cria container temporário
→ Executa steps (checkout, build, push)
→ Imagem vai pro Gitea Container Registry
→ Kubernetes puxa a imagem no deploy
```
## Pré-requisitos
@@ -51,40 +129,37 @@ Deploy do GitLab em Kubernetes usando Helm chart oficial, com Container Registry
1. **Cluster Talos na Hetzner** (aula-08) com:
- Hetzner CSI Driver (StorageClass: hcloud-volumes)
- NGINX Ingress Controller com LoadBalancer
2. **Hetzner Object Storage** (bucket + credenciais):
- Criar bucket em: https://console.hetzner.cloud → Object Storage
- Gerar Access Key e Secret Key
3. **kubectl** instalado
4. **Helm** 3.x instalado
## Contexto do Cluster
Esta aula usa o cluster Kubernetes provisionado na **aula-08**. O `kubeconfig` foi gerado automaticamente pelo OpenTofu.
```bash
# Verificar se o cluster está acessível
export KUBECONFIG=$(pwd)/../aula-08/kubeconfig
kubectl cluster-info
```
2. **kubectl** instalado
3. **Helm** 3.x instalado
## Instalação
```bash
cd aula-10
# Configurar acesso ao cluster (kubeconfig da aula-08)
export KUBECONFIG=$(pwd)/../aula-08/kubeconfig
# Executar setup interativo
chmod +x setup.sh
./setup.sh
```
O script é interativo e pergunta:
1. **Hostname do GitLab** (ex: `git.kube.quest`) - FQDN completo
2. **Usa CloudFlare?** (com proxy/CDN) - pode herdar da aula-09
1. **Hostname do Gitea** (ex: `gitea.kube.quest`) - FQDN completo
2. **Usa CloudFlare?** (com proxy/CDN)
3. **Ativar Let's Encrypt?** (se não usar CloudFlare)
4. **Hetzner Object Storage** - endpoint, bucket e credenciais
### O que o setup.sh instala
```
1. cert-manager (se Let's Encrypt)
2. Gitea via Helm (gitea-charts/gitea)
- Web UI + API + Git + SSH
- Container Registry (packages)
- PostgreSQL standalone
- Valkey (cache)
3. Gitea Actions Runner via Helm (gitea-charts/actions)
- act_runner + Docker-in-Docker
- Registration token obtido automaticamente
4. TCP passthrough no NGINX para SSH (porta 22)
```
### Opções de TLS
@@ -94,132 +169,59 @@ O script é interativo e pergunta:
| **Outro DNS + Let's Encrypt** | cert-manager | HTTP-01 challenge automático |
| **Outro DNS + HTTP** | Nenhum | Apenas HTTP (dev/workshop) |
### CloudFlare e Trusted Proxies (Erro 422)
## Componentes e Recursos
Quando você usa CloudFlare com proxy ativo (ícone laranja), o tráfego passa pelos servidores do CloudFlare antes de chegar ao GitLab:
| Componente | Chart | Memory Request | Memory Limit | Volume |
|------------|-------|----------------|--------------|--------|
| Gitea | gitea-charts/gitea | 512Mi | 1Gi | 10Gi |
| PostgreSQL | (subchart) | 128Mi | 256Mi | 10Gi |
| Valkey | (subchart) | 32Mi | 64Mi | 1Gi |
| act_runner + DinD | gitea-charts/actions | 128Mi | 256Mi | 5Gi |
| **Total** | | **~800Mi** | **~1.6Gi** | **~26Gi** |
```
Usuário → CloudFlare (TLS) → LoadBalancer → NGINX → GitLab
Adiciona headers:
X-Forwarded-For: IP-do-usuario
X-Forwarded-Proto: https
```
## Funcionalidades
**Problema:** Por padrão, o GitLab (Workhorse) não confia nesses headers. Resultado:
- GitLab pensa que a requisição veio via HTTP (não HTTPS)
- CSRF token é gerado para HTTPS mas validado como HTTP
- **Erro 422: "The change you requested was rejected"**
### 1. Container Registry (OCI)
**Solução:** O `setup.sh` configura automaticamente os IPs do CloudFlare como proxies confiáveis:
```yaml
gitlab.webservice.workhorse.trustedCIDRsForXForwardedFor:
- 173.245.48.0/20 # CloudFlare
- 103.21.244.0/22
- 103.22.200.0/22
# ... (todos os CIDRs do CloudFlare)
```
Com isso, o Workhorse confia nos headers `X-Forwarded-*` vindos do CloudFlare e o login funciona corretamente.
> **Lição:** Proxies reversos (CloudFlare, NGINX, HAProxy) adicionam headers para preservar informações do cliente original. O backend precisa ser configurado para confiar nesses headers, caso contrário terá problemas de protocolo e autenticação.
## Componentes Instalados
**Da aula-08 (infraestrutura):**
- Hetzner CSI Driver (StorageClass: hcloud-volumes)
- NGINX Ingress Controller com LoadBalancer
**Instalados por este script:**
- **cert-manager** (se Let's Encrypt ativado)
- **GitLab** com todos os componentes
| Componente | Memory Request | Memory Limit | Volume |
|------------|----------------|--------------|--------|
| Webservice | 2Gi | 2.5Gi | - |
| Sidekiq | 1.5Gi | 2Gi | - |
| Gitaly | 512Mi | 1Gi | 10Gi |
| PostgreSQL | 512Mi | 1Gi | 10Gi |
| Redis | 256Mi | 512Mi | 10Gi |
| Shell | 64Mi | 128Mi | - |
| Toolbox | 256Mi | 512Mi | - |
| **Total** | ~5Gi | ~8Gi | 30Gi |
**Object Storage (externo):**
- Hetzner Object Storage (S3-compatible)
- Uploads, artifacts, LFS, registry images
- Custo: €0.006/GB/mês (paga por uso)
## Distribuição Inteligente de Pods
O GitLab usa **anti-affinity preferencial** para se adaptar automaticamente ao cluster:
```yaml
gitlab:
webservice:
affinity:
podAntiAffinity:
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 100
podAffinityTerm:
labelSelector:
matchLabels:
app: sidekiq
topologyKey: kubernetes.io/hostname
```
### Comportamento Adaptativo
| Cenário | Comportamento |
|---------|---------------|
| 1 nó grande (8GB+) | Tudo roda junto no mesmo nó |
| Múltiplos nós pequenos | Distribui automaticamente |
| Sem recursos suficientes | Cluster Autoscaler cria nós novos |
### Por que preferencial ao invés de obrigatório?
- **Obrigatório** (`required`): pods ficam Pending se não houver nós separados
- **Preferencial** (`preferred`): funciona com qualquer topologia, otimiza quando possível
### Lição do Workshop
> "Configurações adaptativas são melhores que rígidas. O anti-affinity preferencial
> permite que o GitLab funcione em um nó grande ou distribua em vários pequenos,
> sem intervenção manual."
## Padrão de Domínios
| Serviço | Domínio |
|---------|---------|
| Web UI | {GITLAB_HOST} (ex: git.kube.quest) |
| Registry | registry.{DOMAIN} (ex: registry.kube.quest) |
| SSH | {GITLAB_HOST}:22 |
Exemplo com hostname `git.kube.quest`:
- https://git.kube.quest
- https://registry.kube.quest
- git@git.kube.quest
## Arquivo de Configuração
O `setup.sh` gera um arquivo `.env` (herda configuração de TLS da aula-09):
O Gitea inclui um Container Registry OCI integrado. Sem Harbor, sem MinIO, sem componentes extras.
```bash
# aula-10/.env (gerado automaticamente)
GITLAB_HOST=git.kube.quest
REGISTRY_HOST=registry.kube.quest
DOMAIN=kube.quest
USE_CLOUDFLARE=true
USE_LETSENCRYPT=false
LETSENCRYPT_EMAIL=
# Login no registry
docker login gitea.kube.quest
# Hetzner Object Storage (use a mesma região do cluster)
S3_ENDPOINT=nbg1.your-objectstorage.com
S3_ACCESS_KEY=xxxxx
S3_SECRET_KEY=xxxxx
S3_BUCKET=gitlab-workshop
S3_REGION=nbg1
# Push de imagem
docker tag minha-app:v1 gitea.kube.quest/usuario/minha-app:v1
docker push gitea.kube.quest/usuario/minha-app:v1
```
### 2. Gitea Actions (CI/CD)
CI/CD integrado com sintaxe GitHub Actions. Sem Tekton, sem CRDs extras, sem DSL proprietária.
```yaml
# .gitea/workflows/build.yml
name: Build
on:
push:
branches: [main]
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- run: |
echo "${{ secrets.REGISTRY_TOKEN }}" | docker login gitea.kube.quest -u ${{ gitea.actor }} --password-stdin
docker build -t gitea.kube.quest/${{ gitea.repository }}:${{ github.sha }} .
docker push gitea.kube.quest/${{ gitea.repository }}:${{ github.sha }}
```
### 3. SSH
```bash
# Clonar via SSH
git clone git@gitea.kube.quest:usuario/projeto.git
# Configurar chave SSH: Settings → SSH/GPG Keys
```
## Acesso
@@ -227,148 +229,119 @@ S3_REGION=nbg1
### Web UI
```
URL: https://git.{domain}
Usuário: root
Senha: (ver abaixo)
```
### Obter senha do root
```bash
kubectl get secret gitlab-gitlab-initial-root-password \
-n gitlab \
-o jsonpath='{.data.password}' | base64 -d; echo
```
### SSH
```bash
# Clonar repositório via SSH
git clone git@git.kube.quest:grupo/projeto.git
# Configurar chave SSH no GitLab
# Settings → SSH Keys → Adicionar sua chave pública
URL: https://gitea.kube.quest
Usuário: gitea_admin
Senha: (exibida no final do setup.sh)
```
### Container Registry
```bash
# Login no registry
docker login registry.kube.quest
docker login gitea.kube.quest
# Username: gitea_admin
# Password: (mesma senha do admin)
```
# Push de imagem
docker tag minha-app:v1 registry.kube.quest/grupo/projeto:v1
docker push registry.kube.quest/grupo/projeto:v1
### Verificar Runner
```bash
# Pod do runner
kubectl get pods -n gitea -l app.kubernetes.io/name=actions
# Logs
kubectl logs -n gitea -l app.kubernetes.io/name=actions -c act-runner -f
# Workflows executados
# Via UI: https://gitea.kube.quest/{owner}/{repo}/actions
```
## Comandos Úteis
```bash
# Ver todos os pods
kubectl get pods -n gitlab
kubectl get pods -n gitea
# Ver logs do webservice
kubectl logs -n gitlab -l app=webservice -f
# Ver logs do Gitea
kubectl logs -n gitea -l app.kubernetes.io/name=gitea -f
# Ver logs do sidekiq
kubectl logs -n gitlab -l app=sidekiq -f
# Reiniciar componente
kubectl rollout restart deployment -n gitlab gitlab-webservice-default
# Rails console
kubectl exec -it -n gitlab \
$(kubectl get pod -n gitlab -l app=toolbox -o name | head -1) \
-- gitlab-rails console
# Backup
kubectl exec -it -n gitlab \
$(kubectl get pod -n gitlab -l app=toolbox -o name | head -1) \
-- backup-utility
# Reiniciar Gitea
kubectl rollout restart deployment -n gitea gitea
# Ver certificados (se Let's Encrypt)
kubectl get certificate -n gitlab
kubectl get certificate -n gitea
# Desinstalar (apenas GitLab)
# Desinstalar
./cleanup.sh
```
**Nota:** O `cleanup.sh` remove apenas GitLab, clientes e cert-manager. A infraestrutura (CSI Driver, NGINX Ingress, LoadBalancer) é mantida pois pertence à aula-08.
## Configurações Adicionais
### Adicionar GitLab Runner
```bash
# Obter registration token
kubectl get secret gitlab-gitlab-runner-secret \
-n gitlab \
-o jsonpath='{.data.runner-registration-token}' | base64 -d; echo
# Instalar runner
helm install gitlab-runner gitlab/gitlab-runner \
--namespace gitlab \
--set gitlabUrl=https://git.kube.quest \
--set runnerRegistrationToken=<token>
```
## Troubleshooting
### Pods não iniciam
```bash
# Verificar eventos
kubectl get events -n gitlab --sort-by='.lastTimestamp'
# Verificar PVCs
kubectl get pvc -n gitlab
# Verificar se CSI driver está funcionando
kubectl get pods -n kube-system -l app=hcloud-csi
kubectl get events -n gitea --sort-by='.lastTimestamp'
kubectl get pvc -n gitea
```
### SSH não conecta
```bash
# Verificar se porta 22 está no ConfigMap
# Verificar TCP passthrough
kubectl get configmap tcp-services -n ingress-nginx -o yaml
# Verificar gitlab-shell pod
kubectl get pods -n gitlab -l app=gitlab-shell
```
### Registry não funciona
```bash
# Verificar pod do registry
kubectl get pods -n gitlab -l app=registry
kubectl logs -n gitlab -l app=registry
curl -v https://gitea.kube.quest/v2/
```
# Testar internamente
kubectl run test --rm -it --image=busybox -- wget -qO- http://gitlab-registry:5000/v2/
### Runner não executa workflows
```bash
# Verificar se o runner está registrado
kubectl logs -n gitea -l app.kubernetes.io/name=actions -c act-runner --tail=20
# Verificar se DinD está rodando
kubectl logs -n gitea -l app.kubernetes.io/name=actions -c dind --tail=10
# Erro "Docker connection failed" → DinD não compartilha socket
# Verificar se extraVolumeMounts do dind inclui docker-socket
```
### Runner crashando (OOM)
O Gitea pode usar mais memória durante migrações de repos grandes. Se ocorrer OOM:
```bash
# Aumentar limit temporariamente
helm upgrade gitea gitea-charts/gitea -n gitea \
--reuse-values \
--set resources.limits.memory=1Gi
```
## Custos
| Cenário | Workers | Custo/mês |
|---------|---------|-----------|
| 1x CAX21 (8GB) | 1 nó | ~$8.49 |
| 2x CAX11 (4GB) | 2 nós (distribuído) | ~$9.18 |
| Recurso | Custo/mês |
|---------|-----------|
| Volumes (3x 10Gi = 30Gi) | ~$1.45 |
| Object Storage (~10GB uso) | ~€0.06 |
| Worker (1x CAX11) | ~$4.59 |
| Volumes (~26Gi) | ~$1.26 |
| LoadBalancer (compartilhado) | ~$1.80 (1/3) |
| **Total** | **~$7.65** |
**Nota:** O anti-affinity preferencial permite ambos os cenários.
O Cluster Autoscaler provisiona nós automaticamente quando necessário.
## Lições do Workshop
**Vantagem Object Storage:** Sem volume MinIO (economia de ~$0.50/mês) + storage ilimitado.
1. **Nem sempre precisa da ferramenta "enterprise"** — Gitea substitui GitLab + Harbor + parcialmente Tekton com 10x menos recursos
2. **Registry integrado** é suficiente para a maioria dos casos — Harbor justifica-se quando você precisa de vulnerability scanning, replicação multi-site, ou compliance (assinatura de imagens)
3. **Sintaxe GitHub Actions é portável** — o que você aprende aqui transfere direto pro GitHub, e vice-versa
4. **Docker-in-Docker no Kubernetes** requer namespace com PodSecurity `privileged` — é o trade-off pra ter builds Docker no cluster
## Referências
- [GitLab Helm Chart](https://docs.gitlab.com/charts/)
- [GitLab Helm Chart Values](https://gitlab.com/gitlab-org/charts/gitlab/-/blob/master/values.yaml)
- [External Ingress](https://docs.gitlab.com/charts/advanced/external-ingress/)
- [NGINX TCP Services](https://kubernetes.github.io/ingress-nginx/user-guide/exposing-tcp-udp-services/)
- [Gitea Docs](https://docs.gitea.com/)
- [Gitea Helm Chart](https://gitea.com/gitea/helm-chart)
- [Gitea Container Registry](https://docs.gitea.com/usage/packages/container)
- [Gitea Actions](https://docs.gitea.com/usage/actions/overview)
- [act_runner](https://docs.gitea.com/usage/actions/act-runner)
- [ArtifactHub - Gitea](https://artifacthub.io/packages/helm/gitea/gitea)
- [ArtifactHub - Gitea Actions](https://artifacthub.io/packages/helm/gitea/actions)

53
aula-10/cleanup.sh
View File

@@ -1,13 +1,12 @@
#!/bin/bash
# =============================================================================
# Cleanup da Aula 10 - Remove GitLab
# Cleanup da Aula 10 - Remove Gitea
# =============================================================================
#
# Este script remove:
# - GitLab (Helm release)
# - Gitea (Helm release)
# - PVCs (dados persistentes)
# - Secrets
# - Namespace gitlab
# - Namespace gitea
# - cert-manager (se instalado por esta aula)
# - Arquivo .env
#
@@ -16,7 +15,7 @@
# - Hetzner CSI Driver
# - LoadBalancer
#
# ATENÇÃO: Todos os dados do GitLab serão perdidos!
# ATENÇÃO: Todos os dados do Gitea serão perdidos!
#
# =============================================================================
@@ -39,13 +38,13 @@ SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
echo ""
echo -e "${CYAN}============================================${NC}"
echo -e "${CYAN} Cleanup - Aula 10 (GitLab)${NC}"
echo -e "${CYAN} Cleanup - Aula 10 (Gitea)${NC}"
echo -e "${CYAN}============================================${NC}"
echo ""
log_warn "ATENÇÃO: Isso vai remover os recursos da aula 10:"
echo " - GitLab e todos os componentes"
echo " - Volumes persistentes (PostgreSQL, Redis, Gitaly)"
echo " - Gitea e todos os componentes"
echo " - Volumes persistentes (PostgreSQL, Valkey, Gitea)"
echo " - cert-manager (se instalado)"
echo " - Arquivo .env"
echo ""
@@ -80,37 +79,33 @@ else
fi
# =============================================================================
# 2. DESINSTALAR GITLAB
# 2. DESINSTALAR GITEA
# =============================================================================
log_info "=== Removendo GitLab ==="
log_info "=== Removendo Gitea ==="
if helm status gitlab -n gitlab &> /dev/null; then
log_info "Desinstalando GitLab via Helm..."
helm uninstall gitlab -n gitlab --wait 2>/dev/null || true
log_success "GitLab removido"
if helm status gitea -n gitea &> /dev/null; then
log_info "Desinstalando Gitea via Helm..."
helm uninstall gitea -n gitea --wait 2>/dev/null || true
log_success "Gitea removido"
else
log_info "GitLab não está instalado"
log_info "Gitea não está instalado"
fi
# Remover PVCs
if kubectl get pvc -n gitlab &> /dev/null 2>&1; then
log_info "Removendo PVCs do namespace gitlab..."
kubectl delete pvc --all -n gitlab --wait=false 2>/dev/null || true
if kubectl get pvc -n gitea &> /dev/null 2>&1; then
log_info "Removendo PVCs do namespace gitea..."
kubectl delete pvc --all -n gitea --wait=false 2>/dev/null || true
fi
# Aguardar PVs serem liberados
sleep 5
# Remover secrets restantes
log_info "Removendo secrets..."
kubectl delete secret --all -n gitlab 2>/dev/null || true
# Remover namespace
if kubectl get namespace gitlab &> /dev/null; then
log_info "Removendo namespace gitlab..."
kubectl delete namespace gitlab --wait=false 2>/dev/null || true
log_success "Namespace gitlab removido"
if kubectl get namespace gitea &> /dev/null; then
log_info "Removendo namespace gitea..."
kubectl delete namespace gitea --wait=false 2>/dev/null || true
log_success "Namespace gitea removido"
fi
# =============================================================================
@@ -122,13 +117,10 @@ log_info "=== Verificando cert-manager ==="
if helm status cert-manager -n cert-manager &> /dev/null; then
log_info "Removendo cert-manager..."
# Remover ClusterIssuer primeiro
kubectl delete clusterissuer --all 2>/dev/null || true
# Remover helm release
helm uninstall cert-manager -n cert-manager --wait 2>/dev/null || true
# Remover CRDs
kubectl delete crd \
certificates.cert-manager.io \
certificaterequests.cert-manager.io \
@@ -138,7 +130,6 @@ if helm status cert-manager -n cert-manager &> /dev/null; then
orders.acme.cert-manager.io \
2>/dev/null || true
# Remover namespace
kubectl delete namespace cert-manager --wait=false 2>/dev/null || true
log_success "cert-manager removido"
@@ -169,7 +160,7 @@ echo -e "${GREEN} Cleanup Concluído!${NC}"
echo -e "${CYAN}============================================${NC}"
echo ""
echo "Removido:"
echo " - GitLab e todos os componentes"
echo " - Gitea e todos os componentes"
echo " - cert-manager (se existia)"
echo " - Arquivo .env"
echo ""

207
aula-10/gitea-values.yaml Normal file
View File

@@ -0,0 +1,207 @@
# =============================================================================
# Gitea Helm Chart - Configuração para Hetzner CAX11
# =============================================================================
#
# Esta configuração:
# - Usa NGINX Ingress Controller externo (instalado na aula-08)
# - PostgreSQL standalone (sem HA) para economia de recursos
# - Valkey standalone (sem cluster) para economia de recursos
# - Container Registry (packages) habilitado
# - Gitea Actions habilitado
# - ~800Mi de recursos para Gitea + ~256Mi PostgreSQL + ~64Mi Valkey
# - act_runner instalado separadamente via gitea-charts/actions
#
# Valores dinâmicos (configurados via --set no setup.sh):
# - ingress.hosts[0].host
# - gitea.config.server.DOMAIN
# - gitea.config.server.ROOT_URL
# - gitea.config.server.SSH_DOMAIN
#
# =============================================================================
# Réplicas
replicaCount: 1
# Imagem rootless (mais segura)
image:
rootless: true
# =============================================================================
# RECURSOS - Otimizado para CAX11 (4GB RAM)
# =============================================================================
resources:
requests:
memory: 512Mi
cpu: 100m
limits:
memory: 1Gi
cpu: 500m
# =============================================================================
# INGRESS - Usa NGINX Ingress Controller externo (aula-08)
# =============================================================================
ingress:
enabled: true
className: nginx
annotations:
nginx.ingress.kubernetes.io/proxy-body-size: "0"
nginx.ingress.kubernetes.io/proxy-read-timeout: "900"
nginx.ingress.kubernetes.io/proxy-connect-timeout: "900"
hosts:
- host: git.example.com # Sobrescrito via --set
paths:
- path: /
# TLS configurado via --set no setup.sh
# =============================================================================
# SERVICE - HTTP e SSH
# =============================================================================
service:
http:
type: ClusterIP
port: 3000
ssh:
type: ClusterIP
port: 22
# =============================================================================
# PERSISTENCE
# =============================================================================
persistence:
enabled: true
size: 10Gi
storageClass: hcloud-volumes
# =============================================================================
# GITEA CONFIG (mapeia para app.ini)
# =============================================================================
gitea:
admin:
username: gitea_admin
password: "" # Gerado automaticamente pelo setup.sh
email: "admin@local.domain"
passwordMode: initialOnlyNoReset
config:
# Servidor
server:
PROTOCOL: http
SSH_PORT: 22
SSH_LISTEN_PORT: 2222 # Rootless image escuta nesta porta
LFS_START_SERVER: true
OFFLINE_MODE: false
# Segurança
security:
INSTALL_LOCK: true
# Serviço
service:
DISABLE_REGISTRATION: false
REQUIRE_SIGNIN_VIEW: false
DEFAULT_KEEP_EMAIL_PRIVATE: true
# Repositório
repository:
DEFAULT_BRANCH: main
DEFAULT_PRIVATE: private
# Container Registry (Packages)
packages:
ENABLED: true
# Gitea Actions (CI/CD)
actions:
ENABLED: true
DEFAULT_ACTIONS_URL: https://github.com
# Timezone
time:
DEFAULT_UI_LOCATION: America/Sao_Paulo
# Probes ajustadas para cluster pequeno
livenessProbe:
enabled: true
tcpSocket:
port: http
initialDelaySeconds: 60
timeoutSeconds: 3
periodSeconds: 10
failureThreshold: 10
readinessProbe:
enabled: true
tcpSocket:
port: http
initialDelaySeconds: 10
timeoutSeconds: 3
periodSeconds: 10
failureThreshold: 3
# =============================================================================
# POSTGRESQL - Standalone (sem HA, economia de recursos)
# =============================================================================
postgresql-ha:
enabled: false
postgresql:
enabled: true
global:
postgresql:
auth:
password: gitea
database: gitea
username: gitea
service:
ports:
postgresql: 5432
image:
repository: bitnamilegacy/postgresql
primary:
persistence:
size: 10Gi
storageClass: hcloud-volumes
resources:
requests:
memory: 128Mi
cpu: 50m
limits:
memory: 256Mi
cpu: 250m
# =============================================================================
# VALKEY (Redis) - Standalone (sem cluster, economia de recursos)
# =============================================================================
valkey-cluster:
enabled: false
valkey:
enabled: true
architecture: standalone
image:
repository: bitnamilegacy/valkey
global:
valkey:
password: gitea
master:
count: 1
service:
ports:
valkey: 6379
persistence:
size: 1Gi
storageClass: hcloud-volumes
resources:
requests:
memory: 32Mi
cpu: 25m
limits:
memory: 64Mi
cpu: 100m
# =============================================================================
# TESTES
# =============================================================================
checkDeprecation: true
test:
enabled: false

192
aula-10/gitlab-values.yaml
View File

@@ -4,7 +4,7 @@
#
# Esta configuração:
# - Usa NGINX Ingress Controller externo (instalado na aula-08)
# - Define ~7.5GB de recursos para forçar nodes dedicados via autoscaler
# - Define ~5GB de recursos distribuídos em 2 workers CAX11 (antiAffinity)
# - Desabilita componentes não essenciais para economizar recursos
# - Configura Registry para container images
#
@@ -31,6 +31,10 @@
# =============================================================================
global:
# Desabilitar MinIO interno (migrado para Hetzner Object Storage)
minio:
enabled: false
# Usar Ingress Controller externo
ingress:
class: nginx
@@ -52,36 +56,6 @@ global:
seccompProfile:
type: RuntimeDefault
# Object Storage - Hetzner S3 (em vez de MinIO)
minio:
enabled: false
appConfig:
object_store:
enabled: true
proxy_download: true
connection:
secret: gitlab-object-storage
key: connection
# Bucket único para todos os tipos de objeto
# O GitLab organiza internamente por pastas/prefixos
# Os valores abaixo são sobrescritos via --set no setup.sh usando S3_BUCKET do .env
uploads:
bucket: gitlab-storage
artifacts:
bucket: gitlab-storage
lfs:
bucket: gitlab-storage
packages:
bucket: gitlab-storage
externalDiffs:
bucket: gitlab-storage
terraformState:
bucket: gitlab-storage
ciSecureFiles:
bucket: gitlab-storage
dependencyProxy:
bucket: gitlab-storage
# Email (opcional - configurar depois)
# email:
# from: gitlab@kube.quest
@@ -106,38 +80,9 @@ nginx-ingress:
gitlab:
# Webservice (Rails app - UI e API)
# Anti-affinity preferencial: distribui se possível, mas não obriga
# - 1 nó grande (8GB): tudo roda junto
# - Múltiplos nós pequenos: distribui automaticamente
# - Sem recursos: autoscaler cria nós novos
# NOTA: antiAffinity garante que webservice e sidekiq rodem em nós diferentes
# Isso evita OOM quando ambos competem por memória no mesmo nó CAX11 (4GB)
webservice:
minReplicas: 1
maxReplicas: 1
resources:
requests:
memory: 2.5Gi
cpu: 300m
limits:
memory: 3Gi
cpu: 1
workerProcesses: 1
puma:
threads:
min: 1
max: 2
# Anti-affinity preferencial: tenta separar de sidekiq, mas não obriga
affinity:
podAntiAffinity:
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 100
podAffinityTerm:
labelSelector:
matchLabels:
app: sidekiq
topologyKey: kubernetes.io/hostname
# Sidekiq (background jobs)
sidekiq:
minReplicas: 1
maxReplicas: 1
resources:
@@ -146,29 +91,83 @@ gitlab:
cpu: 200m
limits:
memory: 2.5Gi
cpu: 1
workerProcesses: 1
puma:
threads:
min: 1
max: 2
# Anti-affinity: não rodar no mesmo nó que sidekiq
# Node affinity: preferir nodes do pool gitlab-pool (CAX21 com 8GB)
affinity:
nodeAffinity:
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 100
preference:
matchExpressions:
- key: hcloud/node-group
operator: In
values:
- gitlab-pool
podAntiAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
app: sidekiq
topologyKey: kubernetes.io/hostname
# Sidekiq (background jobs)
# Anti-affinity: não rodar no mesmo nó que webservice
sidekiq:
minReplicas: 1
maxReplicas: 1
resources:
requests:
memory: 1.5Gi
cpu: 100m
limits:
memory: 2Gi
cpu: 500m
# Desabilitar memory watchdog interno do GitLab (deixa o OOM killer do K8s gerenciar)
memoryKiller:
maxRss: 2000000000 # 2GB - maior que o limite para evitar kills prematuros
# Anti-affinity preferencial: tenta separar de webservice, mas não obriga
# Node affinity: preferir nodes do pool gitlab-pool (CAX21 com 8GB)
affinity:
podAntiAffinity:
nodeAffinity:
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 100
podAffinityTerm:
labelSelector:
matchLabels:
app: webservice
topologyKey: kubernetes.io/hostname
preference:
matchExpressions:
- key: hcloud/node-group
operator: In
values:
- gitlab-pool
podAntiAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
app: webservice
topologyKey: kubernetes.io/hostname
# Gitaly (Git storage)
gitaly:
# Node affinity: preferir nodes do pool gitlab-pool (CAX21 com 8GB)
affinity:
nodeAffinity:
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 100
preference:
matchExpressions:
- key: hcloud/node-group
operator: In
values:
- gitlab-pool
resources:
requests:
memory: 1Gi
cpu: 150m
memory: 512Mi
cpu: 100m
limits:
memory: 1.5Gi
memory: 1Gi
cpu: 500m
persistence:
size: 10Gi # Mínimo Hetzner ($0.0484/GB)
@@ -220,12 +219,22 @@ gitlab:
postgresql:
install: true
primary:
affinity:
nodeAffinity:
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 100
preference:
matchExpressions:
- key: hcloud/node-group
operator: In
values:
- gitlab-pool
resources:
requests:
memory: 1Gi
cpu: 150m
memory: 512Mi
cpu: 100m
limits:
memory: 1.5Gi
memory: 1Gi
cpu: 500m
persistence:
size: 10Gi # Mínimo Hetzner ($0.0484/GB)
@@ -239,34 +248,35 @@ redis:
master:
resources:
requests:
memory: 512Mi
cpu: 100m
memory: 256Mi
cpu: 50m
limits:
memory: 1Gi
cpu: 300m
memory: 512Mi
cpu: 200m
persistence:
size: 10Gi # Mínimo Hetzner ($0.0484/GB)
storageClass: hcloud-volumes
# =============================================================================
# OBJECT STORAGE (Hetzner Object Storage - S3 compatible)
# MINIO (Object Storage) - DESABILITADO
# =============================================================================
# Usamos o Hetzner Object Storage ao invés do MinIO bundled.
# Vantagens:
# - Sem volume persistente (economia de $0.50/mês)
# - Sem pod MinIO (economia de recursos)
# - Storage ilimitado (paga por uso: €0.006/GB)
# - Alta disponibilidade gerenciada pela Hetzner
# Migrado para Hetzner Object Storage para resolver problema de espaço (89% cheio)
# O Registry agora usa S3 externo (Hetzner Object Storage)
#
# Pré-requisito: criar bucket e credenciais na Hetzner Console
# O setup.sh cria o Secret gitlab-object-storage automaticamente
# Para voltar ao MinIO interno (rollback):
# 1. Mudar minio.install: true
# 2. Remover registry.storage configuração
# 3. Re-deploy GitLab
minio:
install: false
# =============================================================================
# REGISTRY (Container Registry)
# REGISTRY (Container Registry) - Usando Hetzner Object Storage
# =============================================================================
# IMPORTANTE: Antes de fazer deploy, criar o secret:
# kubectl apply -f gitlab-registry-storage-secret.yaml
#
# O secret contém as credenciais S3 para o Hetzner Object Storage
registry:
enabled: true
hpa:
@@ -279,7 +289,7 @@ registry:
limits:
memory: 256Mi
cpu: 200m
# Storage usa Hetzner Object Storage (configurado via global.appConfig.object_store)
# Storage configurado para Hetzner Object Storage (S3 compatível)
storage:
secret: gitlab-registry-storage
key: config

513
aula-10/setup.sh
View File

@@ -1,11 +1,11 @@
#!/bin/bash
# =============================================================================
# Setup da Aula 10 - GitLab via Helm (Hetzner Cloud)
# Setup da Aula 10 - Gitea via Helm (Hetzner Cloud)
# =============================================================================
#
# Este script instala e configura:
# 1. cert-manager (opcional, para Let's Encrypt)
# 2. GitLab com todos os componentes
# 2. Gitea com Container Registry, SSH e Actions
#
# Pré-requisitos:
# - Kubernetes cluster Talos na Hetzner (aula-08) com:
@@ -39,19 +39,12 @@ log_error() { echo -e "${RED}[ERRO]${NC} $1"; }
SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
# Variáveis de configuração
GITLAB_HOST=""
REGISTRY_HOST="" # Derivado automaticamente
DOMAIN="" # Extraído automaticamente do GITLAB_HOST
GITEA_HOST=""
DOMAIN=""
USE_CLOUDFLARE=""
USE_LETSENCRYPT=""
LETSENCRYPT_EMAIL=""
# Hetzner Object Storage
S3_ENDPOINT=""
S3_ACCESS_KEY=""
S3_SECRET_KEY=""
S3_BUCKET=""
S3_REGION=""
ADMIN_PASSWORD=""
# =============================================================================
# FUNÇÕES DE CONFIGURAÇÃO
@@ -61,19 +54,11 @@ save_config() {
cat > "$SCRIPT_DIR/.env" <<EOF
# Configuração gerada pelo setup.sh
# $(date)
GITLAB_HOST=${GITLAB_HOST}
REGISTRY_HOST=${REGISTRY_HOST}
GITEA_HOST=${GITEA_HOST}
DOMAIN=${DOMAIN}
USE_CLOUDFLARE=${USE_CLOUDFLARE}
USE_LETSENCRYPT=${USE_LETSENCRYPT}
LETSENCRYPT_EMAIL=${LETSENCRYPT_EMAIL}
# Hetzner Object Storage
S3_ENDPOINT=${S3_ENDPOINT}
S3_ACCESS_KEY=${S3_ACCESS_KEY}
S3_SECRET_KEY=${S3_SECRET_KEY}
S3_BUCKET=${S3_BUCKET}
S3_REGION=${S3_REGION}
EOF
log_success "Configuração salva em .env"
}
@@ -89,16 +74,13 @@ load_config() {
if [[ -f "$SCRIPT_DIR/../aula-09/.env" ]]; then
source "$SCRIPT_DIR/../aula-09/.env"
log_info "Configuração de TLS herdada da aula-09"
# Limpar hosts (serão perguntados novamente)
GITLAB_HOST=""
REGISTRY_HOST=""
GITEA_HOST=""
return 0
fi
return 1
}
# Extrai domínio base de um FQDN (ex: git.kube.quest → kube.quest)
extract_domain() {
local fqdn="$1"
echo "$fqdn" | sed 's/^[^.]*\.//'
@@ -107,28 +89,18 @@ extract_domain() {
collect_user_input() {
echo ""
echo -e "${CYAN}═══════════════════════════════════════════════════${NC}"
echo -e "${CYAN} GitLab no Kubernetes (Hetzner Cloud)${NC}"
echo -e "${CYAN} Gitea no Kubernetes (Hetzner Cloud)${NC}"
echo -e "${CYAN}═══════════════════════════════════════════════════${NC}"
echo ""
# Carregar configuração existente
load_config || true
# Se já tem GITLAB_HOST configurado, oferecer usar
if [[ -n "$GITLAB_HOST" ]]; then
# Determinar tipo de TLS para exibição
if [[ "$USE_LETSENCRYPT" == "true" ]]; then
TLS_TYPE="Let's Encrypt"
elif [[ "$USE_CLOUDFLARE" == "true" ]]; then
TLS_TYPE="CloudFlare"
else
TLS_TYPE="Sem TLS (HTTP)"
fi
load_config
# Se já tem configuração, oferecer reutilizar
if [[ -n "$GITEA_HOST" ]]; then
echo -e "Configuração existente encontrada:"
echo -e " GitLab: ${GREEN}${GITLAB_HOST}${NC}"
echo -e " Registry: ${GREEN}${REGISTRY_HOST}${NC}"
echo -e " TLS: ${GREEN}${TLS_TYPE}${NC}"
echo -e " Gitea: ${GREEN}${GITEA_HOST}${NC}"
echo -e " CloudFlare: ${GREEN}${USE_CLOUDFLARE}${NC}"
echo -e " Let's Encrypt: ${GREEN}${USE_LETSENCRYPT}${NC}"
echo ""
echo -e "Deseja usar esta configuração?"
echo -e " 1) Sim, continuar com a configuração existente"
@@ -140,43 +112,24 @@ collect_user_input() {
fi
fi
# Coletar hostname do GitLab
# Coletar hostname
echo ""
echo -n "Digite o hostname do GitLab (ex: git.kube.quest): "
read -r GITLAB_HOST
echo -n "Digite o hostname do Gitea (ex: git.kube.quest): "
read -r GITEA_HOST
if [[ -z "$GITLAB_HOST" ]]; then
if [[ -z "$GITEA_HOST" ]]; then
log_error "Hostname não pode ser vazio"
exit 1
fi
# Extrair domínio base
DOMAIN=$(extract_domain "$GITLAB_HOST")
# Perguntar hostname do registry (sugerir padrão)
DEFAULT_REGISTRY="registry.${DOMAIN}"
echo -n "Digite o hostname do Registry (enter para ${DEFAULT_REGISTRY}): "
read -r REGISTRY_HOST
if [[ -z "$REGISTRY_HOST" ]]; then
REGISTRY_HOST="$DEFAULT_REGISTRY"
fi
log_info "Registry será: ${REGISTRY_HOST}"
# Se já tem configuração de TLS, oferecer usar
if [[ -n "$USE_CLOUDFLARE" || -n "$USE_LETSENCRYPT" ]]; then
# Determinar tipo de TLS para exibição
if [[ "$USE_LETSENCRYPT" == "true" ]]; then
TLS_TYPE="Let's Encrypt"
elif [[ "$USE_CLOUDFLARE" == "true" ]]; then
TLS_TYPE="CloudFlare"
else
TLS_TYPE="Sem TLS (HTTP)"
fi
DOMAIN=$(extract_domain "$GITEA_HOST")
# Se já tem configuração de TLS, oferecer reutilizar
if [[ -n "$USE_CLOUDFLARE" ]]; then
echo ""
echo -e "Configuração de TLS encontrada:"
echo -e " TLS: ${GREEN}${TLS_TYPE}${NC}"
echo -e " CloudFlare: ${GREEN}${USE_CLOUDFLARE}${NC}"
echo -e " Let's Encrypt: ${GREEN}${USE_LETSENCRYPT}${NC}"
echo ""
echo -e "Deseja usar esta configuração de TLS?"
echo -e " 1) Sim"
@@ -189,105 +142,43 @@ collect_user_input() {
fi
fi
# Perguntar sobre TLS
# Perguntar sobre CloudFlare
echo ""
echo "Como deseja configurar TLS/HTTPS?"
echo " 1) Let's Encrypt (recomendado - certificado automático)"
echo " 2) CloudFlare (proxy/CDN - NOTA: SSH usa IP direto, não proxy)"
echo " 3) Sem TLS (apenas HTTP - dev/workshop)"
echo -n "Escolha [1/2/3]: "
echo "Você usa CloudFlare para DNS?"
echo " 1) Sim (com proxy/CDN ativado - ícone laranja)"
echo " 2) Não"
echo -n "Escolha [1/2]: "
read -r choice
case "$choice" in
1)
if [[ "$choice" == "1" ]]; then
USE_CLOUDFLARE=true
USE_LETSENCRYPT=false
log_info "CloudFlare irá gerenciar TLS automaticamente na edge"
else
USE_CLOUDFLARE=false
echo ""
echo "Deseja ativar HTTPS com Let's Encrypt?"
echo " 1) Sim (recomendado para produção)"
echo " 2) Não (apenas HTTP)"
echo -n "Escolha [1/2]: "
read -r choice
if [[ "$choice" == "1" ]]; then
USE_LETSENCRYPT=true
USE_CLOUDFLARE=false
echo ""
echo -n "Digite seu email para Let's Encrypt: "
read -r LETSENCRYPT_EMAIL
if [[ -z "$LETSENCRYPT_EMAIL" ]]; then
log_error "Email é obrigatório para Let's Encrypt"
exit 1
fi
;;
2)
USE_CLOUDFLARE=true
else
USE_LETSENCRYPT=false
log_info "CloudFlare irá gerenciar TLS na edge"
log_warn "NOTA: Git via SSH (porta 22) não passa pelo proxy CloudFlare"
;;
*)
USE_CLOUDFLARE=false
USE_LETSENCRYPT=false
;;
esac
# Coletar configuração do Hetzner Object Storage
echo ""
echo -e "${CYAN}═══════════════════════════════════════════════════${NC}"
echo -e "${CYAN} Hetzner Object Storage${NC}"
echo -e "${CYAN}═══════════════════════════════════════════════════${NC}"
echo ""
echo "O GitLab usa Hetzner Object Storage para armazenar:"
echo " - Uploads de usuários"
echo " - Artifacts de CI/CD"
echo " - Container Registry images"
echo " - LFS objects"
echo ""
echo "Crie um bucket e credenciais em:"
echo " https://console.hetzner.cloud → Object Storage"
echo ""
# Se já tem configuração, oferecer usar
if [[ -n "$S3_ENDPOINT" && -n "$S3_ACCESS_KEY" ]]; then
echo -e "Configuração existente encontrada:"
echo -e " Endpoint: ${GREEN}${S3_ENDPOINT}${NC}"
echo -e " Bucket: ${GREEN}${S3_BUCKET}${NC}"
echo ""
echo -e "Deseja usar esta configuração?"
echo -e " 1) Sim"
echo -e " 2) Não, reconfigurar"
echo -n "Escolha [1/2]: "
read -r choice
if [[ "$choice" == "1" ]]; then
save_config
return 0
fi
fi
echo -n "Endpoint (ex: nbg1.your-objectstorage.com): "
read -r S3_ENDPOINT
if [[ -z "$S3_ENDPOINT" ]]; then
log_error "Endpoint não pode ser vazio"
exit 1
fi
# Extrair região do endpoint (fsn1, nbg1, etc)
S3_REGION=$(echo "$S3_ENDPOINT" | cut -d. -f1)
echo -n "Bucket name (ex: gitlab-workshop): "
read -r S3_BUCKET
if [[ -z "$S3_BUCKET" ]]; then
log_error "Bucket não pode ser vazio"
exit 1
fi
echo -n "Access Key: "
read -r S3_ACCESS_KEY
if [[ -z "$S3_ACCESS_KEY" ]]; then
log_error "Access Key não pode ser vazia"
exit 1
fi
echo -n "Secret Key: "
read -rs S3_SECRET_KEY
echo ""
if [[ -z "$S3_SECRET_KEY" ]]; then
log_error "Secret Key não pode ser vazia"
exit 1
fi
# Salvar configuração
save_config
}
@@ -335,27 +226,11 @@ EOF
log_success "ClusterIssuer 'letsencrypt-prod' criado"
}
create_object_storage_secrets() {
log_info "Criando Secrets para Hetzner Object Storage..."
# Exportar variáveis para envsubst
export S3_REGION S3_ACCESS_KEY S3_SECRET_KEY S3_ENDPOINT S3_BUCKET
# Aplicar secrets usando envsubst para substituir variáveis
envsubst < "$SCRIPT_DIR/object-storage-secret.yaml" | kubectl apply -f -
envsubst < "$SCRIPT_DIR/registry-storage-secret.yaml" | kubectl apply -f -
log_success "Secrets criados"
}
show_dns_instructions() {
# Obter IP do LoadBalancer
LB_IP=$(kubectl get svc -n ingress-nginx ingress-nginx-controller \
-o jsonpath='{.status.loadBalancer.ingress[0].ip}' 2>/dev/null || echo "<pendente>")
# Extrair nome do host (ex: git.kube.quest → git)
GITLAB_NAME=$(echo "$GITLAB_HOST" | cut -d. -f1)
REGISTRY_NAME=$(echo "$REGISTRY_HOST" | sed "s/\.${DOMAIN}$//" )
GITEA_NAME=$(echo "$GITEA_HOST" | cut -d. -f1)
echo ""
echo -e "${CYAN}═══════════════════════════════════════════════════${NC}"
@@ -367,12 +242,7 @@ show_dns_instructions() {
echo "No painel do CloudFlare (https://dash.cloudflare.com):"
echo ""
echo -e " ${YELLOW}Tipo:${NC} A"
echo -e " ${YELLOW}Nome:${NC} ${GITLAB_NAME}"
echo -e " ${YELLOW}Conteúdo:${NC} ${GREEN}${LB_IP}${NC}"
echo -e " ${YELLOW}Proxy:${NC} ✓ (ícone laranja)"
echo ""
echo -e " ${YELLOW}Tipo:${NC} A"
echo -e " ${YELLOW}Nome:${NC} ${REGISTRY_NAME}"
echo -e " ${YELLOW}Nome:${NC} ${GITEA_NAME}"
echo -e " ${YELLOW}Conteúdo:${NC} ${GREEN}${LB_IP}${NC}"
echo -e " ${YELLOW}Proxy:${NC} ✓ (ícone laranja)"
echo ""
@@ -382,11 +252,7 @@ show_dns_instructions() {
echo "No seu provedor DNS:"
echo ""
echo -e " ${YELLOW}Tipo:${NC} A"
echo -e " ${YELLOW}Nome:${NC} ${GITLAB_NAME}"
echo -e " ${YELLOW}Valor:${NC} ${GREEN}${LB_IP}${NC}"
echo ""
echo -e " ${YELLOW}Tipo:${NC} A"
echo -e " ${YELLOW}Nome:${NC} ${REGISTRY_NAME}"
echo -e " ${YELLOW}Nome:${NC} ${GITEA_NAME}"
echo -e " ${YELLOW}Valor:${NC} ${GREEN}${LB_IP}${NC}"
if [[ "$USE_LETSENCRYPT" == "true" ]]; then
@@ -395,15 +261,6 @@ show_dns_instructions() {
echo -e "Aguarde ~2 minutos após configurar o DNS."
fi
fi
# Determinar protocolo
PROTOCOL="https"
if [[ "$USE_CLOUDFLARE" == "false" && "$USE_LETSENCRYPT" == "false" ]]; then
PROTOCOL="http"
fi
echo ""
echo -e "Acesse: ${GREEN}${PROTOCOL}://${GITLAB_HOST}${NC}"
}
# =============================================================================
@@ -436,7 +293,6 @@ log_success "Conectado ao cluster Kubernetes"
log_info "=== Verificando infraestrutura (aula-08) ==="
# Verificar Hetzner CSI Driver
if ! kubectl get storageclass hcloud-volumes &> /dev/null; then
log_error "StorageClass hcloud-volumes não encontrado!"
log_error "Execute primeiro o setup.sh da aula-08 para instalar o CSI Driver."
@@ -444,7 +300,6 @@ if ! kubectl get storageclass hcloud-volumes &> /dev/null; then
fi
log_success "Hetzner CSI Driver instalado (hcloud-volumes)"
# Verificar NGINX Ingress
if ! kubectl get ingressclass nginx &> /dev/null; then
log_error "NGINX Ingress não encontrado!"
log_error "Execute primeiro o setup.sh da aula-08 para instalar o Ingress Controller."
@@ -463,41 +318,7 @@ collect_user_input
echo ""
# =============================================================================
# 3. MOSTRAR DNS E AGUARDAR CONFIGURAÇÃO (ANTES DO GITLAB!)
# =============================================================================
# IMPORTANTE: Para Let's Encrypt funcionar, o DNS precisa estar configurado
# ANTES da instalação do GitLab. O HTTP-01 challenge requer que:
# 1. O DNS aponte para o LoadBalancer
# 2. O cert-manager crie o pod acme-http-solver
# 3. Let's Encrypt acesse http://dominio/.well-known/acme-challenge/token
log_info "=== Configuração de DNS ==="
show_dns_instructions
echo ""
echo -e "${YELLOW}════════════════════════════════════════════════════════════════${NC}"
echo -e "${YELLOW} IMPORTANTE: Configure o DNS AGORA antes de continuar!${NC}"
echo -e "${YELLOW}════════════════════════════════════════════════════════════════${NC}"
echo ""
if [[ "$USE_LETSENCRYPT" == "true" ]]; then
echo -e "O Let's Encrypt precisa que o DNS já esteja configurado para"
echo -e "validar o domínio via HTTP-01 challenge."
echo ""
fi
echo -n "Pressione ENTER após configurar o DNS (ou 's' para pular): "
read -r dns_confirm
if [[ "$dns_confirm" == "s" || "$dns_confirm" == "S" ]]; then
log_warn "DNS não configurado - certificados podem falhar!"
else
log_success "DNS confirmado pelo usuário"
fi
echo ""
# =============================================================================
# 4. INSTALAR CERT-MANAGER (se Let's Encrypt)
# 3. INSTALAR CERT-MANAGER (se Let's Encrypt)
# =============================================================================
if [[ "$USE_LETSENCRYPT" == "true" ]]; then
@@ -508,111 +329,89 @@ if [[ "$USE_LETSENCRYPT" == "true" ]]; then
fi
# =============================================================================
# 5. ADICIONAR REPOSITÓRIO HELM
# 4. ADICIONAR REPOSITÓRIO HELM
# =============================================================================
log_info "=== Preparando instalação do GitLab ==="
log_info "=== Preparando instalação do Gitea ==="
log_info "Adicionando repositório Helm do GitLab..."
helm repo add gitlab https://charts.gitlab.io/ 2>/dev/null || true
log_info "Adicionando repositório Helm do Gitea..."
helm repo add gitea-charts https://dl.gitea.com/charts/ 2>/dev/null || true
helm repo update
# =============================================================================
# 6. CRIAR NAMESPACE
# 5. CRIAR NAMESPACE
# =============================================================================
log_info "Criando namespace gitlab..."
kubectl create namespace gitlab --dry-run=client -o yaml | kubectl apply -f -
log_info "Criando namespace gitea..."
kubectl create namespace gitea --dry-run=client -o yaml | kubectl apply -f -
echo ""
# =============================================================================
# 7. CRIAR SECRETS DO OBJECT STORAGE
# 6. GERAR SENHA DO ADMIN
# =============================================================================
create_object_storage_secrets
echo ""
ADMIN_PASSWORD=$(openssl rand -base64 24 | tr -dc 'a-zA-Z0-9' | head -c 16)
# =============================================================================
# 8. INSTALAR GITLAB VIA HELM
# 7. DETERMINAR PROTOCOLO E ROOT_URL
# =============================================================================
log_info "=== Instalando GitLab (isso pode levar 10-15 minutos) ==="
PROTOCOL="https"
if [[ "$USE_CLOUDFLARE" == "false" && "$USE_LETSENCRYPT" == "false" ]]; then
PROTOCOL="http"
fi
# Construir argumentos do Helm dinamicamente
ROOT_URL="${PROTOCOL}://${GITEA_HOST}/"
# =============================================================================
# 8. INSTALAR GITEA VIA HELM
# =============================================================================
log_info "=== Instalando Gitea (isso leva ~2-3 minutos) ==="
# Construir argumentos do Helm
HELM_ARGS=""
# Detectar cert-manager já instalado (ex: aula-09)
# Se existe, desabilitar o bundled para evitar conflito de CRDs
if kubectl get crd certificates.cert-manager.io &> /dev/null; then
log_info "cert-manager detectado - usando instalação existente"
HELM_ARGS="$HELM_ARGS --set installCertmanager=false"
fi
# Hosts e domínio
HELM_ARGS="$HELM_ARGS --set ingress.hosts[0].host=${GITEA_HOST}"
HELM_ARGS="$HELM_ARGS --set ingress.hosts[0].paths[0].path=/"
HELM_ARGS="$HELM_ARGS --set gitea.config.server.DOMAIN=${GITEA_HOST}"
HELM_ARGS="$HELM_ARGS --set gitea.config.server.ROOT_URL=${ROOT_URL}"
HELM_ARGS="$HELM_ARGS --set gitea.config.server.SSH_DOMAIN=${GITEA_HOST}"
# Configurar hosts
HELM_ARGS="$HELM_ARGS --set global.hosts.domain=${DOMAIN}"
HELM_ARGS="$HELM_ARGS --set global.hosts.gitlab.name=${GITLAB_HOST}"
HELM_ARGS="$HELM_ARGS --set global.hosts.registry.name=${REGISTRY_HOST}"
# MinIO desabilitado - usando Hetzner Object Storage
# Senha do admin
HELM_ARGS="$HELM_ARGS --set gitea.admin.password=${ADMIN_PASSWORD}"
# Configurar TLS
# TLS
if [[ "$USE_LETSENCRYPT" == "true" ]]; then
# Let's Encrypt: TLS gerenciado pelo cert-manager
HELM_ARGS="$HELM_ARGS --set global.ingress.configureCertmanager=true"
HELM_ARGS="$HELM_ARGS --set global.ingress.tls.enabled=true"
HELM_ARGS="$HELM_ARGS --set global.hosts.https=true"
HELM_ARGS="$HELM_ARGS --set certmanager-issuer.email=${LETSENCRYPT_EMAIL}"
# Adicionar annotation do ClusterIssuer
HELM_ARGS="$HELM_ARGS --set global.ingress.annotations.cert-manager\\.io/cluster-issuer=letsencrypt-prod"
HELM_ARGS="$HELM_ARGS --set ingress.tls[0].secretName=gitea-tls"
HELM_ARGS="$HELM_ARGS --set ingress.tls[0].hosts[0]=${GITEA_HOST}"
HELM_ARGS="$HELM_ARGS --set ingress.annotations.cert-manager\\.io/cluster-issuer=letsencrypt-prod"
elif [[ "$USE_CLOUDFLARE" == "true" ]]; then
# CloudFlare: TLS na edge, backend HTTP
# Workhorse precisa confiar nos IPs do CloudFlare para X-Forwarded-For
HELM_ARGS="$HELM_ARGS --set global.ingress.configureCertmanager=false"
HELM_ARGS="$HELM_ARGS --set certmanager-issuer.install=false"
HELM_ARGS="$HELM_ARGS --set global.ingress.tls.enabled=false"
HELM_ARGS="$HELM_ARGS --set global.hosts.https=true"
# CloudFlare IPv4 CIDRs (https://www.cloudflare.com/ips-v4)
CLOUDFLARE_CIDRS='["173.245.48.0/20","103.21.244.0/22","103.22.200.0/22","103.31.4.0/22","141.101.64.0/18","108.162.192.0/18","190.93.240.0/20","188.114.96.0/20","197.234.240.0/22","198.41.128.0/17","162.158.0.0/15","104.16.0.0/13","104.24.0.0/14","172.64.0.0/13","131.0.72.0/22"]'
HELM_ARGS="$HELM_ARGS --set-json gitlab.webservice.workhorse.trustedCIDRsForXForwardedFor='${CLOUDFLARE_CIDRS}'"
else
# Apenas HTTP
HELM_ARGS="$HELM_ARGS --set global.ingress.configureCertmanager=false"
HELM_ARGS="$HELM_ARGS --set certmanager-issuer.install=false"
HELM_ARGS="$HELM_ARGS --set global.ingress.tls.enabled=false"
HELM_ARGS="$HELM_ARGS --set global.hosts.https=false"
# CloudFlare: TLS na edge, backend HTTP — sem configuração extra no Gitea
:
fi
# Configurar bucket único para todos os tipos de objeto
# O GitLab organiza internamente por pastas/prefixos
HELM_ARGS="$HELM_ARGS --set global.appConfig.uploads.bucket=${S3_BUCKET}"
HELM_ARGS="$HELM_ARGS --set global.appConfig.artifacts.bucket=${S3_BUCKET}"
HELM_ARGS="$HELM_ARGS --set global.appConfig.lfs.bucket=${S3_BUCKET}"
HELM_ARGS="$HELM_ARGS --set global.appConfig.packages.bucket=${S3_BUCKET}"
HELM_ARGS="$HELM_ARGS --set global.appConfig.externalDiffs.bucket=${S3_BUCKET}"
HELM_ARGS="$HELM_ARGS --set global.appConfig.terraformState.bucket=${S3_BUCKET}"
HELM_ARGS="$HELM_ARGS --set global.appConfig.ciSecureFiles.bucket=${S3_BUCKET}"
HELM_ARGS="$HELM_ARGS --set global.appConfig.dependencyProxy.bucket=${S3_BUCKET}"
# Verificar se já está instalado
if helm status gitlab -n gitlab &> /dev/null; then
log_warn "GitLab já está instalado. Atualizando..."
eval helm upgrade gitlab gitlab/gitlab \
--namespace gitlab \
-f "$SCRIPT_DIR/gitlab-values.yaml" \
if helm status gitea -n gitea &> /dev/null; then
log_warn "Gitea já está instalado. Atualizando..."
eval helm upgrade gitea gitea-charts/gitea \
--namespace gitea \
-f "$SCRIPT_DIR/gitea-values.yaml" \
$HELM_ARGS \
--timeout 15m \
--timeout 10m \
--wait
log_success "GitLab atualizado com sucesso!"
log_success "Gitea atualizado com sucesso!"
else
log_info "Instalando GitLab..."
eval helm install gitlab gitlab/gitlab \
--namespace gitlab \
-f "$SCRIPT_DIR/gitlab-values.yaml" \
log_info "Instalando Gitea..."
eval helm install gitea gitea-charts/gitea \
--namespace gitea \
-f "$SCRIPT_DIR/gitea-values.yaml" \
$HELM_ARGS \
--timeout 15m \
--timeout 10m \
--wait
log_success "GitLab instalado com sucesso!"
log_success "Gitea instalado com sucesso!"
fi
echo ""
@@ -623,126 +422,82 @@ echo ""
log_info "=== Configurando TCP passthrough para SSH ==="
# Verificar se ConfigMap existe
if kubectl get configmap tcp-services -n ingress-nginx &> /dev/null; then
kubectl patch configmap tcp-services \
-n ingress-nginx \
--type merge \
-p '{"data":{"22":"gitlab/gitlab-gitlab-shell:22"}}'
-p '{"data":{"22":"gitea/gitea-ssh:22"}}'
else
kubectl create configmap tcp-services \
-n ingress-nginx \
--from-literal="22=gitlab/gitlab-gitlab-shell:22"
--from-literal="22=gitea/gitea-ssh:22"
fi
# Reiniciar NGINX para aplicar
kubectl rollout restart deployment ingress-nginx-controller -n ingress-nginx
log_success "TCP passthrough configurado (porta 22 → GitLab Shell)"
log_success "TCP passthrough configurado (porta 22 → Gitea SSH)"
echo ""
# =============================================================================
# 10. OBTER SENHA INICIAL
# =============================================================================
log_info "Obtendo senha inicial do root..."
# Aguardar secret ser criado e obter senha (até 2 min)
ROOT_PASSWORD=""
for i in {1..60}; do
ROOT_PASSWORD=$(kubectl get secret gitlab-gitlab-initial-root-password \
-n gitlab \
-o jsonpath='{.data.password}' 2>/dev/null | base64 -d 2>/dev/null)
if [[ -n "$ROOT_PASSWORD" ]]; then
log_success "Senha obtida"
break
fi
sleep 2
done
# =============================================================================
# RESUMO FINAL
# =============================================================================
# Determinar protocolo
PROTOCOL="https"
if [[ "$USE_CLOUDFLARE" == "false" && "$USE_LETSENCRYPT" == "false" ]]; then
PROTOCOL="http"
fi
echo ""
echo -e "${CYAN}═══════════════════════════════════════════════════${NC}"
echo -e "${GREEN} GitLab Instalado com Sucesso!${NC}"
echo -e "${GREEN} Gitea Instalado com Sucesso!${NC}"
echo -e "${CYAN}═══════════════════════════════════════════════════${NC}"
echo ""
echo "Componentes instalados:"
if [[ "$USE_LETSENCRYPT" == "true" ]]; then
echo " - cert-manager (ClusterIssuer: letsencrypt)"
fi
echo " - GitLab (namespace: gitlab)"
echo " - Webservice (UI + API)"
echo " - Sidekiq (background jobs)"
echo " - Gitaly (Git storage)"
echo " - GitLab Shell (SSH)"
echo " - PostgreSQL"
echo " - Redis"
echo " - Hetzner Object Storage (S3)"
echo " - Container Registry"
echo " - Gitea (namespace: gitea)"
echo " - Web UI + API + Git"
echo " - Container Registry (packages)"
echo " - SSH (porta 22)"
echo " - Gitea Actions (CI/CD)"
echo " - PostgreSQL (standalone)"
echo " - Valkey (cache)"
echo ""
# Determinar tipo de TLS para exibição
if [[ "$USE_LETSENCRYPT" == "true" ]]; then
TLS_TYPE="Let's Encrypt"
elif [[ "$USE_CLOUDFLARE" == "true" ]]; then
TLS_TYPE="CloudFlare"
else
TLS_TYPE="Sem TLS (HTTP)"
fi
echo "Configuração:"
echo " GitLab: ${GITLAB_HOST}"
echo " Registry: ${REGISTRY_HOST}"
echo " Gitea: ${GITEA_HOST}"
echo " Registry: ${GITEA_HOST} (integrado)"
echo " Domínio: ${DOMAIN}"
echo " TLS: ${TLS_TYPE}"
echo " CloudFlare: ${USE_CLOUDFLARE}"
echo " Let's Encrypt: ${USE_LETSENCRYPT}"
echo ""
echo "URLs:"
echo " Web: ${PROTOCOL}://${GITLAB_HOST}"
echo " Registry: ${PROTOCOL}://${REGISTRY_HOST}"
echo " SSH: git@${GITLAB_HOST} (porta 22)"
echo " Web: ${PROTOCOL}://${GITEA_HOST}"
echo " Registry: ${PROTOCOL}://${GITEA_HOST}"
echo " SSH: git@${GITEA_HOST} (porta 22)"
echo ""
echo "Credenciais:"
echo " Usuário: root"
if [ -n "$ROOT_PASSWORD" ]; then
echo " Senha: $ROOT_PASSWORD"
else
echo " Senha: (execute o comando abaixo)"
echo ""
echo " kubectl get secret gitlab-gitlab-initial-root-password -n gitlab \\"
echo " -o jsonpath='{.data.password}' | base64 -d; echo"
fi
# Lembrete de DNS (referência)
echo " Usuário: gitea_admin"
echo " Senha: ${ADMIN_PASSWORD}"
echo ""
echo -e "${CYAN}Lembrete DNS:${NC}"
echo " ${GITLAB_HOST} → LoadBalancer IP"
echo " ${REGISTRY_HOST} → LoadBalancer IP"
echo -e "${YELLOW}⚠ Guarde a senha! Ela não pode ser recuperada depois.${NC}"
# Mostrar instruções de DNS
show_dns_instructions
echo ""
echo "Container Registry:"
echo " # Login"
echo " docker login ${GITEA_HOST}"
echo ""
echo " # Push de imagem"
echo " docker tag minha-app:v1 ${GITEA_HOST}/usuario/minha-app:v1"
echo " docker push ${GITEA_HOST}/usuario/minha-app:v1"
echo ""
echo "Comandos úteis:"
echo " # Ver pods"
echo " kubectl get pods -n gitlab"
echo " kubectl get pods -n gitea"
echo ""
echo " # Ver logs"
echo " kubectl logs -n gitlab -l app=webservice -f"
echo " kubectl logs -n gitea -l app.kubernetes.io/name=gitea -f"
echo ""
echo " # Reiniciar componente"
echo " kubectl rollout restart deployment -n gitlab gitlab-webservice-default"
echo ""
if [[ "$USE_LETSENCRYPT" == "true" ]]; then
echo " # Ver status dos certificados"
echo " kubectl get certificate -n gitlab"
echo ""
fi
echo " # Desinstalar"
echo " ./cleanup.sh"
echo ""
@@ -751,4 +506,4 @@ echo ""
# Mostrar status dos pods
log_info "Status dos pods:"
kubectl get pods -n gitlab
kubectl get pods -n gitea