Self-hosting. Gitea

services:
  gitea:
    image: gitea/gitea:latest
    container_name: gitea
    environment:
      - ENABLE_REVERSE_PROXY_AUTHENTICATION=true
      - DISABLE_REGISTRATION=true
      - REQUIRE_SIGNIN_VIEW=true
      - USER_UID=1001
      - USER_GID=1001
    restart: always
    volumes:
      - /home/deniom/docker/gitea/data:/data
      - /etc/timezone:/etc/timezone:ro
      - /etc/localtime:/etc/localtime:ro
      - /home/git/.ssh/:/data/git/.ssh
    ports:
      - 3000:3000
      - "127.0.0.1:2222:22"
    networks:
      - gitea

Для подключения к закрытому репозиторию gitea необходимо использовать вариант подключения с токеном или авторизацию по ssh.

Для подключения по токену доступа необходимо в настройках пользователя перейти в радел приложения и создать новый токен доступа:

Для получения данных из репозитория по токену доступа необходимо добавить ключ авторизации в адрес доступа репозитория вида:

https://<token>@gitea.domein.ru/User/repa.git

---

Преимуществом подключения по ssh к репозиторию является то что не надо проходить авторизацию по паролю или использовать в адреса в явном виде токен доступа что обеспечивает дополнительную безопасность.

Настройка gitea

Подробная актуальная документация доступна на сайте: Gitea Documentation

1. Создать отдельного пользователя git без установки пароля

sudo useradd -m -s /bin/bash git
sudo mkdir -p /home/git/.ssh
sudo touch /home/git/.ssh/authorized_keys
sudo chmod 700 /home/git/.ssh
sudo chmod 600 /home/git/.ssh/authorized_keys
sudo chown -R git:git /home/deniom/.ssh

2. Внести изменения в docker compose

ports:  
# [...]  
	- "127.0.0.1:2222:22"

environment:  
	- USER_UID=1001  
	- USER_GID=1001

Где USER_UID и USER_GID определить командой

id git

3. Если раньше уже запускался gitea и есть репозитории то передать права на папку с данными на нового пользователя командой ниже, вся дальнейшая работа с репозиториями гит будет идти от данного пользователя

sudo chown -R git:git /home/deniom/docker/gitea/data

4. Создаем ключ для связи с gitea, и передаем его новому пользователю

sudo -u git ssh-keygen -t rsa -b 4096 -C "Gitea Host Key"
sudo -u git cat /home/git/.ssh/id_rsa.pub | sudo -u git tee -a /home/git/.ssh/authorized_keys  
sudo -u git chmod 600 /home/git/.ssh/authorized_keys

5. Создаем скрипт для подмены команды SSH

cat <<"EOF" | sudo tee /usr/local/bin/gitea
#!/bin/sh
ssh -p 2222 -o StrictHostKeyChecking=no git@127.0.0.1 "SSH_ORIGINAL_COMMAND=\"$SSH_ORIGINAL_COMMAND\" $0 $@"
EOF

sudo chmod +x /usr/local/bin/gitea

При помощи данного скрипта будет выполнятся переадресация в контейнер gitea но при этом доступ к самому серверу так же останется по 22 порту. Подробнее в документации gitea.
6. Перезапустить docker контейнер gitea с новыми настройками
7. Добавим новый ключ в интерфейсе gitea. Для этого идем в Профиль -> Ключи SSH -> Добавить ключ
8. Проверим работу (пока только по ip)

git clone git@192.168.0.132:Deniom\testrepa.git

Настройка проксирования

Для обращения к gitea по ssh с использованием домена необходимо выполнить проектирование tcp трафика по 22 порту. Для этого будет использован traefik.

1. Перенести подключение по ssh на сервере с traefik с 22 порта (см. Изменение порта доступа по SSH)
2. Внести изменения в Traefik открыв 22 порт

    ports:
      - 22:22

3. В статическую конфигурацию traefik.yml добавить точку входа ssh

entryPoints:
  ssh:
    address: ":22"

4. Изменить динамическую конфигурацию для gitea добавив секцию проксирования tcp

tcp:
  routers:
    gitea-ssh:
      entryPoints:
        - ssh
      rule: "HostSNI(`*`)"
      service: gitea-ssh
  
  services:
    gitea-ssh:
      loadBalancer:
        servers:
          - address: 192.168.0.132:22

5. Проверка работы по домену

git clone git@gitea.domein.ru:Deniom\testrepa.git

---