CI/CD на GitLab self-hosted: пайплайн для разработки в РФ 2026

После ухода GitHub Enterprise и Bitbucket Server из РФ в 2022–2023 годах GitLab Community Edition стал де-факто стандартом для self-hosted CI/CD. По данным опроса Хабра за 2025 год, 73% российских компаний с командой свыше 20 разработчиков используют GitLab CE или EE.

Почему именно self-hosted, а не SaaS

Облачный GitLab.com по-прежнему доступен, но имеет три критичных ограничения для российских компаний: оплата только зарубежной картой, риск блокировки аккаунта при санкционных проверках и хранение исходного кода за границей. Для проектов с грифом КИИ или работающих с госзаказом self-hosted — единственный вариант.

• Полный контроль над данными: репозитории остаются в периметре компании
• Соответствие 152-ФЗ и 187-ФЗ при работе с критической инфраструктурой
• Интеграция с корпоративным AD/LDAP без VPN-костылей
• Стоимость предсказуема: один раз на железо, дальше только электричество и ЗП админа

Минимальные требования к железу

Для команды до 50 разработчиков достаточно одной ноды. Берём сервер с 8 vCPU, 32 GB RAM, 500 GB NVMe. На Selectel такая конфигурация выделенного сервера обойдётся в 22 000 ₽/мес, на собственном железе — единоразово 280–350 тыс. ₽ за брендовый сервер уровня Yadro Vegman.

1. Установите Astra Linux SE 1.7 или РЕД ОС 7.3 — обе в реестре отечественного ПО
2. Скачайте omnibus-пакет GitLab CE с зеркала gitlab-mirror.ru или через корпоративный прокси
3. Установите PostgreSQL 14+ отдельно от GitLab — выгоднее для бэкапов
4. Настройте reverse proxy на Angie (форк NGINX от компании Wexpert) с TLS-сертификатом от КриптоПро
5. Поднимите 3–5 GitLab Runner на отдельных нодах с Docker executor

Базовый пайплайн для backend-проекта

Минимальный пайплайн для Go-сервиса состоит из 5 стадий: lint, test, build, security, deploy. Каждая стадия запускается в отдельном Docker-контейнере на runner. Артефакты кешируются в S3-совместимом хранилище — например, Selectel Object Storage за 1,8 ₽/ГБ в месяц.

• Lint: golangci-lint, проверка форматирования и потенциальных багов за 30 секунд
• Test: unit и integration тесты с покрытием через go-test-coverage
• Build: мультистейдж Docker-образ, отправка в встроенный Container Registry GitLab
• Security: Trivy сканирует образ на CVE, отчёт в формате SARIF
• Deploy: ansible-playbook на staging, ручной trigger на production

Интеграция с отечественными сервисами

В 1IT мы интегрируем GitLab self-hosted с отечественной экосистемой: пуш-уведомления через Pachca или VK Teams, баг-трекинг в Yandex Tracker или Kaiten, мониторинг раннеров через Zabbix или VictoriaMetrics. Все интеграции делаются через webhooks и API без зависимости от зарубежных SaaS.