什么是Nexus 3
Nexus 3是由Sonatype公司开发的一款强大的包管理和仓库服务工具,它广泛应用于自动化的构建系统和持续集成/持续部署(CI/CD)流程中。Nexus 3支持多种包格式,包括但不限于Maven、npm、Docker、NuGet等,能够为软件开发中的依赖管理提供一站式解决方案。
主要特点
多种格式支持:Nexus 3能够管理多种格式的二进制文件和源代码包,适用于不同编程语言和构建工具。
代理和托管仓库:Nexus 3允许用户创建代理仓库来缓存远程仓库中的组件,同时也可以创建托管仓库用于存储和管理内部生成的组件。
安全性和权限管理:Nexus 3提供细粒度的权限控制,支持与外部用户管理系统(如LDAP)集成,确保仓库的安全访问。
高可用性和大规模部署:支持高可用性部署配置,能够处理大量的请求和存储大量的组件,适合大规模企业环境。
仓库健康检查和优化:提供仓库健康检查工具和数据优化工具,帮助维护仓库的稳定性和效率。
界面和集成:提供了一个用户友好的界面,方便用户管理仓库和组件。同时,Nexus 3可以与Jenkins、Bamboo等CI/CD工具集成,优化开发流程。
代理仓库概念
代理仓库在 Nexus 3 中扮演着至关重要的角色,它主要用于以下几个方面:
缓存远程依赖:代理仓库可以缓存从远程仓库(如 Maven 中央仓库)下载的依赖,减少对原始源的直接访问,加快本地访问速度。
网络优化:通过减少对远程源的访问,代理仓库有助于降低跨境访问延迟和带宽消耗。
依赖隔离:在网络不稳定或远程源不可用时,代理仓库可以作为依赖的备份源,保证构建的连续性。
访问控制:可以对代理仓库设置访问权限,控制谁可以下载或上传依赖。
代理仓库工作原理
部署方式
Nexus 3可以通过多种方式部署,包括传统的安装包方式、Docker容器化部署,以及Kubernetes等容器编排平台。容器化部署提供了更高的灵活性和可移植性,使得Nexus 3可以轻松地在不同环境中运行。
部署
安装:
-
登录1Panel后再应用商店中找到 Nexus Repository, 点击安装
-
确认应用端口是否被占用,如果有就修改一个没有被占用的,启用端口外部访问
-
等待nexus的安装
-
等到状态变成绿色的已启动后,选择边上的文件夹图标,进入安装目录
-
点击进入data目录后,找到
admin.password这个文件并打开,里面是Nexus的admin初始密码
初始化配置
-
输入 http://IP:8080访问Nexus 3,然后点右上角进行登录,用户名为
admin,密码在admin.password获得。
-
根据引导修改管理员密码,并启用匿名访问。
设置Docker镜像代理
-
打开设置 >> Security >> Roles >> Create Role
-
然后按照如下填写
-
打开设置 >> Security >> Users,找到
AnonymousUser这个用户进行编辑,并添加DockerPullAnonymous这个权限。
-
继续打开设置 >> Security >> Realms,添加
DockerBearerTokenRealm这个权限并保存。
-
打开设置 >> Repositories >> Create repository我们开始创建一个Docker镜像仓库。
-
然后选择
docker (proxy)
-
注意下方红框标注的地方(Remote storage填写 https://registry-1.docker.io 或其他可以访问的docker镜像库)
-
查看docker (proxy) 的URL
设置反向代理并启用HTTPS
在执行docker pull操作时,为了满足Docker官方的要求,即目标镜像地址必须通过HTTPS协议进行访问,我们可以采用以下步骤来配置Nginx作为反向代理服务器,以便通过Nexus 3连接并使用自定义域名支持HTTPS访问。当然你有其他方式也是可以的。具体的 Nginx 配置如下所示:
server {
listen 80;
server_name hub.xxx.com; # 填写你的域名
rewrite ^(.*) https://hub.xxx.com$1 permanent;
}
server {
listen 443 ssl http2;
server_name hub.xxx.com; # 填写你的域名
ssl_certificate /data/ssl/hub.xxx.com.crt; # 改成你的SSL证书
ssl_certificate_key /data/ssl/hub.xxx.com.key; # 改成你的SSL私钥
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m; # about 40000 sessions
ssl_session_tickets off;
# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
# HSTS (ngx_http_headers_module is required) (63072000 seconds)
add_header Strict-Transport-Security "max-age=63072000" always;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
location / {
client_max_body_size 64m;
proxy_http_version 1.1;
proxy_pass http://IP:8081/repository/docker/; # 改成你的Nexus 3上docker (proxy) 的URL
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 300s;
send_timeout 60s;
proxy_buffers 16 32k;
proxy_buffer_size 64k;
proxy_set_header Connection "";
}
}
测试
接下来在服务器使用命令 docker pull hub.xxx.com/helloz/onenav拉取镜像测试,可以成功拉取,说明配置成功了。
结论
Nexus 3 的代理仓库功能是其核心优势之一,为企业提供了一个高效、可靠且安全的依赖管理解决方案。在当前许多公开的Docker镜像加速地址不可用,以及官方Docker镜像源在国内受限的背景下,自行搭建Docker镜像代理显得尤为重要,当然还有一个大前提,你可以科学上网或者有海外资源。本文详细介绍了如何利用Nexus 3这一功能,搭建起一个适合个人或团队使用的Docker镜像代理服务。
