在Linux上搭建基於開源技術的nuget私人保密倉庫
前言
在Linux上搭建nuget私人倉庫一直是一個老大難的問題,主要涉及到以下難點:
- nuget.org官方使用的Nuget.Server基於.NET Framework的ASP.NET,而不是ASP.NET Core,因此是Windows Only(ASP.NET on Mono on Linux一直不是一個成熟的方案)。
- 其他的開源nuget服務應用皆不支持private feed(拉取驗證)。
- 有proget等商業包服務,但是過於笨重且額外功能均為付費。
目前大多數解決方案都是將nuget服務器放至公司內網,不在internet上暴露,遠程連接需要VPN,極為不便。
在各種嘗試后,發現nuget客戶端(包括dotnet cli內置的nuget功能)支持basic auth驗證,因此得出了以反向代理添添加basic auth和ssl層的方案。
- 注意!basic auth的用戶名密碼為明文傳輸,必須添加ssl層(也就是https)來確保基本安全性。
本文的技術選型為:
- 操作系統CentOS 8
- BaGet提供nuget的Server和Gallery的服務,支持Nuget API v3
- Docker承載BaGet應用(安裝指南)
- Docker Compose配置Docker容器(安裝指南)
- nginx提供basic auth支持和ssl支持
- certbot提供ssl證書發放和續訂
- dotnet cli(.NET 5.0 SDK)作為nuget客戶端(下載頁面)
本文默認CentOS 8、Docker、Docker Compose、.NET 5.0 SDK已經安裝,如未安裝請參見安裝指南/下載頁面連接進行安裝。
通過Docker Compose安裝運行BaGet鏡像
登入CentOS 8服務器,新建一個文件夾,作為BaGet服務的文件夾,下面用 BAGET 指代該文件夾的路徑:
mkdir -p BAGET && cd BAGET
在BAGET文件夾下添加一個環境配置文件 baget.env ,內容如下:
- 將NUGET-SERVER-API-KEY替換為你推送nuget包時所使用的api key,可以是一個較長的密碼字符串。
ApiKey=NUGET-SERVER-API-KEY Storage__Type=FileSystem Storage__Path=/var/baget/packages Database__Type=Sqlite Database__ConnectionString=Data Source=/var/baget/baget.db Search__Type=Database
在BAGET文件夾下添加一個Docker Compose配置文件 docker-compose.yml ,內容如下:
- 將12345替換成一個未被占用本地映射端口。
version: "2"
networks:
baget:
external: false
services:
server:
image: loicsharma/baget:latest
env_file: ./baget.env
restart: always
networks:
- baget
volumes:
- ./baget:/var/baget
ports:
- "127.0.0.1:12345:80"
啟動docker鏡像:
docker-compose up -d
通過curl確認baget正常啟動:
curl "http://localhost:12345/"
配置nginx反向代理
通過htpasswd配置密碼文件
安裝htpasswd:
dnf install -y httpd-tools
創建密碼文件:
- 將admin, 123456替換為登錄驗證的第一個用戶的用戶名和密碼,下同。
htpasswd -bc BAGET/.htpasswd admin 123456 chmod 644 BAGET/.htpasswd
添加用戶:
htpasswd -b BAGET/.htpasswd admin 123456
刪除用戶可以直接在 BAGET/.htpasswd 中刪除用戶的對應行。
配置nginx
在 /etc/nginx/conf.d 文件夾下添加一個配置文件 baget.conf 內容如下:
- 將DOMAIN_NAME替換為訪問nuget服務的域名,BAGET為之前創建的文件夾,12345為之前指定的端口號。
- 這里使用80端口而不是443,以供certbot自動生成ssl配置。
server {
server_name DOMAIN_NAME;
location / {
proxy_pass http://127.0.0.1:12345;
auth_basic "Login";
auth_basic_user_file BAGET/.htpasswd;
sub_filter_once off;
sub_filter_types application/json;
sub_filter 'http://127.0.0.1:12345/' 'https://DOMAIN_Name/';
}
listen 80;
}
配置certbot
安裝certbot:
wget https://dl.eff.org/certbot-auto sudo mv certbot-auto /usr/local/bin/certbot-auto sudo chown root /usr/local/bin/certbot-auto sudo chmod 0755 /usr/local/bin/certbot-auto
啟動certbot:
sudo /usr/local/bin/certbot-auto --nginx
執行后會要求你鍵盤輸入:
你的郵箱(填寫自己的郵箱)
是否接受協議(必須接受)
是否接收推送郵件(可以不接收)
打開哪些網站的ssl(直接回車代表全部)
是否將http連接重定向到https(一定要選是,否則會有密碼泄露的風險)
打開自動續訂:
echo "0 0,12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto renew -q" | sudo tee -a /etc/crontab > /dev/null
最后,在自己電腦上打開瀏覽器“https://DOMAIN_NAME/”打開站點,測試服務是否正常配置。
配置客戶端
在自己的桌面電腦上配置nuget,添加私有源:
- 將myRepo, admin, 123456, DOMAIN_NAME分別替換成你的私有源名稱,以及之前設置的賬號、密碼、域名
dotnet nuget add source -n myRepo -u admin -p 123456 https://DOMAIN_NAME/v3/index.json --valid-authentication-types basic
做好一個nuget包,並推送至私有源進行推送測試:
- 將myRepo, NUGET-SERVER-API-KEY, myPackage.nupkg分別替換成之前設置的私有源名稱、api key、nuget包路徑
dotnet nuget push -s myRepo -k NUGET-SERVER-API-KEY myPackage.nupkg
創建一個.NET Core項目,並添加包應用進行拉取測試:
dotnet add package myPackage
完成!