百人共用企业maven私服nexus迁移搭建手记
三年前,小米的第一个nexus(版本1.8.0)在一台dell的办公机上安装完成。域名为http://www.a.com。
三年后,a.com时不时已经慢得不行了。特别一到周一,大家都在update snapshot的时候,完全陷入一种无尽的痛苦中。
然后弄来了一台专业server做这事情,域名为http://www.b.com。版本到官网一看,已经2.64了。日新月异!
看升级文档顿时没了兴趣考虑升级,全新从零安装。
最后的办法是,在新机器上安装新的,把老的仓库挑出来设置为proxy类型。然后启用了ldap,同时保障大家都有deploy权限的同时,最大保障大家的密码不明文出现,同时通过代理ngx来限制最大上传的包,同时规定了snapshot的使用规则,防止在线上使用snapshot。以下是详细记录:
一、下载安装nexus和配置nginx
找个磁盘分区不小的:
wget http://sxrelease.n.miliao.com/nexus-2.6.4-02-bundle.zip
unzip nexus-2.6.4-02-bundle.zip
bin/nexus start
然后就能用了。http://www.a.com:8081已经启动了。当然了,如果还不能访问,应该是iptables在捣乱,试一下iptables -F。
[nginx安装忽略]
然后再在此机器上配置一个nginx代理到8081端口上。只举是为了:1.分担jetty的访问压力,毕竟公司人已经越来越多了。2.好做后续更多的事情。
server {
listen 80;
server_name b.com;
location / {
rewrite ^/(.*)$ http://www.b.com/nexus/$1 permanent;
}
access_log logs/nexus.access.log main;
location /nexus {
proxy_pass http://127.0.0.1:8081;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_read_timeout 5m;
client_max_body_size 30m;
}
}
server {
listen 443;
server_name b.com;
ssl on;
ssl_certificate ../ssl/b.com.crt;
ssl_certificate_key ../ssl/b.com.key;
….
配置中,启用了443的https代理,有安全意识的工程师使用ldap的时候传输密码要安全一点。
proxy_read_timeout设置5分钟,是因为在下载包时,有可能需要去拉一些没见过的包,设长一点以防出现504。
client_max_body_size设置30m,如果再有巨大的奇怪包要deploy,不这么容易了,用来防止不明真相的群众往maven库里传乱七八糟的东西。
二、设置nexus
第一个设置,为了防止仓库爆仓。
login->scheduled tasks->add,添加一个定时清理目录的计划任务即可。最后一个选项“remove if released”需要慎重,平时开发可能不是特别正规的时候可能会snapshot和release都需要。
第二个设置,打开LDAP支持,让每个人都有权限。
login->security->ldap configuration,填写各种惨无人道的ldap参数,[此处需要求助IT],然后security->roles->add->External Role Mapping,Realm选择LDAP,Role里如果没有数据,说明ldap没设置好,Role里选择一个组,点击create mapping。
然后在configuration中选择add,添加两个权限,一个是Nexus deployment role,一个是All maven repositories (Full control)。
然后在对应组的小伙伴们就有权限了。
三、设置本地settings.xml
把原来的settings文件的url从a.com改为b.com,普通的小伙伴即可使用新的仓库了。
要发包的小伙伴,因为ldap用户名密码明文写在文件里不好,于是就用下面的办法:
step 1.先随意定义一个种子
localhost:54chen 54chen$ mvn –encrypt-master-password 123asdadfafdadf {BHe/qKN8q30HBG3bAGbYLOVLnAqVRkzjb9/7yWs+Ks0=}
vim ~/.m2/settings-security.xml
写入内容:
step 2.最终生成
mvn –encrypt-password 你的邮箱密码 {RxLx1asdfiafrjIHfXZDadfwveda23avsdv=}
然后修改:
vim ~/.m2/settings.xml
当然了,mvn的版本要在2.1.0以上才行。
然后对deploy过程中明文传输有顾虑的小伙伴,直接上https即可。
四、在a.com中存在的包,在b.com中没有怎么办?
其实很简单,先在a.com中定位404的包在什么repo中,复制下来在a中的repo位置,在b.com中新加一个repo,类型为proxy,同时将remote storage location写成a的。同时, 单击public repositories,调整刚加的repo到ordered repo中去,即可。
[后记]
标题有点大,解释一下,百人共用的保障,主要还是在nginx上,挡这一层之后,可以做很多事情,比如再加点cache之类的,实际情况下,所有用户减少过度的snapshot使用,也有一定帮助。
原创文章如转载,请注明:转载自五四陈科学院[http://www.54chen.com]
Posted by 54chen 架构研究