在Linux上搭建基于开源技术的nuget私人保密仓库

在Linux上搭建基于开源技术的nuget私人保密仓库

前言

在Linux上搭建nuget私人仓库一直是一个老大难的问题,主要涉及到以下难点:

  1. nuget.org官方使用的Nuget.Server基于.NET Framework的ASP.NET,而不是ASP.NET Core,因此是Windows Only(ASP.NET on Mono on Linux一直不是一个成熟的方案)。
  2. 其他的开源nuget服务应用皆不支持private feed(拉取验证)。
  3. 有proget等商业包服务,但是过于笨重且额外功能均为付费。

目前大多数解决方案都是将nuget服务器放至公司内网,不在internet上暴露,远程连接需要VPN,极为不便。

在各种尝试后,发现nuget客户端(包括dotnet cli内置的nuget功能)支持basic auth验证,因此得出了以反向代理添添加basic auth和ssl层的方案。

  • 注意!basic auth的用户名密码为明文传输,必须添加ssl层(也就是https)来确保基本安全性。

本文的技术选型为:

  • 操作系统CentOS 8
  • BaGet提供nuget的Server和Gallery的服务,支持Nuget API v3
  • Docker承载BaGet应用(安装指南)
  • Docker Compose配置Docker容器(安装指南)
  • nginx提供basic auth支持和ssl支持
  • certbot提供ssl证书发放和续订
  • dotnet cli(.NET 5.0 SDK)作为nuget客户端(下载页面)

本文默认CentOS 8、Docker、Docker Compose、.NET 5.0 SDK已经安装,如未安装请参见安装指南/下载页面连接进行安装。


通过Docker Compose安装运行BaGet镜像

登入CentOS 8服务器,新建一个文件夹,作为BaGet服务的文件夹,下面用 BAGET 指代该文件夹的路径:

mkdir -p BAGET && cd BAGET

在BAGET文件夹下添加一个环境配置文件 baget.env ,内容如下:

  • 将NUGET-SERVER-API-KEY替换为你推送nuget包时所使用的api key,可以是一个较长的密码字符串。
ApiKey=NUGET-SERVER-API-KEY

Storage__Type=FileSystem
Storage__Path=/var/baget/packages
Database__Type=Sqlite
Database__ConnectionString=Data Source=/var/baget/baget.db
Search__Type=Database

 

在BAGET文件夹下添加一个Docker Compose配置文件 docker-compose.yml ,内容如下:

  • 将12345替换成一个未被占用本地映射端口。
version: "2"

networks:
  baget:
    external: false

services:
  server:
    image: loicsharma/baget:latest
    env_file: ./baget.env
    restart: always
    networks:
      - baget
    volumes:
      - ./baget:/var/baget
    ports:
      - "127.0.0.1:12345:80"

 

启动docker镜像:

docker-compose up -d

 

通过curl确认baget正常启动:

curl "http://localhost:12345/"

 

配置nginx反向代理

通过htpasswd配置密码文件

安装htpasswd:

dnf install -y httpd-tools

创建密码文件:

  • 将admin, 123456替换为登录验证的第一个用户的用户名和密码,下同。
htpasswd -bc BAGET/.htpasswd admin 123456
chmod 644 BAGET/.htpasswd

添加用户:

htpasswd -b BAGET/.htpasswd admin 123456

删除用户可以直接在 BAGET/.htpasswd 中删除用户的对应行。

配置nginx

在 /etc/nginx/conf.d 文件夹下添加一个配置文件 baget.conf 内容如下:

  • 将DOMAIN_NAME替换为访问nuget服务的域名,BAGET为之前创建的文件夹,12345为之前指定的端口号。
  • 这里使用80端口而不是443,以供certbot自动生成ssl配置。
server {
    server_name DOMAIN_NAME;

    location / {
        proxy_pass http://127.0.0.1:12345;
        auth_basic "Login";
        auth_basic_user_file BAGET/.htpasswd;
        sub_filter_once off;
        sub_filter_types application/json;
        sub_filter 'http://127.0.0.1:12345/' 'https://DOMAIN_Name/';
    }

    listen 80;
}

配置certbot

安装certbot:

wget https://dl.eff.org/certbot-auto
sudo mv certbot-auto /usr/local/bin/certbot-auto
sudo chown root /usr/local/bin/certbot-auto
sudo chmod 0755 /usr/local/bin/certbot-auto

启动certbot:

sudo /usr/local/bin/certbot-auto --nginx

执行后会要求你键盘输入:

  你的邮箱(填写自己的邮箱)

  是否接受协议(必须接受)

  是否接收推送邮件(可以不接收)

  打开哪些网站的ssl(直接回车代表全部)

  是否将http连接重定向到https(一定要选是,否则会有密码泄露的风险)

打开自动续订:

echo "0 0,12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto renew -q" | sudo tee -a /etc/crontab > /dev/null

最后,在自己电脑上打开浏览器“https://DOMAIN_NAME/”打开站点,测试服务是否正常配置。

配置客户端

在自己的桌面电脑上配置nuget,添加私有源:

  • 将myRepo, admin, 123456, DOMAIN_NAME分别替换成你的私有源名称,以及之前设置的账号、密码、域名
dotnet nuget add source -n myRepo -u admin -p 123456 https://DOMAIN_NAME/v3/index.json --valid-authentication-types basic

做好一个nuget包,并推送至私有源进行推送测试:

  • 将myRepo, NUGET-SERVER-API-KEY, myPackage.nupkg分别替换成之前设置的私有源名称、api key、nuget包路径
dotnet nuget push -s myRepo -k NUGET-SERVER-API-KEY myPackage.nupkg

创建一个.NET Core项目,并添加包应用进行拉取测试:

dotnet add package myPackage

完成!

 

你可能感兴趣的:(在Linux上搭建基于开源技术的nuget私人保密仓库)