在Linux上搭建基于开源技术的nuget私人保密仓库
前言
在Linux上搭建nuget私人仓库一直是一个老大难的问题,主要涉及到以下难点:
- nuget.org官方使用的Nuget.Server基于.NET Framework的ASP.NET,而不是ASP.NET Core,因此是Windows Only(ASP.NET on Mono on Linux一直不是一个成熟的方案)。
- 其他的开源nuget服务应用皆不支持private feed(拉取验证)。
- 有proget等商业包服务,但是过于笨重且额外功能均为付费。
目前大多数解决方案都是将nuget服务器放至公司内网,不在internet上暴露,远程连接需要VPN,极为不便。
在各种尝试后,发现nuget客户端(包括dotnet cli内置的nuget功能)支持basic auth验证,因此得出了以反向代理添添加basic auth和ssl层的方案。
- 注意!basic auth的用户名密码为明文传输,必须添加ssl层(也就是https)来确保基本安全性。
本文的技术选型为:
- 操作系统CentOS 8
- BaGet提供nuget的Server和Gallery的服务,支持Nuget API v3
- Docker承载BaGet应用(安装指南)
- Docker Compose配置Docker容器(安装指南)
- nginx提供basic auth支持和ssl支持
- certbot提供ssl证书发放和续订
- dotnet cli(.NET 5.0 SDK)作为nuget客户端(下载页面)
本文默认CentOS 8、Docker、Docker Compose、.NET 5.0 SDK已经安装,如未安装请参见安装指南/下载页面连接进行安装。
通过Docker Compose安装运行BaGet镜像
登入CentOS 8服务器,新建一个文件夹,作为BaGet服务的文件夹,下面用 BAGET 指代该文件夹的路径:
mkdir -p BAGET && cd BAGET
在BAGET文件夹下添加一个环境配置文件 baget.env ,内容如下:
- 将NUGET-SERVER-API-KEY替换为你推送nuget包时所使用的api key,可以是一个较长的密码字符串。
ApiKey=NUGET-SERVER-API-KEY Storage__Type=FileSystem Storage__Path=/var/baget/packages Database__Type=Sqlite Database__ConnectionString=Data Source=/var/baget/baget.db Search__Type=Database
在BAGET文件夹下添加一个Docker Compose配置文件 docker-compose.yml ,内容如下:
- 将12345替换成一个未被占用本地映射端口。
version: "2" networks: baget: external: false services: server: image: loicsharma/baget:latest env_file: ./baget.env restart: always networks: - baget volumes: - ./baget:/var/baget ports: - "127.0.0.1:12345:80"
启动docker镜像:
docker-compose up -d
通过curl确认baget正常启动:
curl "http://localhost:12345/"
配置nginx反向代理
通过htpasswd配置密码文件
安装htpasswd:
dnf install -y httpd-tools
创建密码文件:
- 将admin, 123456替换为登录验证的第一个用户的用户名和密码,下同。
htpasswd -bc BAGET/.htpasswd admin 123456 chmod 644 BAGET/.htpasswd
添加用户:
htpasswd -b BAGET/.htpasswd admin 123456
删除用户可以直接在 BAGET/.htpasswd 中删除用户的对应行。
配置nginx
在 /etc/nginx/conf.d 文件夹下添加一个配置文件 baget.conf 内容如下:
- 将DOMAIN_NAME替换为访问nuget服务的域名,BAGET为之前创建的文件夹,12345为之前指定的端口号。
- 这里使用80端口而不是443,以供certbot自动生成ssl配置。
server { server_name DOMAIN_NAME; location / { proxy_pass http://127.0.0.1:12345; auth_basic "Login"; auth_basic_user_file BAGET/.htpasswd; sub_filter_once off; sub_filter_types application/json; sub_filter 'http://127.0.0.1:12345/' 'https://DOMAIN_Name/'; } listen 80; }
配置certbot
安装certbot:
wget https://dl.eff.org/certbot-auto sudo mv certbot-auto /usr/local/bin/certbot-auto sudo chown root /usr/local/bin/certbot-auto sudo chmod 0755 /usr/local/bin/certbot-auto
启动certbot:
sudo /usr/local/bin/certbot-auto --nginx
执行后会要求你键盘输入:
你的邮箱(填写自己的邮箱)
是否接受协议(必须接受)
是否接收推送邮件(可以不接收)
打开哪些网站的ssl(直接回车代表全部)
是否将http连接重定向到https(一定要选是,否则会有密码泄露的风险)
打开自动续订:
echo "0 0,12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto renew -q" | sudo tee -a /etc/crontab > /dev/null
最后,在自己电脑上打开浏览器“https://DOMAIN_NAME/”打开站点,测试服务是否正常配置。
配置客户端
在自己的桌面电脑上配置nuget,添加私有源:
- 将myRepo, admin, 123456, DOMAIN_NAME分别替换成你的私有源名称,以及之前设置的账号、密码、域名
dotnet nuget add source -n myRepo -u admin -p 123456 https://DOMAIN_NAME/v3/index.json --valid-authentication-types basic
做好一个nuget包,并推送至私有源进行推送测试:
- 将myRepo, NUGET-SERVER-API-KEY, myPackage.nupkg分别替换成之前设置的私有源名称、api key、nuget包路径
dotnet nuget push -s myRepo -k NUGET-SERVER-API-KEY myPackage.nupkg
创建一个.NET Core项目,并添加包应用进行拉取测试:
dotnet add package myPackage
完成!