ការដំឡើង និងកំណត់រចនាសម្ព័ន្ធ Nexus Sonatype ដោយប្រើហេដ្ឋារចនាសម្ព័ន្ធជាវិធីសាស្រ្តកូដ

Sonatype Nexus គឺជាវេទិការួមបញ្ចូលគ្នាមួយ ដែលអ្នកអភិវឌ្ឍន៍អាចប្រូកស៊ី រក្សាទុក និងគ្រប់គ្រងភាពអាស្រ័យរបស់ Java (Maven) Docker, Python, Ruby, NPM, រូបភាព Bower, កញ្ចប់ RPM, gitlfs, Apt, Go, Nuget និងចែកចាយសុវត្ថិភាពកម្មវិធីរបស់ពួកគេ។

ហេតុអ្វីបានជាអ្នកត្រូវការ Sonatype Nexus?

• សម្រាប់រក្សាទុកវត្ថុបុរាណឯកជន;
• សម្រាប់ឃ្លាំងសម្ងាត់វត្ថុបុរាណដែលត្រូវបានទាញយកពីអ៊ីនធឺណិត;

វត្ថុបុរាណដែលបានគាំទ្រនៅក្នុងកញ្ចប់ Sonatype Nexus មូលដ្ឋាន៖

• Java, Maven (ពាង)
• Dockers
• Python (pip)
• Ruby (ត្បូង)
• NPM
• ប៊ូវ
• យម (rpm)
• gitlfs
• ឆៅ
• អាប (ដេប)
• Go
• នូហ្គេត

វត្ថុបុរាណដែលគាំទ្រដោយសហគមន៍៖

• កម្មវិធីតែង
• Conan
• ស៊ី។ ខន
• អេលប៉ា
• កាន់តំណែង
• P2
• R

ការដំឡើង Sonatype Nexus ដោយប្រើ https://github.com/ansible-ThoTeam/nexus3-oss

តម្រូវការ

• អានអំពីការប្រើប្រាស់ ansible នៅលើអ៊ីនធឺណិត។
• ដំឡើង ansible pip install ansible នៅលើស្ថានីយការងារដែលសៀវភៅលេងដំណើរការ។
• កំណត់ geerlingguy.java នៅលើស្ថានីយការងារដែលសៀវភៅលេងដំណើរការ។
• កំណត់ geerlingguy.apache នៅលើស្ថានីយការងារដែលសៀវភៅលេងដំណើរការ។
• តួនាទីនេះត្រូវបានសាកល្បងនៅលើ CentOS 7, Ubuntu Xenial (16.04) និង Bionic (18.04), Debian Jessie និង Stretch
• jmespath បណ្ណាល័យត្រូវតែត្រូវបានដំឡើងនៅលើស្ថានីយការងារដែលសៀវភៅលេងកំពុងដំណើរការ។ ដើម្បីដំឡើង៖ sudo pip install -r requirements.txt
• រក្សាទុកឯកសារ playbook (ឧទាហរណ៍ខាងក្រោម) ទៅឯកសារ nexus.yml
• ដំណើរការការដំឡើង Nexus ansible-playbook -i host nexus.yml

ឧទាហរណ៍ ansible-playbook សម្រាប់ការដំឡើង nexus ដោយគ្មាន LDAP ជាមួយ Maven (java), Docker, Python, Ruby, NPM, Bower, RPM និង gitlfs repositories។

---
- name: Nexus
  hosts: nexus
  become: yes

  vars:
    nexus_timezone: 'Asia/Omsk'
    nexus_admin_password: "admin123"
    nexus_public_hostname: 'apatsev-nexus-playbook'
    httpd_setup_enable: false
    nexus_privileges:
      - name: all-repos-read
        description: 'Read & Browse access to all repos'
        repository: '*'
        actions:
          - read
          - browse
      - name: company-project-deploy
        description: 'Deployments to company-project'
        repository: company-project
        actions:
          - add
          - edit
    nexus_roles:
      - id: Developpers # maps to the LDAP group
        name: developers
        description: All developers
        privileges:
          - nx-search-read
          - all-repos-read
          - company-project-deploy
        roles: []
    nexus_local_users:
      - username: jenkins # used as key to update
        first_name: Jenkins
        last_name: CI
        email: [email protected]
        password: "s3cr3t"
        roles:
          - Developpers # role ID here
    nexus_blobstores:
      - name: company-artifacts
        path: /var/nexus/blobs/company-artifacts
    nexus_scheduled_tasks:
      - name: compact-blobstore
        cron: '0 0 22 * * ?'
        typeId: blobstore.compact
        taskProperties:
          blobstoreName: 'company-artifacts'

    nexus_repos_maven_proxy:
      - name: central
        remote_url: 'https://repo1.maven.org/maven2/'
        layout_policy: permissive
      - name: jboss
        remote_url: 'https://repository.jboss.org/nexus/content/groups/public-jboss/'
      - name: vaadin-addons
        remote_url: 'https://maven.vaadin.com/vaadin-addons/'
      - name: jaspersoft
        remote_url: 'https://jaspersoft.artifactoryonline.com/jaspersoft/jaspersoft-repo/'
        version_policy: mixed
    nexus_repos_maven_hosted:
      - name: company-project
        version_policy: mixed
        write_policy: allow
        blob_store: company-artifacts
    nexus_repos_maven_group:
      - name: public
        member_repos:
          - central
          - jboss
          - vaadin-addons
          - jaspersoft

    # Yum. Change nexus_config_yum to true for create yum repository
    nexus_config_yum: true
    nexus_repos_yum_hosted:
      - name: private_yum_centos_7
        repodata_depth: 1
    nexus_repos_yum_proxy:
      - name: epel_centos_7_x86_64
        remote_url: http://download.fedoraproject.org/pub/epel/7/x86_64
        maximum_component_age: -1
        maximum_metadata_age: -1
        negative_cache_ttl: 60
      - name: centos-7-os-x86_64
        remote_url: http://mirror.centos.org/centos/7/os/x86_64/
        maximum_component_age: -1
        maximum_metadata_age: -1
        negative_cache_ttl: 60
    nexus_repos_yum_group:
      - name: yum_all
        member_repos:
          - private_yum_centos_7
          - epel_centos_7_x86_64

    # NPM. Change nexus_config_npm to true for create npm repository
    nexus_config_npm: true
    nexus_repos_npm_hosted: []
    nexus_repos_npm_group:
      - name: npm-public
        member_repos:
          - npm-registry
    nexus_repos_npm_proxy:
      - name: npm-registry
        remote_url: https://registry.npmjs.org/
        negative_cache_enabled: false

    # Docker. Change nexus_config_docker to true for create docker repository
    nexus_config_docker: true
    nexus_repos_docker_hosted:
      - name: docker-hosted
        http_port: "{{ nexus_docker_hosted_port }}"
        v1_enabled: True
    nexus_repos_docker_proxy:
      - name: docker-proxy
        http_port: "{{ nexus_docker_proxy_port }}"
        v1_enabled: True
        index_type: "HUB"
        remote_url: "https://registry-1.docker.io"
        use_nexus_certificates_to_access_index: false
        maximum_component_age: 1440
        maximum_metadata_age: 1440
        negative_cache_enabled: true
        negative_cache_ttl: 1440
    nexus_repos_docker_group:
      - name: docker-group
        http_port: "{{ nexus_docker_group_port }}"
        v1_enabled: True
        member_repos:
          - docker-hosted
          - docker-proxy

    # Bower. Change nexus_config_bower to true for create bower repository
    nexus_config_bower: true
    nexus_repos_bower_hosted:
      - name: bower-hosted
    nexus_repos_bower_proxy:
      - name: bower-proxy
        index_type: "proxy"
        remote_url: "https://registry.bower.io"
        use_nexus_certificates_to_access_index: false
        maximum_component_age: 1440
        maximum_metadata_age: 1440
        negative_cache_enabled: true
        negative_cache_ttl: 1440
    nexus_repos_bower_group:
      - name: bower-group
        member_repos:
          - bower-hosted
          - bower-proxy

    # Pypi. Change nexus_config_pypi to true for create pypi repository
    nexus_config_pypi: true
    nexus_repos_pypi_hosted:
      - name: pypi-hosted
    nexus_repos_pypi_proxy:
      - name: pypi-proxy
        index_type: "proxy"
        remote_url: "https://pypi.org/"
        use_nexus_certificates_to_access_index: false
        maximum_component_age: 1440
        maximum_metadata_age: 1440
        negative_cache_enabled: true
        negative_cache_ttl: 1440
    nexus_repos_pypi_group:
      - name: pypi-group
        member_repos:
          - pypi-hosted
          - pypi-proxy

    # rubygems. Change nexus_config_rubygems to true for create rubygems repository
    nexus_config_rubygems: true
    nexus_repos_rubygems_hosted:
      - name: rubygems-hosted
    nexus_repos_rubygems_proxy:
      - name: rubygems-proxy
        index_type: "proxy"
        remote_url: "https://rubygems.org"
        use_nexus_certificates_to_access_index: false
        maximum_component_age: 1440
        maximum_metadata_age: 1440
        negative_cache_enabled: true
        negative_cache_ttl: 1440
    nexus_repos_rubygems_group:
      - name: rubygems-group
        member_repos:
          - rubygems-hosted
          - rubygems-proxy

    # gitlfs. Change nexus_config_gitlfs to true for create gitlfs repository
    nexus_config_gitlfs: true
    nexus_repos_gitlfs_hosted:
      - name: gitlfs-hosted

  roles:
    - { role: geerlingguy.java }
    # Debian/Ubuntu only
    # - { role: geerlingguy.apache, apache_create_vhosts: no, apache_mods_enabled: ["proxy_http.load", "headers.load"], apache_remove_default_vhost: true, tags: ["geerlingguy.apache"] }
    # RedHat/CentOS only
    - { role: geerlingguy.apache, apache_create_vhosts: no, apache_remove_default_vhost: true, tags: ["geerlingguy.apache"] }
    - { role: ansible-thoteam.nexus3-oss, tags: ['ansible-thoteam.nexus3-oss'] }

រូបថតអេក្រង់៖

តួនាទីអថេរ

អថេរតួនាទី

អថេរ​ដែល​មាន​តម្លៃ​លំនាំដើម (មើល default/main.yml):

អថេរទូទៅ

    nexus_version: ''
    nexus_timezone: 'UTC'

តាមលំនាំដើម តួនាទីនឹងដំឡើងកំណែចុងក្រោយបំផុតរបស់ Nexus ។ អ្នកអាចជួសជុលកំណែដោយផ្លាស់ប្តូរអថេរ nexus_version. មើលកំណែដែលមាននៅ https://www.sonatype.com/download-oss-sonatype.

ប្រសិនបើអ្នកប្តូរទៅកំណែថ្មីជាងនេះ តួនាទីនឹងព្យាយាមធ្វើបច្ចុប្បន្នភាពការដំឡើង Nexus របស់អ្នក។

ប្រសិនបើអ្នកកំពុងប្រើកំណែចាស់របស់ Nexus ជាងកំណែចុងក្រោយបំផុត អ្នកគួរតែធានាថាអ្នកមិនកំពុងប្រើលក្ខណៈពិសេសដែលមិនមាននៅក្នុងការចេញផ្សាយដែលបានដំឡើងទេ (ឧទាហរណ៍ ការផ្ទុក yum repositories មានសម្រាប់ nexus ធំជាង 3.8.0, git lfs repo សម្រាប់ទំនាក់ទំនងធំជាង 3.3.0 ។ល។)

nexus timezone គឺជាឈ្មោះនៃតំបន់ពេលវេលា Java ដែលអាចមានប្រយោជន៍ក្នុងការរួមបញ្ចូលគ្នាជាមួយកន្សោម cron ខាងក្រោមសម្រាប់កិច្ចការ nexus_scheduled ។

ច្រក Nexus និងផ្លូវបរិបទ

    nexus_default_port: 8081
    nexus_default_context_path: '/'

ច្រក និងផ្លូវបរិបទនៃដំណើរការតភ្ជាប់ Java ។ nexus_default_context_path ត្រូវ​តែ​មាន​សញ្ញា​ថយ​ក្រោយ​នៅ​ពេល​ដែល​វា​ត្រូវ​បាន​កំណត់ ឧទាហរណ៍៖ nexus_default_context_path: '/nexus/'.

អ្នកប្រើប្រាស់ Nexus OS និងក្រុម

    nexus_os_group: 'nexus'
    nexus_os_user: 'nexus'

អ្នកប្រើប្រាស់ និងក្រុមដែលធ្លាប់ធ្វើជាកម្មសិទ្ធិឯកសារ Nexus និងដំណើរការសេវាកម្មនេះនឹងត្រូវបានបង្កើតឡើងដោយតួនាទី ប្រសិនបើបាត់ឯកសារណាមួយ។

    nexus_os_user_home_dir: '/home/nexus'

អនុញ្ញាតឱ្យផ្លាស់ប្តូរថតផ្ទះលំនាំដើមសម្រាប់អ្នកប្រើប្រាស់ Nexus

ថតឧទាហរណ៍ Nexus

    nexus_installation_dir: '/opt'
    nexus_data_dir: '/var/nexus'
    nexus_tmp_dir: "{{ (ansible_os_family == 'RedHat') | ternary('/var/nexus-tmp', '/tmp/nexus') }}"

កាតាឡុក Nexus ។

• nexus_installation_dir មានឯកសារដែលអាចប្រតិបត្តិបានដែលបានដំឡើង
• nexus_data_dir មានការកំណត់រចនាសម្ព័ន្ធ ឃ្លាំង និងវត្ថុបុរាណដែលបានទាញយកទាំងអស់។ ផ្លូវ blobstore ផ្ទាល់ខ្លួន nexus_data_dir អាចត្រូវបានប្ដូរតាមបំណងសូមមើលខាងក្រោម nexus_blobstores.
• nexus_tmp_dir មានឯកសារបណ្តោះអាសន្នទាំងអស់។ ផ្លូវលំនាំដើមសម្រាប់ redhat ត្រូវបានផ្លាស់ប្តូរពី /tmp ដើម្បីជម្នះបញ្ហាដែលអាចកើតមានជាមួយនឹងនីតិវិធីសម្អាតដោយស្វ័យប្រវត្តិ។ សូមមើល #168 ។

កំណត់រចនាសម្ព័ន្ធការប្រើប្រាស់អង្គចងចាំ Nexus JVM

    nexus_min_heap_size: "1200M"
    nexus_max_heap_size: "{{ nexus_min_heap_size }}"
    nexus_max_direct_memory: "2G"

ទាំងនេះគឺជាការកំណត់លំនាំដើមសម្រាប់ Nexus ។ សូមកុំផ្លាស់ប្តូរតម្លៃទាំងនេះ ប្រសិនបើអ្នកមិនទាន់បានអាន ផ្នែកអង្គចងចាំរបស់ប្រព័ន្ធ Nexus ហើយមិនយល់ពីអ្វីដែលពួកគេកំពុងធ្វើ។

ជាការព្រមានទីពីរ នេះគឺជាការដកស្រង់ចេញពីឯកសារខាងលើ៖

វាមិនត្រូវបានណែនាំអោយបង្កើនអង្គចងចាំ JVM heap លើសពីតម្លៃដែលបានណែនាំក្នុងការប៉ុនប៉ងធ្វើឱ្យប្រសើរឡើងនូវការអនុវត្តនោះទេ។ នេះពិតជាអាចមានឥទ្ធិពលផ្ទុយដែលបណ្តាលឱ្យមានការងារមិនចាំបាច់សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ។

ពាក្យសម្ងាត់អ្នកគ្រប់គ្រង

    nexus_admin_password: 'changeme'

ពាក្យសម្ងាត់គណនី "អ្នកគ្រប់គ្រង" សម្រាប់ការដំឡើង។ វាដំណើរការតែលើការដំឡើងលំនាំដើមដំបូងប៉ុណ្ណោះ។. សូមមើល [ផ្លាស់ប្តូរពាក្យសម្ងាត់អ្នកគ្រប់គ្រងបន្ទាប់ពីការដំឡើងលើកដំបូង](# change-admin-password-after-first-install) ប្រសិនបើអ្នកចង់ផ្លាស់ប្តូរវានៅពេលក្រោយដោយប្រើតួនាទីមួយ។

វាត្រូវបានណែនាំយ៉ាងខ្លាំងមិនឱ្យរក្សាទុកពាក្យសម្ងាត់របស់អ្នកជាអត្ថបទច្បាស់លាស់នៅក្នុងសៀវភៅលេងនោះទេ ប៉ុន្តែត្រូវប្រើ [ការអ៊ិនគ្រីប ansible-vault] (https://docs.ansible.com/ansible/latest/user_guide/vault.html) (ទាំងក្នុងជួរ ឬក្នុងឯកសារដាច់ដោយឡែកដែលផ្ទុកដោយ ឧ. include_vars)

ការចូលប្រើអនាមិកតាមលំនាំដើម

    nexus_anonymous_access: false

ការចូលប្រើអនាមិកត្រូវបានបិទតាមលំនាំដើម។ អានបន្ថែមអំពី ការចូលប្រើអនាមិក.

ឈ្មោះម៉ាស៊ីនសាធារណៈ

    nexus_public_hostname: 'nexus.vm'
    nexus_public_scheme: https

ឈ្មោះ និងគ្រោងការណ៍ដែលមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ពេញលេញ (https ឬ http) ដែលឧទាហរណ៍ Nexus នឹងមានសម្រាប់អតិថិជនរបស់ខ្លួន។

ការចូលប្រើ API សម្រាប់តួនាទីនេះ។

    nexus_api_hostname: localhost
    nexus_api_scheme: http
    nexus_api_validate_certs: "{{ nexus_api_scheme == 'https' }}"
    nexus_api_context_path: "{{ nexus_default_context_path }}"
    nexus_api_port: "{{ nexus_default_port }}"

អថេរទាំងនេះគ្រប់គ្រងពីរបៀបដែលតួនាទីភ្ជាប់ទៅ Nexus API សម្រាប់ការផ្តល់។
សម្រាប់តែអ្នកប្រើប្រាស់កម្រិតខ្ពស់ប៉ុណ្ណោះ។ អ្នកប្រហែលជាមិនចង់ផ្លាស់ប្តូរការកំណត់លំនាំដើមទាំងនេះទេ។

ការដំឡើងប្រូកស៊ីបញ្ច្រាស

    httpd_setup_enable: false
    httpd_server_name: "{{ nexus_public_hostname }}"
    httpd_default_admin_email: "[email protected]"
    httpd_ssl_certificate_file: 'files/nexus.vm.crt'
    httpd_ssl_certificate_key_file: 'files/nexus.vm.key'
    # httpd_ssl_certificate_chain_file: "{{ httpd_ssl_certificate_file }}"
    httpd_copy_ssl_files: true

កំណត់ ប្រូកស៊ីបញ្ច្រាស SSL.
ដើម្បីធ្វើដូចនេះអ្នកត្រូវដំឡើង httpd ។ ចំណាំ: ពេលណាសម្រាប់ httpd_setup_enable កំណត់តម្លៃtrue, Nexus ទំនាក់ទំនង 127.0.0.1:8081 ដូច្នេះ មិនមាន អាចចូលប្រើដោយផ្ទាល់តាមរយៈច្រក HTTP 8081 ពីអាសយដ្ឋាន IP ខាងក្រៅ។

ឈ្មោះម៉ាស៊ីនលំនាំដើមដែលប្រើគឺ nexus_public_hostname. ប្រសិនបើអ្នកត្រូវការឈ្មោះផ្សេងគ្នាសម្រាប់ហេតុផលមួយចំនួន អ្នកអាចកំណត់បាន។ httpd_server_name ជាមួយនឹងអត្ថន័យផ្សេងគ្នា។

С httpd_copy_ssl_files: true (តាមលំនាំដើម) វិញ្ញាបនបត្រខាងលើគួរតែមាននៅក្នុងថតសៀវភៅលេងរបស់អ្នក ហើយនឹងត្រូវបានចម្លងទៅម៉ាស៊ីនមេ និងកំណត់រចនាសម្ព័ន្ធក្នុង apache ។

ប្រសិនបើអ្នកចង់ប្រើវិញ្ញាបនបត្រដែលមានស្រាប់នៅលើម៉ាស៊ីនមេ សូមដំឡើង httpd_copy_ssl_files: false និងផ្តល់អថេរដូចខាងក្រោមៈ

    # These specifies to the vhost where to find on the remote server file
    # system the certificate files.
    httpd_ssl_cert_file_location: "/etc/pki/tls/certs/wildcard.vm.crt"
    httpd_ssl_cert_key_location: "/etc/pki/tls/private/wildcard.vm.key"
    # httpd_ssl_cert_chain_file_location: "{{ httpd_ssl_cert_file_location }}"

httpd_ssl_cert_chain_file_location ជាជម្រើស ហើយគួរតែទុកចោលដោយមិនកំណត់ ប្រសិនបើអ្នកមិនចង់ប្ដូរឯកសារខ្សែសង្វាក់នេះតាមបំណង

    httpd_default_admin_email: "[email protected]"

កំណត់អាសយដ្ឋានអ៊ីមែលអ្នកគ្រប់គ្រងលំនាំដើម

ការកំណត់រចនាសម្ព័ន្ធ LDAP

ការតភ្ជាប់ LDAP និងអាណាចក្រសុវត្ថិភាពត្រូវបានបិទតាមលំនាំដើម

    nexus_ldap_realm: false
    ldap_connections: []

ការតភ្ជាប់ LDAPធាតុនីមួយៗមើលទៅដូចនេះ៖

    nexus_ldap_realm: true
    ldap_connections:
      - ldap_name: 'My Company LDAP' # used as a key to update the ldap config
        ldap_protocol: 'ldaps' # ldap or ldaps
        ldap_hostname: 'ldap.mycompany.com'
        ldap_port: 636
        ldap_use_trust_store: false # Wether or not to use certs in the nexus trust store
        ldap_search_base: 'dc=mycompany,dc=net'
        ldap_auth: 'none' # or simple
        ldap_auth_username: 'username' # if auth = simple
        ldap_auth_password: 'password' # if auth = simple
        ldap_user_base_dn: 'ou=users'
        ldap_user_filter: '(cn=*)' # (optional)
        ldap_user_object_class: 'inetOrgPerson'
        ldap_user_id_attribute: 'uid'
        ldap_user_real_name_attribute: 'cn'
        ldap_user_email_attribute: 'mail'
        ldap_user_subtree: false
        ldap_map_groups_as_roles: false
        ldap_group_base_dn: 'ou=groups'
        ldap_group_object_class: 'posixGroup'
        ldap_group_id_attribute: 'cn'
        ldap_group_member_attribute: 'memberUid'
        ldap_group_member_format: '${username}'
        ldap_group_subtree: false

ឧទាហរណ៍ ការកំណត់រចនាសម្ព័ន្ធ LDAP សម្រាប់ការផ្ទៀងផ្ទាត់អនាមិក (ការចងអនាមិក) នេះក៏ជាការកំណត់ "តិចតួចបំផុត"៖

    nexus_ldap_realm: true
    ldap_connection:
      - ldap_name: 'Simplest LDAP config'
        ldap_protocol: 'ldaps'
        ldap_hostname: 'annuaire.mycompany.com'
        ldap_search_base: 'dc=mycompany,dc=net'
        ldap_port: 636
        ldap_use_trust_store: false
        ldap_user_id_attribute: 'uid'
        ldap_user_real_name_attribute: 'cn'
        ldap_user_email_attribute: 'mail'
        ldap_user_object_class: 'inetOrgPerson'

ឧទាហរណ៍ការកំណត់រចនាសម្ព័ន្ធ LDAP សម្រាប់ការផ្ទៀងផ្ទាត់សាមញ្ញ (ដោយប្រើគណនី DSA)៖

    nexus_ldap_realm: true
    ldap_connections:
      - ldap_name: 'LDAP config with DSA'
        ldap_protocol: 'ldaps'
        ldap_hostname: 'annuaire.mycompany.com'
        ldap_port: 636
        ldap_use_trust_store: false
        ldap_auth: 'simple'
        ldap_auth_username: 'cn=mynexus,ou=dsa,dc=mycompany,dc=net'
        ldap_auth_password: "{{ vault_ldap_dsa_password }}" # better keep passwords in an ansible vault
        ldap_search_base: 'dc=mycompany,dc=net'
        ldap_user_base_dn: 'ou=users'
        ldap_user_object_class: 'inetOrgPerson'
        ldap_user_id_attribute: 'uid'
        ldap_user_real_name_attribute: 'cn'
        ldap_user_email_attribute: 'mail'
        ldap_user_subtree: false

ឧទាហរណ៍ការកំណត់រចនាសម្ព័ន្ធ LDAP សម្រាប់ការផ្ទៀងផ្ទាត់សាមញ្ញ (ដោយប្រើគណនី DSA) + ក្រុមដែលបានគូសផែនទីជាតួនាទី៖

    nexus_ldap_realm: true
    ldap_connections
      - ldap_name: 'LDAP config with DSA'
        ldap_protocol: 'ldaps'
        ldap_hostname: 'annuaire.mycompany.com'
        ldap_port: 636
        ldap_use_trust_store: false
        ldap_auth: 'simple'
        ldap_auth_username: 'cn=mynexus,ou=dsa,dc=mycompany,dc=net'
        ldap_auth_password: "{{ vault_ldap_dsa_password }}" # better keep passwords in an ansible vault
        ldap_search_base: 'dc=mycompany,dc=net'
        ldap_user_base_dn: 'ou=users'
        ldap_user_object_class: 'inetOrgPerson'
        ldap_user_id_attribute: 'uid'
        ldap_user_real_name_attribute: 'cn'
        ldap_user_email_attribute: 'mail'
        ldap_map_groups_as_roles: true
        ldap_group_base_dn: 'ou=groups'
        ldap_group_object_class: 'groupOfNames'
        ldap_group_id_attribute: 'cn'
        ldap_group_member_attribute: 'member'
        ldap_group_member_format: 'uid=${username},ou=users,dc=mycompany,dc=net'
        ldap_group_subtree: false

ឧទាហរណ៍ ការកំណត់រចនាសម្ព័ន្ធ LDAP សម្រាប់ការផ្ទៀងផ្ទាត់សាមញ្ញ (ដោយប្រើគណនី DSA) + ក្រុមដែលបានគូសផែនទីថាមវន្តជាតួនាទី៖

    nexus_ldap_realm: true
    ldap_connections:
      - ldap_name: 'LDAP config with DSA'
        ldap_protocol: 'ldaps'
        ldap_hostname: 'annuaire.mycompany.com'
        ldap_port: 636
        ldap_use_trust_store: false
        ldap_auth: 'simple'
        ldap_auth_username: 'cn=mynexus,ou=dsa,dc=mycompany,dc=net'
        ldap_auth_password: "{{ vault_ldap_dsa_password }}" # better keep passwords in an ansible vault
        ldap_search_base: 'dc=mycompany,dc=net'
        ldap_user_base_dn: 'ou=users'
        ldap_user_object_class: 'inetOrgPerson'
        ldap_user_id_attribute: 'uid'
        ldap_user_real_name_attribute: 'cn'
        ldap_user_email_attribute: 'mail'
        ldap_map_groups_as_roles: true
        ldap_map_groups_as_roles_type: 'dynamic'
        ldap_user_memberof_attribute: 'memberOf'

ឯកសិទ្ធិ

    nexus_privileges:
      - name: all-repos-read # used as key to update a privilege
        # type: <one of application, repository-admin, repository-content-selector, repository-view, script or wildcard>
        description: 'Read & Browse access to all repos'
        repository: '*'
        actions: # can be add, browse, create, delete, edit, read or  * (all)
          - read
          - browse
        # pattern: pattern
        # domain: domain
        # script_name: name

បញ្ជី សិទ្ធិ សម្រាប់ការកំណត់។ សូមក្រឡេកមើលឯកសារ និង GUI ដើម្បីពិនិត្យមើលអថេរណាមួយដែលត្រូវកំណត់អាស្រ័យលើប្រភេទសិទ្ធិ។

ធាតុទាំងនេះត្រូវបានផ្សំជាមួយនឹងតម្លៃលំនាំដើមខាងក្រោម៖

    _nexus_privilege_defaults:
      type: repository-view
      format: maven2
      actions:
        - read

តួនាទី (នៅខាងក្នុង Nexus មានន័យថា)

    nexus_roles:
      - id: Developpers # can map to a LDAP group id, also used as a key to update a role
        name: developers
        description: All developers
        privileges:
          - nx-search-read
          - all-repos-read
        roles: [] # references to other role names

បញ្ជី តួនាទី សម្រាប់ការកំណត់។

អ្នកប្រើប្រាស់។

    nexus_local_users: []
      # - username: jenkins # used as key to update
      #   state: present # default value if ommited, use 'absent' to remove user
      #   first_name: Jenkins
      #   last_name: CI
      #   email: [email protected]
      #   password: "s3cr3t"
      #   roles:
      #     - developers # role ID

បញ្ជីអ្នកប្រើប្រាស់/គណនីក្នុងស្រុក (មិនមែន LDAP) ដើម្បីបង្កើតជាទំនាក់ទំនង។

បញ្ជីអ្នកប្រើប្រាស់/គណនីក្នុងស្រុក (មិនមែន LDAP) ដែលត្រូវបង្កើតនៅក្នុង Nexus ។

      nexus_ldap_users: []
      # - username: j.doe
      #   state: present
      #   roles:
      #     - "nx-admin"

ការគូសផែនទី Ldap នៃអ្នកប្រើប្រាស់/តួនាទី។ រដ្ឋ absent នឹងដកតួនាទីចេញពីអ្នកប្រើប្រាស់ដែលមានស្រាប់ ប្រសិនបើមានរួចហើយ។
អ្នកប្រើប្រាស់ Ldap មិនត្រូវបានលុបទេ។ ការព្យាយាមកំណត់តួនាទីសម្រាប់អ្នកប្រើប្រាស់ដែលមិនមានស្រាប់នឹងបណ្តាលឱ្យមានកំហុស។

អ្នកជ្រើសរើសមាតិកា

  nexus_content_selectors:
  - name: docker-login
    description: Selector for docker login privilege
    search_expression: format=="docker" and path=~"/v2/"

សម្រាប់ព័ត៌មានបន្ថែមអំពីកម្មវិធីជ្រើសរើសមាតិកា សូមមើល ឯកសារ.

ដើម្បីប្រើឧបករណ៍ជ្រើសរើសមាតិកា សូមបន្ថែមសិទ្ធិថ្មីជាមួយ type: repository-content-selector និងពាក់ព័ន្ធcontentSelector

- name: docker-login-privilege
  type: repository-content-selector
  contentSelector: docker-login
  description: 'Login to Docker registry'
  repository: '*'
  actions:
  - read
  - browse

Blobstores និងឃ្លាំង

    nexus_delete_default_repos: false

លុបឃ្លាំងពី nexus ដំឡើងការកំណត់លំនាំដើមដំបូង។ ជំហាននេះត្រូវបានប្រតិបត្តិតែលើការដំឡើងលើកដំបូងប៉ុណ្ណោះ (ពេលណា nexus_data_dir ត្រូវបានរកឃើញទទេ) ។

ការលុបឃ្លាំងចេញពីការកំណត់លំនាំដើមលំនាំដើមសម្រាប់ Nexus ។ ជំហាននេះត្រូវបានអនុវត្តតែក្នុងអំឡុងពេលដំឡើងដំបូងប៉ុណ្ណោះ (ពេលណា nexus_data_dir ទទេ) ។

    nexus_delete_default_blobstore: false

លុប blobstore លំនាំដើមពី nexus ដំឡើងការកំណត់រចនាសម្ព័ន្ធលំនាំដើមដំបូង។ នេះអាចត្រូវបានធ្វើបានលុះត្រាតែ nexus_delete_default_repos: true ហើយឃ្លាំងដែលបានកំណត់រចនាសម្ព័ន្ធទាំងអស់ (សូមមើលខាងក្រោម) មានភាពច្បាស់លាស់ blob_store: custom. ជំហាននេះត្រូវបានប្រតិបត្តិតែលើការដំឡើងលើកដំបូងប៉ុណ្ណោះ (ពេលណា nexus_data_dir ត្រូវបានរកឃើញទទេ) ។

ការដកការផ្ទុកប្លុក (វត្ថុបុរាណគោលពីរ) ត្រូវបានបិទតាមលំនាំដើមពីការកំណត់ដំបូង។ ដើម្បីលុបកន្លែងផ្ទុកប្លុក (វត្ថុបុរាណគោលពីរ) សូមបិទ nexus_delete_default_repos: true. ជំហាននេះត្រូវបានអនុវត្តតែក្នុងអំឡុងពេលដំឡើងដំបូងប៉ុណ្ណោះ (ពេលណា nexus_data_dir ទទេ) ។

    nexus_blobstores: []
    # example blobstore item :
    # - name: separate-storage
    #   type: file
    #   path: /mnt/custom/path
    # - name: s3-blobstore
    #   type: S3
    #   config:
    #     bucket: s3-blobstore
    #     accessKeyId: "{{ VAULT_ENCRYPTED_KEY_ID }}"
    #     secretAccessKey: "{{ VAULT_ENCRYPTED_ACCESS_KEY }}"

Blobstores ដើម្បីបង្កើត។ ផ្លូវ blobstore និង blobstore ឃ្លាំងមិនអាចត្រូវបានធ្វើបច្ចុប្បន្នភាពបន្ទាប់ពីការបង្កើតដំបូងទេ (ការធ្វើបច្ចុប្បន្នភាពណាមួយនៅទីនេះនឹងមិនត្រូវបានអើពើនៅពេលផ្តល់ឡើងវិញ) ។

ការកំណត់រចនាសម្ព័ន្ធ blobstore នៅលើ S3 ត្រូវបានផ្តល់ជូនជាភាពងាយស្រួល និងមិនមែនជាផ្នែកនៃការធ្វើតេស្តស្វ័យប្រវត្តិដែលយើងដំណើរការលើ travis នោះទេ។ សូមចំណាំថាការរក្សាទុកនៅលើ S3 ត្រូវបានណែនាំសម្រាប់តែករណីដែលបានដាក់ឱ្យប្រើប្រាស់នៅលើ AWS ប៉ុណ្ណោះ។

ការបង្កើត Blobstores. ផ្លូវផ្ទុក និងឃ្លាំងផ្ទុកមិនអាចធ្វើបច្ចុប្បន្នភាពបានទេបន្ទាប់ពីការបង្កើតដំបូង (ការធ្វើបច្ចុប្បន្នភាពណាមួយនៅទីនេះនឹងមិនត្រូវបានអើពើនៅពេលដំឡើងម្តងទៀត)។

ការដំឡើងទំហំផ្ទុក blob នៅលើ S3 ត្រូវបានផ្តល់ជូនជាភាពងាយស្រួល។ សូមចំណាំថាការផ្ទុក S3 ត្រូវបានណែនាំសម្រាប់តែករណីដែលបានដាក់ពង្រាយនៅលើ AWS ប៉ុណ្ណោះ។

    nexus_repos_maven_proxy:
      - name: central
        remote_url: 'https://repo1.maven.org/maven2/'
        layout_policy: permissive
        # maximum_component_age: -1
        # maximum_metadata_age: 1440
        # negative_cache_enabled: true
        # negative_cache_ttl: 1440
      - name: jboss
        remote_url: 'https://repository.jboss.org/nexus/content/groups/public-jboss/'
        # maximum_component_age: -1
        # maximum_metadata_age: 1440
        # negative_cache_enabled: true
        # negative_cache_ttl: 1440
    # example with a login/password :
    # - name: secret-remote-repo
    #   remote_url: 'https://company.com/repo/secure/private/go/away'
    #   remote_username: 'username'
    #   remote_password: 'secret'
    #   # maximum_component_age: -1
    #   # maximum_metadata_age: 1440
    #   # negative_cache_enabled: true
    #   # negative_cache_ttl: 1440

ខាងលើគឺជាឧទាហរណ៍នៃការកំណត់ ម៉ាស៊ីនមេប្រូកស៊ី ម៉ាវេន។

    nexus_repos_maven_hosted:
      - name: private-release
        version_policy: release
        write_policy: allow_once  # one of "allow", "allow_once" or "deny"

Maven ឃ្លាំងបង្ហោះ ការកំណត់​រចនាសម្ព័ន្ធ។ ការកំណត់ឃ្លាំងសម្ងាត់អវិជ្ជមានគឺស្រេចចិត្ត ហើយនឹងកំណត់លំនាំដើមទៅនឹងតម្លៃខាងលើប្រសិនបើត្រូវបានលុបចោល។

ការកំណត់​រចនាសម្ព័ន្ធ ឃ្លាំងបង្ហោះ ម៉ាវេន។ ការកំណត់រចនាសម្ព័ន្ធឃ្លាំងសម្ងាត់អវិជ្ជមាន (-1) គឺស្រេចចិត្ត ហើយនឹងកំណត់លំនាំដើមទៅនឹងតម្លៃខាងលើ ប្រសិនបើមិនបានបញ្ជាក់។

    nexus_repos_maven_group:
      - name: public
        member_repos:
          - central
          - jboss

ការកំណត់​រចនាសម្ព័ន្ធ ក្រុម ម៉ាវេន។

ប្រភេទឃ្លាំងទាំងបីត្រូវបានផ្សំជាមួយនឹងតម្លៃលំនាំដើមដូចខាងក្រោម៖

    _nexus_repos_maven_defaults:
      blob_store: default # Note : cannot be updated once the repo has been created
      strict_content_validation: true
      version_policy: release # release, snapshot or mixed
      layout_policy: strict # strict or permissive
      write_policy: allow_once # one of "allow", "allow_once" or "deny"
      maximum_component_age: -1  # Nexus gui default. For proxies only
      maximum_metadata_age: 1440  # Nexus gui default. For proxies only
      negative_cache_enabled: true # Nexus gui default. For proxies only
      negative_cache_ttl: 1440 # Nexus gui default. For proxies only

Docker, Pypi, Raw, Rubygems, Bower, NPM, Git-LFS និងប្រភេទឃ្លាំង yum៖
មើលឃើញ defaults/main.yml សម្រាប់ជម្រើសទាំងនេះ៖

Docker, Pypi, Raw, Rubygems, Bower, NPM, Git-LFS និង yum repositories ត្រូវបានបិទតាមលំនាំដើម៖
សូមមើល defaults/main.yml សម្រាប់ជម្រើសទាំងនេះ៖

      nexus_config_pypi: false
      nexus_config_docker: false
      nexus_config_raw: false
      nexus_config_rubygems: false
      nexus_config_bower: false
      nexus_config_npm: false
      nexus_config_gitlfs: false
      nexus_config_yum: false

សូមចំណាំថា អ្នកប្រហែលជាត្រូវបើកវិសាលភាពសុវត្ថិភាពជាក់លាក់ ប្រសិនបើអ្នកចង់ប្រើប្រភេទឃ្លាំងផ្សេងទៀតក្រៅពី maven ។ នេះគឺមិនពិតតាមលំនាំដើម

nexus_nuget_api_key_realm: false
nexus_npm_bearer_token_realm: false
nexus_docker_bearer_token_realm: false  # required for docker anonymous access

Remote User Realm ក៏អាចត្រូវបានបើកដោយប្រើ

nexus_rut_auth_realm: true

ហើយចំណងជើងអាចត្រូវបានប្ដូរតាមបំណងដោយការកំណត់

nexus_rut_auth_header: "CUSTOM_HEADER"

ភារកិច្ចដែលបានគ្រោងទុក

    nexus_scheduled_tasks: []
    #  #  Example task to compact blobstore :
    #  - name: compact-docker-blobstore
    #    cron: '0 0 22 * * ?'
    #    typeId: blobstore.compact
    #    task_alert_email: [email protected]  # optional
    #    taskProperties:
    #      blobstoreName: {{ nexus_blob_names.docker.blob }} # all task attributes are stored as strings by nexus internally
    #  #  Example task to purge maven snapshots
    #  - name: Purge-maven-snapshots
    #    cron: '0 50 23 * * ?'
    #    typeId: repository.maven.remove-snapshots
    #    task_alert_email: [email protected]  # optional
    #    taskProperties:
    #      repositoryName: "*"  # * for all repos. Change to a repository name if you only want a specific one
    #      minimumRetained: "2"
    #      snapshotRetentionDays: "2"
    #      gracePeriodInDays: "2"
    #    booleanTaskProperties:
    #      removeIfReleased: true
    #  #  Example task to purge unused docker manifest and images
    #  - name: Purge unused docker manifests and images
    #    cron: '0 55 23 * * ?'
    #    typeId: "repository.docker.gc"
    #    task_alert_email: [email protected]  # optional
    #    taskProperties:
    #      repositoryName: "*"  # * for all repos. Change to a repository name if you only want a specific one
    #  #  Example task to purge incomplete docker uploads
    #  - name: Purge incomplete docker uploads
    #    cron: '0 0 0 * * ?'
    #    typeId: "repository.docker.upload-purge"
    #    task_alert_email: [email protected]  # optional
    #    taskProperties:
    #      age: "24"

ភារកិច្ចដែលបានគ្រោងទុក សម្រាប់ការកំណត់។ typeId និងភារកិច្ចជាក់លាក់taskProperties/booleanTaskProperties អ្នកអាចទាយបានទាំង៖

• ពីឋានានុក្រមប្រភេទ Java org.sonatype.nexus.scheduling.TaskDescriptorSupport
• ពិនិត្យមើលទម្រង់បង្កើតកិច្ចការ HTML នៅក្នុងកម្មវិធីរុករករបស់អ្នក។
• ពីការមើលសំណើ AJAX នៅក្នុងកម្មវិធីរុករកនៅពេលរៀបចំភារកិច្ចដោយដៃ។

លក្ខណៈសម្បត្តិកិច្ចការត្រូវតែត្រូវបានប្រកាសនៅក្នុងប្លុក yaml ត្រឹមត្រូវ អាស្រ័យលើប្រភេទរបស់វា។:

• taskProperties សម្រាប់លក្ខណៈសម្បត្តិខ្សែអក្សរទាំងអស់ (ឧទាហរណ៍ ឈ្មោះឃ្លាំង ឈ្មោះឃ្លាំង រយៈពេល...)។
• booleanTaskProperties សម្រាប់លក្ខណៈសម្បត្តិឡូជីខលទាំងអស់ (ឧ. ជាចម្បងប្រអប់ធីកនៅក្នុង GUI នៃកិច្ចការបង្កើតទំនាក់ទំនង)។

ការបម្រុងទុក

      nexus_backup_configure: false
      nexus_backup_cron: '0 0 21 * * ?'  # See cron expressions definition in nexus create task gui
      nexus_backup_dir: '/var/nexus-backup'
      nexus_restore_log: '{{ nexus_backup_dir }}/nexus-restore.log'
      nexus_backup_rotate: false
      nexus_backup_rotate_first: false
      nexus_backup_keep_rotations: 4  # Keep 4 backup rotation by default (current + last 3)

ការបម្រុងទុកនឹងមិនត្រូវបានកំណត់ទេរហូតដល់អ្នកប្តូរ nexus_backup_configure в true.
ក្នុងករណីនេះ កិច្ចការស្គ្រីបដែលបានកំណត់ពេលនឹងត្រូវបានកំណត់ឱ្យដំណើរការនៅលើ Nexus
នៅចន្លោះពេលដែលបានបញ្ជាក់នៅក្នុង nexus_backup_cron (លំនាំដើម 21:00 ជារៀងរាល់ថ្ងៃ) ។
សូមមើល [គំរូ groovy សម្រាប់កិច្ចការនេះ](templates/backup.groovy.j2) សម្រាប់ព័ត៌មានលម្អិត។
កិច្ចការដែលបានកំណត់ពេលនេះគឺឯករាជ្យពីអ្នកដទៃ nexus_scheduled_tasksដែលអ្នក
ប្រកាសនៅក្នុងសៀវភៅលេងរបស់អ្នក។

ប្រសិនបើអ្នកចង់បង្វិល/លុបការបម្រុងទុក សូមដំឡើង nexus_backup_rotate: true និងកំណត់រចនាសម្ព័ន្ធចំនួននៃការបម្រុងទុកដែលអ្នកចង់រក្សាទុកដោយប្រើ nexus_backup_keep_rotations (លំនាំដើម 4) ។

នៅពេលប្រើការបង្វិល ប្រសិនបើអ្នកចង់រក្សាទុកទំហំថាសបន្ថែមក្នុងអំឡុងពេលដំណើរការបម្រុងទុក។
អ្នកអាចដំឡើង nexus_backup_rotate_first: true. វា​នឹង​កំណត់​រចនាសម្ព័ន្ធ​ការ​បង្វិល/លុប​មុន​មុន​ពេល​បម្រុង​ទុក។ តាមលំនាំដើម ការបង្វិលកើតឡើងបន្ទាប់ពីការបម្រុងទុកត្រូវបានបង្កើត។ សូមចំណាំថាក្នុងករណីនេះការបម្រុងទុកចាស់
នឹងត្រូវបានលុបមុនពេលការបម្រុងទុកបច្ចុប្បន្នត្រូវបានធ្វើឡើង។

នីតិវិធីស្តារឡើងវិញ

ដំណើរការសៀវភៅលេងជាមួយប៉ារ៉ាម៉ែត្រ -e nexus_restore_point=<YYYY-MM-dd-HH-mm-ss>
(ឧទាហរណ៍ 2017-12-17-21-00-00 សម្រាប់ថ្ងៃទី 17 ខែធ្នូ ឆ្នាំ 2017 វេលាម៉ោង 21:00

ការដកទំនាក់ទំនងចេញ

ការព្រមាន៖ វានឹងលុបទិន្នន័យបច្ចុប្បន្នរបស់អ្នកទាំងស្រុង។ ត្រូវប្រាកដថាធ្វើការបម្រុងទុកមុនប្រសិនបើចាំបាច់

ប្រើអថេរ nexus_purgeប្រសិនបើអ្នកត្រូវការចាប់ផ្ដើមឡើងវិញពីដំបូង ហើយដំឡើងកម្មវិធី nexus ឡើងវិញជាមួយនឹងទិន្នន័យទាំងអស់ដែលបានដកចេញ។

ansible-playbook -i your/inventory.ini your_nexus_playbook.yml -e nexus_purge=true

ផ្លាស់ប្តូរពាក្យសម្ងាត់អ្នកគ្រប់គ្រងបន្ទាប់ពីការដំឡើងដំបូង

    nexus_default_admin_password: 'admin123'

វាមិនគួរត្រូវបានផ្លាស់ប្តូរនៅក្នុងសៀវភៅលេងរបស់អ្នកទេ។. អថេរ​នេះ​ត្រូវ​បាន​បញ្ចូល​ជាមួយ​នឹង​ពាក្យ​សម្ងាត់​អ្នក​គ្រប់គ្រង Nexus លំនាំដើម​នៅ​ពេល​បាន​ដំឡើង​ដំបូង ហើយ​ធានា​ថា​យើង​អាច​ប្តូរ​ពាក្យ​សម្ងាត់​អ្នក​គ្រប់គ្រង​ទៅ nexus_admin_password.

ប្រសិនបើអ្នកចង់ផ្លាស់ប្តូរពាក្យសម្ងាត់អ្នកគ្រប់គ្រងបន្ទាប់ពីការដំឡើងដំបូង អ្នកអាចប្តូរវាទៅជាពាក្យសម្ងាត់ចាស់ជាបណ្តោះអាសន្នពីបន្ទាត់ពាក្យបញ្ជា។ បន្ទាប់ពីការផ្លាស់ប្តូរ nexus_admin_password នៅក្នុងសៀវភៅលេងរបស់អ្នក អ្នកអាចដំណើរការ៖

ansible-playbook -i your/inventory.ini your_playbook.yml -e nexus_default_admin_password=oldPassword

ឆានែល Telegram នៅលើ Nexus Sonatype៖ https://t.me/ru_nexus_sonatype

មានតែអ្នកប្រើប្រាស់ដែលបានចុះឈ្មោះប៉ុណ្ណោះដែលអាចចូលរួមក្នុងការស្ទង់មតិនេះ។ ចូលសូម។

តើអ្នកប្រើឃ្លាំងវត្ថុបុរាណអ្វីខ្លះ?

• Sonatype Nexus គឺឥតគិតថ្លៃ

• Sonatype Nexus បានបង់

• Artifactory គឺឥតគិតថ្លៃ

• វត្ថុបុរាណត្រូវបានបង់

• កំពង់ផែ

• ផូស

អ្នកប្រើប្រាស់ 9 នាក់បានបោះឆ្នោត។ អ្នកប្រើប្រាស់ ៦៣ នាក់ត្រូវបានហាមឃាត់។

ប្រភព: www.habr.com