写在前面
为什么要学会搭建npm私有库
答:
-
npm私有库只针对公司内部局域网开放,不对外部公开,具有一定的保密性 - 速度比在直接在
npm下载更快,甚至是比淘宝源更快。因为毕竟是在公司局域网 - 对于发布和下载
npm包配置权限管理 - 私有库能够将包资源进行缓存,响应的话会加快下载速度
- 搭建npm私有库算作对团队的一个技术亮点
verdaccio
verdaccio是nodejs 创建的轻量的私有npm proxy registry,froked于sinopia@1.4.0 ,是一个开源的npm私有库的搭建工具,可以搭建一套属于自己公司的npm仓库。
- 与
yarn 、npm 和pnmp100%兼容 - 提供的
Docker和Kubernetes支持,很容易安装和使用 - 发布的包是私有和配置访问权限
-
verdaccio是需要缓存所有相关项,并且在本地或者私有网络下可以加速安装
搭建过程
下载之前保证您的node版本>v8.x npm版本>v5.x
yarn>v1.x pnpm>v2.x ,web应用支持浏览器
Chrome,Firefox,Edge和IE11以上
复制代码
安装verdaccio
//在cmd输入
npm install -g verdaccio //npm下载
yarn global add verdaccio //yarn下载 用yarn下载的时候 verdaccio运行不起来的时候请换成npm下载
//或者nrm切换下源地址 要是报权限错误的话,请选择cmd<以管理员身份运行>在输入一次
//或者在cmd输入下面的命令:
npm install -g verdaccio --unsafe-perm
//--unsafe-perm添加上是为了防止报 gyp ERR! permission denied 的权限问题
//下载完成后会有红色字体表示:表示没有python的环境,这个时候不需要理会。
//在cmd输入:verdaccio 执行效果如下:
复制代码
[图片上传失败...(image-f2cd11-1648271864227)]
配置信息
config.yaml文件的配置信息
#
# 这是默认的配置文件. 它会允许我们做任何事情,
# 所以不要在生产环境(系统)使用它.
#
# 在这里可以看见更多的配置示例:
# https://github.com/verdaccio/verdaccio/tree/master/conf
#
# 包含所有包的目录路径,npm私服包的存放目录以及缓存地址
storage: ./storage
# 包含plugins的目录路径,默认插件的文件位置,一般只对docker部署有关系
plugins: ./plugins
web: #verdaccio的界面
title: Verdaccio
# comment out to disable gravatar support 注释掉gravatar禁止使用
# gravatar: false
# by default packages are ordercer ascendant (asc|desc) 默认的packages是准备好的两个选择
# sort_packages: asc
# convert your UI to the dark side 用户界面是黑夜模式
# darkMode: true
# translate your registry, api i18n not available yet 看看下你的注册表,i18n api还不能使用
# i18n:
# list of the available translations 查看可以使用的注册列表的地址:https://github.com/verdaccio/ui/tree/master/i18n/translations
# web: en-US
auth:
htpasswd:
file: ./htpasswd #保存用户的账号信息比如用户名,密码等,还没有注册或者登录的话暂时看不到
# Maximum amount of users allowed to register, defaults to "+inf".允许注册的最大用户数量,可以是无穷大
# You can set this to -1 to disable registration. 你可以设置-1去禁止用户通过 npm adduser 去注册
# max_users: 1000 #默认注册人数最大数量是1000
# a list of other known repositories we can talk to 我们需要了解其他相关有名的存储库
uplinks: #配置上游的npm服务器,主要用于请求的库不存在时可以去到上游服务器去获取,可以多配置下上游链路的链接
npmjs:
url: https://registry.npmjs.org/
agent_options: #代理的配置项
keepAlive: true
maxSockets: 40
maxFreeSockets: 10
packages: # 配置模块,access访问下载权限,pushlish包的发布权限
'@*/*': # 一种是@/表示某下面所属的某项目,关键字匹配
# scoped packages 配置权限管理
access: $all # 表示哪一类用户可以对匹配的项目进行安装(install)和查看包的信息
publish: $authenticated # 表示哪一类用户可以对匹配的项目进行发布(publish)
unpublish: $authenticated # 表示哪一类用户可以对匹配的项目进行卸载(publish)
proxy: npmjs # 这里的值是对应于 uplinks 的名称,如果本地不存在,允许去对应的uplinks去拉取
'**': # 另一种是*匹配项目名称(名称在package.json中有定义)
# allow all users (including non-authenticated users) to read and
# publish all packages
# 允许所有用户(包括未经身份验证的用户)读取和发布所有包
# you can specify usernames/groupnames (depending on your auth plugin) 您可以指定用户名/组织名称(取决于验证身份的插件)
# and three keywords: "$all", "$anonymous", "$authenticated" 三个关键字:所有的,匿名的,验证过的 也可以使用具体的用户名或者组织名称(公司私有的名字)和配置的用户表 htpasswd 有关
access: $all
# allow all known users to publish/publish packages 允许所有用户去发布包
# (anyone can register by default, remember?) 任何人都可以默认注册
publish: $authenticated
unpublish: $authenticated
# if package is not available locally, proxy requests to 'npmjs' registry 如果包不允许在本机使用,可以用proxy请求npmjs注册表的代理
proxy: npmjs
# You can specify HTTP/1.1 server keep alive timeout in seconds for incoming connections. 传入的指定连接的HTTP/1.1服务器保持活跃状态直到超时,以秒为单位
# A value of 0 makes the http server behave similarly to Node.js versions prior to 8.0.0, which did not have a keep-alive timeout. 值为0的时候的服务表现行为和8.0.0之前版本的nodejs链接的时候没有保持活跃状态导致超时
# WORKAROUND: Through given configuration you can workaround following issue 解决办法:通过已知的配置,你可以解决这些问题: https://github.com/verdaccio/verdaccio/issues/301. Set to 0 in case 60 is not enough. 如果60不够的话可以设置为0
server:
keepAliveTimeout: 60
middlewares:
audit:
enabled: true
# log settings 设置日志
logs:
- { type: stdout, format: pretty, level: http }
#- {type: file, path: verdaccio.log, level: info}
#experiments: 实验性的
# # support for npm token command 支持npm的token令牌
# token: false
# # support for the new v1 search endpoint, functional by incomplete read more on ticket 1732
# search: false
# # disable writing body size to logs, read more on ticket 1912
# bytesin_off: false
# This affect the web and api (not developed yet) 这些会影响web和api(尚未开发的功能)
#i18n:
#web: en-US
#默认是没有的,只能在本机访问,添加后可以通过外网访问
listen:0.0.0.0:4873
复制代码
通过pm2启动verdaccio
- 什么是pm2?
pm2 是一款著名的nodejs进程守护和管理工具,下面我们用pm2来启动verdaccio:
npm install -g pm2 //安装pm2
pm2 start verdaccio //启动verdaccio status为online即为成功 如下图所示:
复制代码
[图片上传失败...(image-dece0d-1648271864227)]
pm2常见命令
npm install pm2 -g // 命令行安装 pm2
pm2 start app.js // 启动app.js应用程序
pm2 start app.js -i 4 // 后台运行pm2,启动4个app.js
// 也可以把'max' 参数传递给 star
// 正确的进程数目依赖于Cpu的核心数目
pm2 start app.js --watch // 当文件变化时自动重启应用
pm2 list // 列表 PM2 启动的所有的应用程序
pm2 monit // 显示每个应用程序的CPU和内存占用情况
pm2 logs // 显示所有进程日志
pm2 start app.js --name="api" // 启动应用程序并命名为 "api"
pm2 start script.sh // 启动 bash 脚本
pm2 show [app-name] // 显示应用程序的所有信息
pm2 logs [app-name] // 显示指定应用程序的日志
pm2 stop all // 停止所有的应用程序
pm2 stop 0 // 停止 id为 0的指定应用程序
pm2 restart all // 重启所有应用
pm2 restart 0 // 重启指定的进程
pm2 delete all // 关闭并删除所有应用
pm2 delete 0 // 删除指定应用程序id为0的
...可以百度查阅下 ^_^
复制代码
发布npm包的流程
- 新建一个文件夹名称为npm-test ,在cmd控制台上输入
cd npm-test
npm init //初始化 默认指向index.js文件,所以新建一个index.js文件
//index.js文件
module.exports.Say = function(name){
return ("Hello " + name);
}
复制代码
好了,执行verdaccio命令就可以发布了
npm adduser --registry http://localhost:4873 //添加功能,无账号的添加完毕直接包
npm login --registry=http://localhost:4873 //登录功能,有账号的话可以直接使用这个
npm publish --registry http://localhost:4873 //发布包
复制代码
可以使用nrm进行管理npm源,来避免手动输入registry
nrm add company http://localhost:4873 //company可以换任意名称 url地址 添加功能
nrm use company //使用company的源地址
//这样的话简单了结,不用手动输入registry
npm addUser
npm login
npm publish
//注意:registry要切换到公司私有服务器地址,如果不是用nrm管理切换,则需要带上私有registry(重复啦!)
复制代码
此时在http://localhost:4873/ 页面上进行更新,就会发现你发布的包(包的名称就是文件的名称)。
接下来呢,我们来下载刚刚发布的包
//注意:registry要切换到公司私有服务器地址,如果不是用nrm管理切换,则需要带上私有registry(再来一遍)
//新建一个文件夹名为 app
cd app
npm install npm-test //要是没有切换的话,请手动添加 --registry=http://localhost:4873
//成功如图所示
复制代码
- 删除发布的包
npm unpublish npm-test --force //清除发布的包
复制代码
npm私有库的权限管理
因为verdaccio默认是人人都可以注册的,所以需要先将注册窗口关闭
auth:
htpasswd:
file: ./htpasswd
// 此配置项可以关闭注册功能
max_users: -1
复制代码
verdaccio 的认证是基于 verdaccio-htpasswd, 可以通过官方提供的工具来生成 www.htaccesstools.com/htpasswd-ge… htpasswd 中即可,这样的话就可以登录npm私有库
之后就需要修改verdaccio文件下的config.yaml的配置:针对不同的包来设置access,publish,unpublish对应的权限组,因为htpasswd是默认的鉴权插件,所以只能写入相应的用户名,all,authenticated,$anonymous
//小小实例下:
auth:
htpasswd:
file: ./htpasswd
// 此配置项可以关闭注册功能
max_users: -1
duGroup:
// 这里可以自定义用户组
demoPublish: [xiaoming, xiaohong, xiaoli]
demoUnpublish: [xiaojun, xiaoming]
testPublish: [xiaoming,xiaojun]
packages:
'@demo/*':
access: $all
// 针对不同的包,可以指定不同的用户组来满足权限控制
publish: demoPublish
unpublish: demoUnpublish
proxy: npmjs
'test':
access: $all
publish: testPublish
unpublish: demoUnpublish
proxy: npmjs
复制代码
或者通过安装htpasswd-for-sinopia工具来添加账号
npm install htpasswd-for-sinopia -g
sinopia-adduser // 在 htpasswd 目录执行
复制代码
为其他登录的用户生成用户名和密码,之后将用户名和密码写入verdaccio文件夹下的htpasswd文件中,然后就跟上文是一样的步骤。