verdaccio

2021-11-17

字数统计: 1.5k字 | 阅读时长≈ 5分

起因

公司内部的node工具、插件、组件，可以使项目开发效率得到大大的提升。将其发布到npm可以集中进行下载管理。

但是发布到npm的模块是开源的，我们只能共享大家都能用的开源模块。而对于公司的业务代码我们当然是不能开源的。这时候就需要搭建一个类似于 https://www.npmjs.com/平台私有的npm仓库，用于企业里面常用的业务模块，如业务组件的存放和快速安装。

优势

便于管理企业内的业务组件或者模块
私密性
确保npm服务快速、稳定
控制npm模块质量和安全（防止恶意代码植入）

verdaccio

业界主流的私有npm仓库搭建的方案有如下几种：

付费购买
使用 git+ssh 这种方式直接引用到 GitHub 项目地址
使用 sinopia
使用 verdaccio

方案1: 需要公司提供经费，而且npm在国内访问慢，体验也不一定好

方案2: 不能更新即 npm update 不能使用semver（语义化版本规范）

方案3: sinopia 虽然开源，但已经好久没有人维护，坑比较多

方案4: verdaccio 是 sinopia 开源框架的一个fork，开源免费且尚在维护

安装

只需要npm环境，全局安装：

1	npm install -g verdaccio

运行

安装完成后在命令行输入:

verdaccio

此时服务已经在红框地址启动(默认4873端口)，可以打开这个地址进入首页

发布

可以永久修改镜像：
1
npm config set registry http://localhost:4873
之后下面所有操作不需要加--registry http://localhost:4873
- 可以通过以下方式查看当前的镜像:
  
  返回**https://registry.npmjs.org/ **是默认的官方地址,表示未设置
  1
  npm config get registry
- 这种方式修改后，安装非私有包时，需要切换回官方默认地址。切换npm镜像推荐工具nrm，直接npm全局安装即可；主要有三个指令
  - nrm ls 查看当前的所有镜像源: name: url
nrm add [name] [url] 添加镜像源
- nrm use [name] 使用镜像
- nrm del [name] 删除镜像
  
  或者直接删除镜像配置: npm config delete registry

添加用户并登录

1	npm adduser --registry http://localhost:4873

发布到私有仓库
1
npm publish --registry http://localhost:4873
发布成功后刷新首页回出现对应的信息:

安装发布到私有仓库的包

1	npm i xx -g --registry http://localhost:4873

主要就是注意使用私有仓库时使用verdaccio启动的服务镜像地址代替官方默认的registry

配置

verdaccio启动后，下图红框位置为配置文件的路径:

配置文件

基本配置

# #号后面是注释
# 所有包的缓存目录
storage: ./storage
# 插件目录
plugins: ./plugins
 
#开启web 服务,能够通过web 访问
web:
  # WebUI is enabled as default, if you want disable it, just uncomment this line
  #enable: false
  title: Verdaccio
#验证信息
auth:
  htpasswd:
    #  用户信息存储目录
    file: ./htpasswd
    # Maximum amount of users allowed to register, defaults to "+inf".
    # You can set this to -1 to disable registration.
    #max_users: 1000
 
# a list of other known repositories we can talk to
#公有仓库配置
uplinks:
  npmjs:
    url: https://registry.npmjs.org/
 
packages:
  '@*/*':
    # scoped packages
    access: $all
    publish: $authenticated
 
    #代理 表示没有的仓库会去这个npmjs 里面去找 ,
    #npmjs 又指向  https://registry.npmjs.org/ ,就是上面的 uplinks 配置
    proxy: npmjs
 
  '**':
    # 三种身份,所有人,匿名用户,认证(登陆)用户
    # "$all", "$anonymous", "$authenticated"
 
    #是否可访问所需要的权限
    access: $all
 
    #发布package 的权限
    publish: $authenticated
 
    # 如果package 不存在,就向代理的上游服务发起请求
    proxy: npmjs
 
# To use `npm audit` uncomment the following section
middlewares:
  audit:
    enabled: true
# 监听的端口，IP,重点,不配置这个,只能本机能访问
listen:
  - 0.0.0.0:8088  
# log settings
logs:
  - {type: stdout, format: pretty, level: http}
  #- {type: file, path: verdaccio.log, level: info}

storage 已发布的包的存储位置

verdaccio启动私有服务的时候默认会在当前目录下生成storage文件夹，里面有*.verdaccio-db.json*存放数据，若服务意外关闭，下次启动时只要启动目录有这个文件夹，已发布的数据就不会丢失
plugins 插件所在的目录
web 界面相关的配置
auth 用户相关，例如注册、鉴权插件（默认使用的是 htpasswd)
uplinks 用于提供对外部包的访问，例如访问 npm、cnpm 对应的源
packages 用于配置发布包、删除包、查看包的权限
server 私有库服务端相关的配置
middlewares 中间件相关配置，默认会引入 auit 中间件，来支持 npm audit 命令
logs 终端输出的信息的配置

权限

主要通过修改配置packages和auth控制权限

packages配置包发布、查看、删除权限。用户权限有三个可选值:

$all 所有人
$anonymous 未注册用户
$authenticated 注册用户

packages:
  '@*/*': #匹配包名
    access: $all #访问权限
    publish: $authenticated #发布权限
    unpublish: $authenticated #删除权限
    proxy: npmjs
  '**':
    access: $all
    publish: $authenticated
    unpublish: $authenticated
    proxy: npmjs

auth 用户注册权限

如果私有仓库部署到外网，任何人都可以通过npm adduser注册用户。可以设置max_users: -1来禁止后续用户注册
1
2
auth:
max_users: -1

发布包推送

每次发布包时可通过群机器人来发送通知，下面以钉钉为例

首先需要群机器人对应的 Webhook (可查看钉钉文档获取)

配置中添加notify

notify:
  'dingtalk':
    method: POST
    headers: [{'Content-Type': 'application/json;charset=utf-8'}]
    endpoint: https://oapi.dingtalk.com/robot/send?access_token=****, # 钉钉机器人的 webhook
    content: '{"color":"green","message":"新的包发布了: * {{ name }}*","notify":true,"message_format":"text"}'

企业微信也都可以接入通知，文档地址需要机器人对应的Webhook

本文作者： MR-QXJ
本文链接： https://mr-qxj.github.io/2021/11/17/部署/npm私服方案 - verdaccio/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！