Nexus 仓库
1. 概述
背景:
- 在 Maven、npm/cnpm 等构建过程中,需要下载大量依赖包。
- 这些依赖包在每次构建时都会被使用,如果每次都从公网(如 Maven 阿里云、国内 npm 源)下载,会浪费带宽并降低构建效率。
- 可以通过搭建内部软件仓库来缓存和管理这些依赖包,而 Nexus 正是实现这一功能的主流工具。
安全:
-
统一入口,集中管控:所有依赖都必须经过 Nexus,避免开发者随意引入未知或有漏洞的第三方包。
-
来源可信只有经过 CI/CD 流程(含安全检查)的制品才能被上传到 Nexus,确保进入生产环境的制品是可信的。
核心价值:
- 缓存公网依赖,加速内部构建。
- 存储内部二方包/三方包,实现制品管理。
- 统一团队依赖版本,提升构建一致性。
使用全流程:
2. 极速部署指南
2.1 下载
从官方地址下载 Nexus 安装包:
https://www.sonatype.com/download-oss-sonatype
2.2 部署
1. 解压与目录准备
# 解压到指定目录
tar xf nexus-3.13.0-01-unix.tar.gz -C /app/tools/# 创建软链接,方便版本管理
ln -s /app/tools/nexus-3.13.0-01/ /app/tools/nexus# 创建全局命令软链接
ln -s /app/tools/nexus/bin/nexus /sbin/
2. 安装 JDK 依赖
Nexus 基于 Java 开发,需安装 JDK 8:
rpm -ivh jdk-8u331-linux-x64.rpm
3. 启动与状态检查
# 启动 Nexus
nexus start# 检查运行状态
nexus status
# 输出 nexus is running. 表示启动成功# 验证端口(默认 8081)
ss -lntup | grep java
⚠️ 重要提示:Nexus 不推荐以
root用户运行,启动时会出现警告。生产环境应使用专用用户(如nexus)运行。
2.3 配置
1. hosts 解析
在服务器 /etc/hosts 中添加:
10.0.0.74 nexus.oldboylinux.cn
2. 登录与初始设置
- 访问地址:
http://nexus.oldboylinux.cn:8081 - 默认账号:
admin/admin123
3. 系统优化(解决文件描述符警告)
登录后若提示 max file descriptors [4096] likely too low,需调整系统参数:
# 编辑 limits.conf
vim /etc/security/limits.conf# 新增以下内容
* soft nofile 65536
* hard nofile 65536# 临时生效(重启后失效)
ulimit -n 65536
配置完成后重启 Nexus 服务生效。
4. 配置阿里云 Maven 代理源
为了加速依赖下载,将 Nexus 的默认代理源改为阿里云:
-
进入 Nexus 管理界面,点击 Settings > Repositories。
-
找到
maven-central仓库,点击进入配置。 -
在 Proxy > Remote storage 中,将地址修改为:
http://maven.aliyun.com/nexus/content/groups/public/ -
保存配置,Nexus 会从阿里云缓存 Maven 依赖。
2.3 连接使用 Nexus
Maven 项目连接 Nexus 有两种方式:
| 连接方式 | 说明 | 配置文件 |
|---|---|---|
| 全局配置 | 所有 Java 项目默认使用 Nexus | maven/conf/settings.xml |
| 项目配置 | 仅单个项目使用 Nexus | 项目目录下的 pom.xml |
全局配置(settings.xml)
1. 替换配置文件
# 备份原配置
cp /app/tools/maven/conf/settings.xml{,.ori}# 覆盖为 Nexus 配置
cp settings-by-lidao996.xml /app/tools/maven/conf/settings.xml
2. settings.xml 核心配置详解
2.1 认证信息(servers)
用于配置访问 Nexus 仓库的用户名和密码:
<servers><server><id>my-nexus-releases</id><username>admin</username><password>admin123</password></server><server><id>my-nexus-snapshot</id><username>admin</username><password>admin123</password></server>
</servers>
2.2 镜像配置(mirrors)
将所有 Maven 请求转发到 Nexus:
<mirrors><mirror><id>nexus</id><mirrorOf>*</mirrorOf><url>http://nexus.oldboylinux.cn:8081/repository/maven-public/</url></mirror>
</mirrors>
2.3 仓库配置(profiles)
配置从 Nexus 获取依赖和插件:
<profiles><profile><id>nexus</id><repositories><repository><id>central</id><url>http://nexus.oldboylinux.cn:8081/repository/maven-public/</url><releases><enabled>true</enabled></releases><snapshots><enabled>true</enabled></snapshots></repository></repositories><pluginRepositories><pluginRepository><id>central</id><url>http://nexus.oldboylinux.cn:8081/repository/maven-public/</url><releases><enabled>true</enabled></releases><snapshots><enabled>true</enabled></snapshots></pluginRepository></pluginRepositories></profile>
</profiles><activeProfiles><activeProfile>nexus</activeProfile>
</activeProfiles>
2.4 编译与测试
1. 验证 Maven 构建
在 Jenkins 或本地执行 Maven 构建,观察日志:
mvn clean package
关键日志:
- 依赖下载地址应为 Nexus 地址,如:
http://nexus.oldboylinux.cn:8081/repository/maven-public/... - 最终输出
BUILD SUCCESS表示配置成功。
2. 验证 Nexus 缓存
登录 Nexus 管理界面(http://nexus.oldboylinux.cn:8081),在 Browse > Maven 中可看到已缓存的依赖包,证明 Nexus 已正常工作。
3. 总结
1. Nexus 的核心定位
- 仓库/私服:统一管理和缓存构建依赖,加速内部构建。
- Maven (Java) 仓库:支持 Maven 项目的依赖管理和制品上传。
- NPM 仓库:可扩展支持前端项目的 NPM 包管理。
2. 在 DevSecOps 全流程中的角色
在完整的 DevSecOps 流程中,Nexus 作为制品库,是连接“构建”与“部署”的关键环节:
- 代码托管:GitLab/GitHub 等。
- 代码获取:Jenkins 拉取代码。
- 安全检查:SonarQube、Nexus、OWASP Dependency-Check。
- 构建:Maven/Gradle 等工具从 Nexus 下载依赖,生成制品。
- 制品管理:构建产物(如 WAR/JAR)上传到 Nexus 或 Docker 私有仓库。
- 部署:从制品库拉取制品,部署到测试/生产环境。
