没网?没问题。用Air Gap使用Artifactory

最新推荐文章于 2024-08-20 11:11:27 发布
最新推荐文章于 2024-08-20 11:11:27 发布
阅读量1.7k 收藏
点赞数
分类专栏: 开源工具 敏捷开发 Artifactor JFrog 文章标签: jfrog devops 运维 开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangqingjiewa/article/details/78800964
版权
JFrog 同时被 3 个专栏收录
87 篇文章 2 订阅
订阅专栏
开源工具
26 篇文章 0 订阅
订阅专栏
敏捷开发
11 篇文章 0 订阅
订阅专栏

没网?没问题。用Air Gap使用Artifactory

几乎所有的开发组织都需要访问 JCenter,NuGet Gallery,npmjs.org,Docker Hub 等远程公共资源,以下载构建所需的依赖关系。使用 Artifactory 的一大好处是它作为代理仓库来下载远程资源和缓存工件。 这样,任何开发人员或 CI 服务器只要在第一次请求了工件,就可以在内部网络上的 Artifactory 中的远程资源库中进行缓存和直接使用。这是通过 Artifactory 使用远程资源的常用方法。

这里写图片描述

然而,金融机构和军事设施等组织却有严格的安全要求,例如配置,暴露在互联网上的行为是被禁止的。

用 Air gap 来拯救

为了适应这些案例,我们推荐一个至少有两个 Artifactory 实例的配置; 一个在 DMZ 上,另一个在内部网络上,通常称为 Air Gap。

我们通常会看到以下两种情况之一:

1、无网络连接
2、单向连接

无网络连接

在这种情况下,两个 Artifactory 实例之间没有网络连接。 为了从互联网获得依赖关系,外部实例必须下载它们,将它们导出到外部设备(如硬盘驱动器或 USB 闪存驱动器),然后内部实例必须导入它们供开发人员和 CI 服务器使用。

这里写图片描述

获取依赖关系

有两种方法可以从远程仓库获取依赖关系:

1、依赖声明

剥离你的代码,只留下依赖声明。 在具有运行所需工具的 DMZ 上的虚拟机上安装精简代码(例如,如果您正在开发 npm 软件包,则需要安装在 DMZ 机器上的 npm 客户端)。 相应的客户端通过递归地下载它们的 Artifactory 来请求所需的依赖关系,以及它们所需要的任何第 n 级依赖关系。

2、专用脚本
实现一个遍历所有你需要的包的脚本或机制,并向 Artifactory 发送“头部请求”,以便从远程资源下载这些包。 例如,要从 JCenter中 获取 jQuery 的版本2.1.0到2.1.5,可以使用下面的代码片段:

for i in ‘seq 0 5’; do curl -uadmin:password -l http://
localhost:8081/artifactory/jcenter/org/webjars/jquery/
2.1.$i/jquery-2.1.$i.pom

导出和导入

有两种方法可以导出新的依赖关系(即自上次运行导出以来下载的依赖项),然后将其导入到内部文件夹。

1、使用 AQL 查询的 Groovy 脚本

编写一个使用 AQL 查询的 Groovy 脚本,根据下载日期查找正确的工件。 这样,我们可以确保只导出自上次导出以来下载的那些工件。 例如,要导出2016年8月16日之后创建的所有工件,您可以使用类似以下代码段的东西:

// replace this with your AQL query
def query = 'items.find({"type":"file","created" : {"$gt" : "2016-08-16T19:20:30.45+01:00"},"repo" : "generic-local-archived"})' 

// replace this with your Artifactory server
def artifactoryURL = 'http://localhost:8081/artifactory/' 
def restClient = new RESTClient(artifactoryURL)
.
.
.
   try {
       response = restClient.post(path: 'api/search/aql',
               body: query,
               requestContentType: 'text/plain'
       )
   } catch (Exception e) {
       println(e.message)
   }

要下载导出到文件系统或便携式驱动器中的所有工件(到“今天的日期”文件夹中):

public download(RESTClient restClient, List itemsToExport, def dryRun) {
   def date = demoFormat()
   def folder = "$date"
   def dir = "/path/to/export"
   def file = new File("$dir/$folder");
   file.mkdirs();
   dryMessage = (dryRun) ? "*** This is a dry run ***" : "";
   itemsToExport.each {
       println("Trying to download artifact: '$it'")
       try {
           if (!dryRun) {
               def response = restClient.get(path:String.valueOf(it))
               if (response.status == 200) {
                   String s = it.toString().substring(it.toString().indexOf("/") + 1)
                   file = new File("$dir/$folder/"+s)
                   file << response.getData()
                   println("Artifact '$it' has been successfully downloaded. $dryMessage")
               }
               else
                   println("response status: '$response.status'")
           }
       } catch (HttpResponseException e) {
           println("Cannot download artifact '$it': $e.message" +
                   ", $e.statusCode")
       }
   }
}

现在,我们已经准备好把这个文件夹导入到我们内部的 Artifactory 实例的选定的仓库中

2、使用 JFrog CLI

由于导出基本上是将文件从一个位置复制到另一个位置,因此 JFrog CLI 是完成该操作的完美工具。 我们要做的是从外部 Artifactory 实例的“clean repository”中下载所有新的包,然后将它们上传到内部实例。 下载新文件最直接的方法是使用以下命令:

jfrog rt dl generic-local-archived NewFolder/

“但是等一下”你会问 “是不是下载了所有的文件?”看起来像这样,但是由于 JFrog CLI 是基于 checksum 的,它只会下载自上次下载以来添加的新的二进制文件。 在底层,JFrog CLI 实际上运行一个 AQL 查询来查找你需要的文件,所以你的回应如下所示:

[Info:] Pinging Artifactory...
[Info:] Done pinging Artifactory.
[Info:] Searching Artifactory using AQL query: items.find({"repo": "generic-local-archived","$or": [{"$and": [{"path": {"$match":"*"},"name":{"$match":"*"}}]}]}).include("name","repo","path","actual_md5","actual_sha1","size")
[Info:] Artifactory response: 200 OK
[Info:] Found 2 artifacts.
[Info:] [Thread 0] Downloading generic-local-archived/jerseywar.tgz
[Info:] [Thread 1] Downloading generic-local-archived/plugin.groovy
[Info:] [Thread 1] Artifactory response: 200 OK
[Info:] [Thread 0] Artifactory response: 200 OK
[Info:] Downloaded 2 artifacts from Artifactory.

现在,您可以将“NewFolder”添加到您的内部实例,并使用 JFrog CLI 再次上传其内容:

jfrog rt u NewFolder/ generic-local-archive

而且由于 JFrog CLI 使用 checksum 和部署(类似于下载的情况),内部实例中目标上已经存在的二进制文件将不会被部署。 下面的输出显示只有一个新文件是 Checksum deploy,apex-0.3.4.tar。

[Info:] Pinging Artifactory...
[Info:] Done pinging Artifactory.
[Info:] [Thread 2] Uploading artifact: http://localhost:8081/artifactory/generic-local-archived/plugin.groovy
[Info:] [Thread 1] Uploading artifact: http://localhost:8081/artifactory/generic-local-archived/jerseywar.tgz
[Info:] [Thread 0] Uploading artifact: http://localhost:8081/artifactory/generic-local-archived/apex-0.3.4.tar
[Info:] [Thread 1] Artifactory response: 201 Created
[Info:] [Thread 2] Artifactory response: 201 Created
[Info:] [Thread 0] Artifactory response: 201 Created (Checksum deploy)
[Info:] Uploaded 3 artifacts to Artifactory.

在文件规范中制定复杂查询的简单方法

但是方式并不总是这么简单。 如果我们不想将所有新文件从外部实例移动到内部实例,而是只有那些具有某种“批准标记”的文件。 这就是 AQLs 制定复杂查询的能力,打开了一个操作的世界。 通过使用 AQL,创建查询非常简单,例如,只需将2016年10月15日之后创建的文件,并使用属性 workflow.status = PASSED 注释,从我们的通用本地归档存储库迁移到 NewFolder 库。 由于 JFrog CLI 可以接受参数作为文件规格,我们在名为 newandpassed.JSON 的文件中创建以下 AQL 查询:

{
  "files": [
    {
      "aql": {
        "items.find": {
          "repo": "generic-local-archived",
          "created" : {"$gt" : "2016-10-15"},
          "@workflow.status" : "PASSED"
        }
      },
      "target": "NewFolder/"
    }
  ]
}

现在在 JFrog CLI 执行:

jfrog rt dl --spec NewAndPassed.json

现在我们只需要像以前一样将 NewFolder 的内容上传到内部实例。

单线链接

一些高度安全的机构要求将互联网与其内部网络分开,但政策略宽松,并且允许单向连接。 在这种情况下,内部 Artifactory 实例可以通过代理或通过安全的单向 HTTP 网络连接连接到外部实例。 这种设置打开了内部实例获取依赖关系的其他方法:

使用智能远程仓库
使用拉取复制

使用智能远程仓库

Artifactory 中的远程仓库是代理远程资源(如 Internet 上的公共存储库,如 JCenter)的存储库。 一个智能远程仓库就是远程资源实际上是另一个 Artifactory 实例中的一个仓库。

以下是您可以使用的设置:

这里写图片描述

DMZ上的外部实例包括:

托管已列入白名单的本地存储库已下载,扫描和批准的工件
代理远程资源的远程仓库,需要从中下载依赖关系
一个虚拟资源库,可以聚合所有其他资源

内部实例包括:

托管本地工件的本地存储库,例如版本和其他批准的本地包
远程存储库 - 实际上是一个智能远程存储库,代理外部实例中的虚拟存储库
一个虚拟资源库,可以聚合所有其他资源

这是如何工作的:

构建工具从内部 Artifactory 实例的虚拟库中请求依赖关系
如果在内部(在任何本地存储库或远程存储库高速缓存中)找不到依赖关系,那么智能远程存储库将从其外部资源(实际上是外部实例上的虚拟存储库)请求它
外部实例的虚拟存储库尝试从其聚集的本地存储库之一或从其远程存储库高速缓存中提供请求的依赖关系。 如果找不到依赖关系,则远程存储库将从远程资源下载该资源,然后将资源从该远程资源提供回请求的内部实例。

有一个小的设置,你需要记住。 内部实例上的虚拟存储库必须具有“Artifactory 请求可以检索远程工件”复选框集。

这里写图片描述

使用拉取复制

在这种方法中,您可以使用上述任何一种方式将依赖关系下载到外部 Artifactory 实例(在 DMZ 中)。 现在,您只需在内部实例中创建一个远程存储库,并根据 cron 作业从外部实例中的“clean”存储库调用 pull 复制,以将所有列入白名单的依赖关系提供给内部实例。

关于 JFrog Xray 的说明

如果您在内部 Artifactory 实例中使用 JFrog Xray,则会遇到类似的问题。 为了扫描索引的工件,它必须从与其连接的各种源中收集关于问题和漏洞的数据。 主要来源于 JFrog 维护的全球数据库服务器,您需要定期与其进行同步以下载新数据。 当你有一个互联网连接时,数据库会自动同步,但是如果没有互联网连接,你必须通过一个类似于上面描述的手动过程来使用离线模式进行依赖。 基本上,您可以在 DMZ 中的外部实例上使用 JFrog CLI 下载 Xray 数据库更新(Xray 将为您生成所需的命令),将下载的文件复制到内部 Xray 服务器,然后执行本地更新。

为了维护与互联网断开连接的安全环境,组织必须付出代价,但这并不意味着他们不能使用市场上的领先工具。 通过一些工具和脚本,以及一些手动交互,他们可以使用 Air Gap 来访问 JFrog Artifactory(和 JFrog Xray),以获得近乎在线的体验,同时在其开发环境中保持严格的安全策略。

原网址:https://www.jfrog.com/blog/using-artifactory-with-an-air-gap/

JFrog捷蛙中国
关注
专栏目录
USBee近恶意软件,瞄准Air-Gap电脑采集数据
nani1114的博客
09-07 961
无需联网,这款恶意软件可以通过Air-Gapped 计算机的USB排放转换数据。 传闻中当今世界最安全的,与外界网络皆无关的计算机——Air-Gapped电脑,近年来却逐步成为攻击目标。 以色列本古里安大学的研究人员最近发现了一种从Air-Gapped电脑提取敏感信息的方法,采用USB连接器进行射频传输,而无需在USB上安装任何专用硬件。 这种攻击被命名为USBee(US
Longhorn 云原生容器分布式存储 - Air Gap 安装
o__cc的博客
08-30 542
内容来源于官方 Longhorn 1.1.2 英文技术手册。 系列 Longhorn 是什么? Longhorn 云原生容器分布式存储 - 设计架构和概念 Longhorn 云原生容器分布式存储 - 部署篇 Longhorn 云原生容器分布式存储 - 券和节点 Longhorn 云原生容器分布式存储 - K8S 资源配置示例 Longhorn 云原生容器分布式存储 - 监控(Promethe...
(浅入浅出)新手小白入门Jfrog Artifactory
最新发布
qq_45233816的博客
08-20 952
浅入浅出之小白入门Jfrog Artifactory!原谅我的散装塑料英语!!!这篇博客主要讲解了Jfrog Artifactory 的基本使用方法,在第五章对于它的特性做了一定分析(小白可选读,这里我也咋懂。笔者也是小白,水平有限,有错误的话欢迎指正。
IBM推出Airgap,细数芯片发展史的十大突破
zero0one的专栏
05-22 1815
  IBM日前宣布了一项芯片设计领域重大的突破——“Airgap”,这一技术是IBM实验室十年芯片创新历史中一个具有历史意义的突破。凭借新的材料和设计架构,IBM实验室不断地制造出尺寸更小、功能更强、能效更高的芯片,这些创新成果对IT业界产生了重要的影响。  IBM具有开创性的工作开始于1997年在整个行业中采用铜线取代铝线进行布线,这一创新使电流阻抗立即下降了35%,同时芯片性能提高了1
air-gapping”恶意软件如何工作
u013932424的专栏
03-06 1782
很多人认为,电脑只要不连接互联网,黑客就无法感染你电脑,因此当某台电脑感染恶意软件后,常见的保护措施就是将感染病毒的电脑从网络中移除,从而能有效地防止恶意软件传播到其他设备上。   这种安全手段又被形象地称为“air-gapping”(空气间隙),即网络管理员构建路障、断开网络,从而让恶意软件因“路”而无法继续在其它计算机设备上“旅行”,因此从某种角度来看,这是空气阻止了恶意代码传播。   
jfrog 制品库安装部署
fxyfdf的博客
11-27 5027
1 jdk 2 官网下载,解压jfrog-artifactory-oss-6.18.1.zip https://bintray.com/jfrog/artifactory/jfrog-artifactory-oss-zip 3.安装 unzip jfrog-artifactory-oss-6.18.1.zip -d /usr/local/ ln -s /usr/local/artifactory-oss-6.18.1 /usr/local/jfrog 注意默认数据存储路径如下: artifactory-os
artifactory-rest:基于jclouds的Java客户端,用于使用Artifactory的REST API
05-14
我开始看的组合,并可以立即告诉它是不够用。 这不是向他们开枪,而是更多地承认他们只是以与我所需要的方式不同的方式设计了事物。 尽管如此,我还是继续前进,以为也许我可以写一些包装器来做我需要的事情。 玩了...
artifactory-docker-examples:在各种环境中使用Artifactory Docker分发的示例
02-03
有关使用泊坞运行Artifactory的更详细的文档,请参阅的JFrog Artifactory的用户指南 码头工人 要了解有关Docker及其设置方法的更多信息,请参阅文档。 例子 以下示例可用 (已淘汰) (已弃用) (已弃用) (已...
artifactory_exporter:用Go编写的JFrog Artifactory Prometheus Exporter
02-04
Artifactory Commercial,Enterprise和OSS版本6.x和7.x 。 认证方式 Artifactory导出器需要admin用户,并且支持多种身份验证方式。 支持以下方法: 基本认证 不记名令牌 基本认证 可以通过设置ARTI_USERNAME和...
npm-artifactory:使用工件作为npm模块数据存储的代理服务器
04-30
npm-artifactory 使用作为npm模块数据存储的代理服务器。 将节点无缝集成到基于Java / Maven的工作流程中很有用。 。 将npmjs.org上的网络压力减轻到内部工件 发布和使用您的专有模块,而有主要的解决方法 快照/...
PyPI 官网下载 | artifactory-0.1.6.tar.gz
01-09
"artifactory-0.1.6.tar.gz"是一个压缩文件,其命名遵循Python库的标准发布格式,其中"artifactory"是库的名称,"0.1.6"代表这个版本号,".tar.gz"表示它是使用tar命令打包后,再用gzip进行压缩的文件。这种格式是...
如何从JFrog Artifactory下载资源到本地
ITsmallchen的博客
04-25 8292
由于在工作中需要,通过看文档自己总结了几种下载方式,特此记录! 首先,介绍一下ArtifactoryJFrog Artifactory 是目前全球唯一的支持所有开发语言,功能最强大的二进制制品仓库。闲话少说,进入正题!! 一、使用Artifactory自带的客户端 jfrog CLI 实现步骤: 1、下载安装包 https://www.jfrogchina.com/getcli/ ** 根...
使用jfrog ci 在artifactory中上传下载文件
weixin_38883249的博客
08-06 3824
参考:https://www.jfrog.com/confluence/display/CLI/CLI+for+JFrog+Artifactory 1.jfrog ci安装 官方下载地址:https://www.jfrogchina.com/getcli/ 或者https://jfrog.com/getcli/ linux下载安装: [root@af01 ~]# wget 下载jfrog安装包 [root@af01 ~]# chmod +x jfrog [root@af01 ~]# ./jfro..
JfrogArtifactory 命令的使用
热门推荐
中国资深步行专家 CSDNBLog
08-21 1万+
工具的下载(各平台) https://jfrog.com/getcli/ 【预先设置】 这部分的参数也可以加在各个命令中 jfrog rt config --user= --password=<password,,可以是加密的也可以是明文> --url=https://xxx.xx.xx/artifactory --interactive=false 【目录的下载】 jfrog.e...
使用Jfrog进行库文件批量的增删改查
weixin_42360244的博客
10-18 2992
呵呵,因为jfrog在中文搜索里还有人实践过,经过一番深入研究后发现了一种方法。 jfrog artifactory是一款二进制存储管理工具,用来管理构建工具(如:maven、gradle)等所依赖的二进制仓库,以方便管理第三方库和发布目标版本库,从而提高软件开发效率。它提供大量的插件以利于和不同工具之间的整合,内部使用权限管理更加安全,并支持高并发等等特性。 jfrog的功能有很多,只是有相关的中文参考,可以在CLI for JFrog Artifactory - JFrog CLI - .
JFrog_Artifactory CLI 的使用
Lakers2015的博客
01-12 1298
【代码】JFrog_Artifactory CLI 的使用
JFrog 本地存储库
2301_76601027的博客
05-12 408
如果客户端已发送校验和,但它与服务器上计算的校验和冲突,则Artifactory将返回409(冲突)错误,直到部署有效的校验和。本地存储库是本地管理的物理存储库,您可以在其中部署制品。因此,如果您有一个使用非唯一快照的快照存储库,我们建议您将Maven快照策略更改为“唯一”,并从此存储库中删除任何以前部署的快照。信任服务器生成的校验和 - Artifactory不会验证客户端发送的校验和,并且会信任服务器在本地计算的校验和。根据存储库布局,指定应存储的同一制品的唯一快照的最大数量。
软件持续交付速度提升40%!揭秘 DevOps 的制品管理秘籍
亚马逊云科技专栏
03-16 404
近年来,混合云、多云正逐步成为企业用云的主流模式。据 IBM 的调查报告显示,仅截至2021年,采用混合云、多云战略的企业就已经接近80%。混合云、多云战略的确能够增加企业资源配置的灵活性,但也给持续交付带来了更大的挑战。在软件发布频率持续增长趋势下,如何将版本快速分发到多个环境中去,成为令不少开发者头疼的问题。近日,亚马逊云科技联合 JFrog 举行了《DevOps 实践:混合云模式下软件单一可...
Artifactory & GitLab CI持续集成实践
JFrog技术博客
02-19 2035
GitLab CI支持创建多个构建,并评估每次代码提交是否通过测试和以及对您产品的影响。在构建过程中,会生成大量二进制文件,如果不能正确的大规模管理这些文件,就会导致二进制文件管理混乱。为了克服这个问题Artifactory被无缝地集成到GitLabCI构建过程中,以便更好的发布和管理这些二进制文件,并通过JFrog CLI, GitLab CI缓存、发布您的依赖包、制品包和构建信息到Ar...
jfrog artifactory 使用
08-14
JFrog Artifactory是一个企业级的内容交付平台,主要用于软件包管理和应用程序部署。它提供了一站式的解决方案,用于存储、分发、管理和依赖项控制各种类型的软件组件,包括二进制文件、源代码、文档等。Artifactory...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值