企业级微服务构建-01搭建和使用Maven私有仓库(Nexus)-10角色（Roles）

亲历的企业级微服务的完整构建过程-系列文章目录

本人参与了这次的企业级微服务的完整构建，想要记录下来以便以后复习，同时也想分享给小伙伴们，抛砖引玉，欢迎大家提出自己的意见和建议，大家一起探讨一起成长。以下为该系列所有文章的链接：

1. 搭建和使用Maven私有仓库(Nexus)（更新中。。。）
2. API网关（待发布）
3. 认证中心（待发布）
4. Redis框架（待发布）
5. RabbitMQ（待发布）
6. MyBatis（待发布）
7. Web模块（待发布）
8. 低代码（待发布）
9. Core
   1. JSON工具类（待发布）
   2. 日期工具类（待发布）
   3. String工具类（待发布）
   4. Number工具类（待发布）
   5. Spring操作工具类（待发布）
   6. API结构统一封装（待发布）
10. 监控和告警（待发布）
11. MongoDB（待发布）

---

搭建和使用Maven私有仓库(Nexus)-系列文章目录

说明：

• 以下部分模块，绝大多数人，在日常工作中都是用不到的，所以我就没有介绍，毕竟时间是最重要的成本，没必要花大量时间在我们用不到的内容上。
• 下面的“1 通用”章节，系列文章中的每一篇内容都相同，介绍一些背景、约定和官网链接等，大家只要知道这些内容了，就不用每篇文章都去看了。

1. 安装步骤
2. 登录和界面
3. 备份和恢复
4. 管理：讲述了Nexus的管理功能，包括用户管理、权限管理、任务管理等
   1. 管理菜单
   2. 仓库管理
   3. 格式（Formats）（暂时用不到，略）
   4. 分期（Staging）（暂时用不到，略）
   5. 标记（Tagging）（暂时用不到，略）
   6. Maven和Jenkins插件（暂时用不到，略）
   7. 任务（Tasks）
   8. 访问控制
      1. 领域（Realms）管理
      2. 权限（Privileges）管理
      3. 角色（Roles）管理
      4. 用户（Users）管理
      5. 默认角色（Default Role）管理
      6. 内容选择器（Content Selectors）管理
   9. 用户认证（暂时用不到，略）
   10. 能力（Capabilities）（暂时用不到，略）
   11. 节点（Nodes）
   12. 配置SSL
   13. HTTP和HTTPS请求和代理设置（暂时用不到，略）
   14. 电子邮件服务器配置
   15. 重试限制配置（暂时用不到，略）
   16. 审计
   17. 安装和更新许可证
   18. 支持功能
5. 使用Nexus仓库：讲述了使用（而非管理） Nexus Repository 的方方面面的知识
   1. 仓库管理器概念：使用 Nexus 需要先理解一些概念，该节内容提供了必要的背景和知识
      1. 组件、仓库和仓库格式（暂时用不到，略）
      2. 一个示例 - Maven 仓库格式（暂时用不到，略）
      3. 管理仓库（暂时用不到，略）
      4. 软件供应链自动化（暂时用不到，略）
      5. 代理仓库概念（暂时用不到，略）
   2. 用户界面概述
   3. 搜索组件（暂时用不到，略）
   4. 浏览仓库和仓库组
   5. 管理当前登录用户的资料
   6. 上传组件
   7. 查看标签（仅可用于Pro版本，略）
6. 集成（主要讲述了如何使用 APIs 和 集成外部工具）（暂时用不到，略）
7. Maven中配置和使用Nexus

---

---

正文

1 通用

1.1 前言

在构建微服务之前，需要先做一些准备工作，比如Maven私有仓库的管理。因为有些微服务模块是作为公共组件被其他微服务引用的，这些公共的微服务，就要设置为依赖，并用Maven仓库管理起来，将自定义的依赖上传到Maven中央仓库并不是一个明智的选择。原因有3个：

1. 最重要的是隐私和安全问题，我们不可能把企业内部开发的组件上传到公共网络，让所有人能够随便下载；
2. 上传很麻烦，上传方法详见 https://blog.csdn.net/agonie201218/article/details/124800163；
3. 可能不允许上外网，则无法上传；
4. 可能会有网络延迟、上传缓慢的问题。
5. 降低了中央仓库的负担。

综上，我们最好是搭建自己的私有Maven仓库，而当前最流行的就是 Sonatype Nexus Repository Manager，以下简称 Nexus。

1.2 约定

1. 我使用的版本是 OSS 3.40.1-01，整个系列的文章都是在该版本上展开介绍，你们可能使用的是 Pro 版，少数模块是我的 OSS 版上没有的。不过一般使用的话，OSS 版已经够用了
2. 文中出现的 Repository ，中文称之为“仓库”
3. 文中出现的变量 $install-dir，值为 /opt/sonatype/nexus
4. 文中出现的变量 $data-dir，值为 /opt/sonatype/sonatype-work/nexus3 ，或 /nexus-data，两者都是在docker容器nexus中的路径，一个是软链接，一个是实际路径
5. 文中出现的变量 ${jetty.etc}，值为 /opt/sonatype/nexus/etc/jetty
6. NXRM：Nexus Repository Manager，即 Nexus 仓库管理器
7. RBAC：Role-Based Access Control，即 基于角色的访问控制

1.3 官方文档

提供Nexus的官方文档：https://help.sonatype.com/repomanager3/
官方文档包含了系统要求、搭建方法，以及各种操作方法等，内容已经非常全面了。

2 角色（Roles）

可用于：OSS，Pro
需要的访问权限：nx-roles 或 nx-all

2.1 概述

角色聚合了一批权限到一个相关的上下文中，反过来，也可以将多个角色分到一组从而创建一个更加复杂的角色。

Nexus 附带了一个预定义的管理员角色（nx-admin）和匿名角色（nx-anonymous）。如下图所示：

• ID：角色ID
• NAME：角色名称
• DESCRIPTION：描述

通过单击列表中的行，可以检查和编辑现有角色。某个特定角色详情页面视图中，我们可以使用“Delete”按钮删除角色。内置角色由仓库管理器管理，无法编辑或删除：

2.2 创建一个角色

1. 点击“Create Role”按钮
   

2. 选择角色类型
   “Nexus role”是 Nexus 内置的角色类型，“External Role Mapping”是外部系统的角色类型，此处我们选择前者：
   

3. 填写各个字段
   填写 Role ID（必填），Role Name（必填），Role Description（可选），然后选择该角色拥有的Privileges（可选），最后选择该角色包含的Roles（可选）（例如此处选择了user角色，则该角色也包含了user角色的所有权限），然后点击“Save”按钮保存，即可：
   

下面是我创建的另一个角色 user：

2.3 将 Nexus 角色映射到外部组

除了创建内部角色之外，我们也能创建一个到外部授权系统的外部角色映射，该外部授权系统配置在仓库管理器中，比如 LDAP。我们可以使用这个功能，在仓库管理器中授予外部管理的组（如 LDAP 组）中的每个成员一些权限和角色。
例如，假设你有一个 LDAP 组 scm，并且想要保证 scm组 中的每个人都有管理员权限。
For example, assume that you have a group in LDAP named scm and you want to make sure that everyone in the scm group has administrative privileges.

Type 选择 External Role Mapping，External Role Type 选择 LDAP，然后可以看到角色列表，接下来选择想要的 scm组 ，再按 Create mapping 按钮进行确认：
（注意：我这边截图中的Mapped Role列表为空，因为我根本没有配置 LDAP，此处只是一个演示）

如果无法看到需要的组名，或者想快速定位到该组，我们可以输入部分或完整的组名，它会根据输入的文本，缩小下拉列表的范围。
一旦选中了外部角色，则创建了一个角色链接。你可以分配其他角色和权限到这个新的外部映射过来的角色上，就和操作任何其他角色一样。
任何属于 LDAP 的 scm组 的用户，接收定义在新建的角色上的所有权限，这允许你让 LDAP 中的通用角色适用于特定的仓库管理器的用例，即你想让这些用户被允许执行的用例。