Private npm-Repositorys

Im Folgenden finden Sie eine ausführliche Anleitung zum Einrichten eines privaten NPM-Repositorys, einschließlich verschiedener Alternativen und praktischer Codeausschnitte, die Ihnen den Einstieg erleichtern. Unabhängig davon, ob Sie Einzelentwickler oder Teil eines großen Teams sind, können Sie durch das private Hosten Ihrer eigenen NPM-Pakete Kontrolle, Flexibilität und verbesserte Sicherheit erhalten.

---

Warum ein privates npm-Repository verwenden?

1. Sicherheit und Kontrolle: Halten Sie Ihre Pakete und Ihren Code intern.
2. Schnellere Builds: Reduzieren Sie externe Abhängigkeiten und Netzwerklatenz.
3. Zugriffsverwaltung: Steuern Sie, wer auf bestimmte Pakete zugreifen oder diese veröffentlichen kann.
4. Versionierung und Archivierung: Verwalten Sie mehrere Versionen interner Pakete ohne Verwirrung oder externe Unterbrechungen.

---

Gängige Ansätze zum Hosten eines privaten NPM-Repositorys

1. Selbst gehostete Lösungen

   • Verdaccio: Eine beliebte, leichtgewichtige Open-Source-NPM-Proxy-Registrierung.
   • Sonatype Nexus: Eine umfassende Plattform zum Hosten mehrerer Repository-Formate (npm, Maven usw.).
   • JFrog Artifactory: Ein weit verbreiteter binärer Repository-Manager.

2. Verwaltet von Git-Hosts

   • GitHub-Pakete: Hosten Sie private npm-Pakete in Ihrer GitHub-Organisation.
   • GitLab-Pakete: Bietet eine integrierte NPM-Registrierung als Teil der DevOps-Plattform von GitLab.
   • Bitbucket (über Integrationen von Drittanbietern oder benutzerdefinierte Lösungen).

3. npm Enterprise

   • Wenn Sie große Teams haben und Funktionen auf Unternehmensebene wünschen (erweiterte Zugriffskontrolle, Sicherheitsüberprüfungen usw.), ist npm Enterprise möglicherweise eine Option.

---

1. Einrichten einer privaten npm-Registrierung mit Verdaccio

Verdaccio ist ein Open-Source-NPM-Registrierungs-Proxy, der einfach einzurichten und zu verwenden ist. Es ermöglicht Ihnen, private Pakete zu hosten und auch öffentliche Pakete aus der offiziellen npm-Registrierung zwischenzuspeichern.

1.1 Installieren Sie Verdaccio

Vorausgesetzt, Node.js ist bereits auf Ihrem Computer installiert:

# Install Verdaccio globally
npm install --global verdaccio

1.2 Verdaccio starten

verdaccio

Standardmäßig startet Verdaccio auf Port 4873. Sie können Ihren Browser auf http://localhost:4873 öffnen, um die Verdaccio-Benutzeroberfläche anzuzeigen.

1.3 Verdaccio konfigurieren

Verdaccio erstellt beim ersten Start eine Standardkonfigurationsdatei. Sie können es durch Bearbeiten anpassen (der Dateipfad kann je nach System variieren). Eine typische Konfiguration (~/.config/verdaccio/config.yaml) sieht wie folgt aus:

# Install Verdaccio globally
npm install --global verdaccio

• Speicher: Verzeichnis, in dem Verdaccio Pakete speichert.
• Uplinks: Verweist auf die offizielle npm-Registrierung.
• Pakete: Definiert Regeln für Zugriff, Veröffentlichung und Proxy.

1.4 Erstellen Sie einen Benutzer und melden Sie sich an

verdaccio

Hier werden Sie zur Eingabe von Benutzername, Passwort und E-Mail-Adresse aufgefordert. Sobald Sie fertig sind, werden Sie in Ihre private Registrierung eingeloggt.

1.5 Veröffentlichen Sie ein Paket

In einem Paketverzeichnis mit einer gültigen package.json:

storage: ./storage
auth:
  htpasswd:
    file: ./htpasswd
    max_users: 100

uplinks:
  npmjs:
    url: https://registry.npmjs.org/

packages:
  '@*/*':
    access: $all
    publish: $authenticated
    proxy: npmjs

  '**':
    access: $all
    publish: $authenticated
    proxy: npmjs

middlewares:
  audit:
    enabled: true

logs:
  - { type: stdout, format: pretty, level: http }

Das ist es! Ihr Paket ist jetzt in Ihrer lokalen Verdaccio-Registrierung veröffentlicht.

1.6 Installation aus Ihrer privaten Registry

Um ein Paket aus dieser Registrierung zu installieren, können Sie entweder:

• Verwenden Sie das Flag --registry:

npm adduser --registry http://localhost:4873

• Oder stellen Sie Ihre .npmrc so ein, dass sie global oder in einem bestimmten Projekt auf diese Registrierung verweist:

npm publish --registry http://localhost:4873

---

2. Verwendung von GitHub-Paketen

Wenn Sie Ihren Code bereits auf GitHub hosten, kann die Verwendung von GitHub-Paketen eine bequeme Möglichkeit sein, alles unter einem Dach zu halten.

2.1 Aktivieren Sie GitHub-Pakete für Ihr Repository

1. Gehen Sie zu Ihrem Repository auf GitHub.
2. Klicken Sie auf Einstellungen -> Pakete.
3. Stellen Sie sicher, dass GitHub-Pakete für Ihre Organisation/Ihr Konto aktiviert sind.

2.2 Authentifizieren Sie sich bei GitHub-Paketen

Erstellen Sie ein persönliches Zugriffstoken (PAT) mit den Bereichen read:packages und write:packages. Sie können dieses Token in Ihren GitHub-Einstellungen unter Entwicklereinstellungen -> generieren. Persönliche Zugriffstoken.

Fügen Sie Ihr Token zu .npmrc hinzu:

  npm install <package-name> --registry http://localhost:4873

Ersetzen Sie YOUR_GITHUB_USERNAME durch Ihren tatsächlichen Benutzernamen oder GitHub-Organisationsnamen.

2.3 Veröffentlichen Sie ein Paket in GitHub-Paketen

Aktualisieren Sie Ihre package.json mit einem Bereich, der Ihrem GitHub-Benutzernamen oder Ihrer GitHub-Organisation entspricht:

  registry=http://localhost:4873

Dann veröffentlichen:

//npm.pkg.github.com/:_authToken=YOUR_PERSONAL_ACCESS_TOKEN
@YOUR_GITHUB_USERNAME:registry=https://npm.pkg.github.com

2.4 Von GitHub-Paketen installieren

Stellen Sie sicher, dass .npmrc auf GitHub-Pakete verweist, dann:

{
  "name": "@YOUR_GITHUB_USERNAME/my-private-package",
  "version": "1.0.0",
  "publishConfig": {
    "registry": "https://npm.pkg.github.com"
  }
}

---

3. Verwendung von GitLab-Paketen

GitLab bietet auch eine integrierte Paketregistrierung.

3.1 Richten Sie die GitLab-Paketregistrierung ein

1. Navigieren Sie zu Ihrem GitLab-Projekt.
2. Gehen Sie zu Einstellungen -> Pakete und Registrierungen -> Paketregistrierung.

3.2 Konfigurieren Sie .npmrc

Erstellen oder aktualisieren Sie Ihre lokale/globale .npmrc-Datei mit Ihren GitLab-Anmeldeinformationen:

npm publish

3.3 Auf GitLab veröffentlichen

Aktualisieren Sie Ihren package.json-Bereich so, dass er mit der GitLab-Gruppe oder dem Benutzernamensraum übereinstimmt:

npm install @YOUR_GITHUB_USERNAME/my-private-package

Dann veröffentlichen:

# Install Verdaccio globally
npm install --global verdaccio

3.4 Von GitLab-Paketen installieren

verdaccio

---

4. Selbstgehostet mit Sonatype Nexus oder JFrog Artifactory

Wenn Sie nach einer robusten On-Premise-Lösung suchen, die mehrere Repository-Typen unterstützt, sind Sonatype Nexus oder JFrog Artifactory möglicherweise die beste Wahl.

4.1 Nexus-Repository

1. Installieren Sie den Nexus Repository Manager auf Ihrem Server oder Entwicklungscomputer.
2. Melden Sie sich bei der Nexus-Benutzeroberfläche unter http://your-nexus-server:8081 an.
3. Erstellen Sie ein neues npm (hosted)-Repository aus den Repositories-Einstellungen.
4. Konfigurieren Sie die Authentifizierung (falls erforderlich) und notieren Sie sich die URL.

Verwenden Sie ein ähnliches .npmrc-Setup, um Ihren npm-Client auf Ihr neues Nexus-npm-Repository zu verweisen:

storage: ./storage
auth:
  htpasswd:
    file: ./htpasswd
    max_users: 100

uplinks:
  npmjs:
    url: https://registry.npmjs.org/

packages:
  '@*/*':
    access: $all
    publish: $authenticated
    proxy: npmjs

  '**':
    access: $all
    publish: $authenticated
    proxy: npmjs

middlewares:
  audit:
    enabled: true

logs:
  - { type: stdout, format: pretty, level: http }

Veröffentlichen Sie Ihr Paket wie gewohnt:

npm adduser --registry http://localhost:4873

4.2 JFrog Artifactory

1. Installieren und starten Sie Artifactory.
2. Erstellen Sie in der Artifactory-Benutzeroberfläche ein Lokales Repository für npm.
3. Konfigurieren Sie .npmrc auf ähnliche Weise:

npm publish --registry http://localhost:4873

Veröffentlichen mit:

  npm install <package-name> --registry http://localhost:4873

---

5. npm Unternehmen

Für große Organisationen, die vollständige Kontrolle, Prüfung und erweiterte Sicherheit benötigen, ist npm Enterprise eine Option. Es bietet:

• Single Sign-On (SSO) Integration.
• Erweiterte Sicherheitsscans und Überwachung.
• Fein abgestufte Zugriffskontrolle.

Anweisungen zur Einrichtung finden Sie in der npm Enterprise-Dokumentation.

---

Best Practices und Tipps

1. Verwenden Sie Bereiche: Durch die Festlegung des Bereichs Ihrer privaten Pakete (@company/your-package) können Sie sie von öffentlichen Paketen unterscheiden.
2. .npmrc-Verwaltung:
   • Verwenden Sie pro Projekt .npmrc-Dateien, um Verwirrung zu vermeiden.
   • Anmeldeinformationen außerhalb der Versionskontrolle halten.
3. Automatisieren Sie mit CI/CD: Integrieren Sie Veröffentlichungsschritte in Ihre CI/CD-Pipelines, um Konsistenz zu gewährleisten.
4. Proxy einrichten: Die meisten selbst gehosteten Register können die öffentliche NPM-Registrierung als Proxy verwenden, sodass Sie nicht zwischen den Registern wechseln müssen, um allgemeine Abhängigkeiten zu installieren.
5. Überwachen und prüfen: Verfolgen Sie Downloads, Versionen und Aktivitäten in Ihrer Registrierung.

---

Abschluss

Durch die Einrichtung eines privaten NPM-Repositorys haben Sie die Freiheit, Ihre eigenen Pakete sicher zu verwalten und zu hosten. Ganz gleich, ob Sie eine selbst gehostete Lösung wie Verdaccio verwenden, verwaltete Lösungen wie GitHub Packages oder GitLab Packages nutzen oder sich für Unternehmenslösungen wie Nexus, Artifactory oder npm Enterprise entscheiden – die Grundlagen bleiben die gleichen:

1. Konfigurieren Sie die Registrierung.
2. Authentifizierung einrichten.
3. Veröffentlichen und nutzen Sie Ihre Pakete.

Wählen Sie den Ansatz, der den Anforderungen Ihres Unternehmens in Bezug auf Sicherheit, Skalierbarkeit und Wartung am besten entspricht. Mit den obigen Beispielen und Codeausschnitten sollten Sie über eine solide Grundlage verfügen, um mit dem Hosten Ihrer eigenen privaten NPM-Pakete zu beginnen. Viel Spaß beim Codieren!

Das obige ist der detaillierte Inhalt vonPrivate npm-Repositorys. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!