在DevOps實踐中，制品庫可以說是至關(guān)重要的組件。一個可靠的制品庫在DevOps流程中往往可以幫助企業(yè)解決許多安全和版本管控方面的問題。

典型的軟件開發(fā)會涉及到開發(fā)，構(gòu)建，測試，部署等環(huán)節(jié)。在這個過程中，依賴組件如何確保安全，中間制品如何規(guī)范管理，交付物如何準(zhǔn)確投產(chǎn)，諸如此類的問題往往會成為整個DevOps流轉(zhuǎn)的阻礙，我們分階段來看：

01. 開發(fā)構(gòu)建階段

因技術(shù)所需，此階段往往會“依賴”大量外部的依賴組件，在這個時候既要費時費力下載各種外部依賴文件，還要防止下載的開源組件有漏洞，再加上有些組件可能還有授權(quán)大坑，有法律風(fēng)險，因此，如何處理依賴庫就成為了開發(fā)構(gòu)建中的大難題。

02. 存入制品庫階段

在構(gòu)建完之后研發(fā)人員往往會將制品存入制品庫中進(jìn)行集中管理，在這個時候會出現(xiàn)以下問題：

• 開發(fā)無法對庫里制品的質(zhì)量狀況了如指掌；
• 運維難以確定本次可發(fā)布的版本，
• 如果有未經(jīng)測試的版本上了生產(chǎn)環(huán)境，或者是老版本覆蓋了新版本，釀成的都是大事故。
• 
  

03. 部署實施階段

最后交付的制品，在部署實施的時候會有許多要求

• ① 首先要保證傳輸?shù)慕橘|(zhì)可靠和安全
• ② 還要兼顧版本的管理，哪個版本是最新的？ 哪個是臨時版本？
• ③ 萬一制品庫宕機(jī)，按時投產(chǎn)就成了大問題
• ④ 很多情況下，企業(yè)開發(fā)和生產(chǎn)處于異地隔離，那么如果制品異地傳輸慢，大規(guī)模部署就只能干著急
• ⑤ 還有權(quán)限管控方面，如果制品庫無法做到細(xì)粒度的權(quán)限管控，權(quán)限管控不嚴(yán)，制品被篡改，那將遺患無窮

說到這你就應(yīng)該明白明白，一個可靠的制品庫在DevOps流程中往往可以幫助企業(yè)解決許多安全和版本管控方面的問題了吧，那接下來就給大家介紹款常用的制品庫工具：

1）Nexus

大多數(shù)中小研發(fā)團(tuán)隊會選擇sonatype的nexus，免費版無高可用，可以滿足大部分基礎(chǔ)業(yè)務(wù)場景

2）Harbor

VMware公司開源的鏡像倉庫，支持Docker和Helm倉庫

3）Jfrog Artifactory

一家在美上市的以色列公司，提供制品庫商用解決方案，按年訂閱付費

4）核心推薦：嘉為藍(lán)鯨CPack

嘉為藍(lán)鯨CPack制品管理平臺是一款企業(yè)級制品管理解決方案，基于國產(chǎn)自研技術(shù)體系，致力于為企業(yè)打造現(xiàn)代化制品管理能力。

① 多類型制品支持：支持Generic、Maven、NPM、PYPI、Docker、Helm等多種常見類型，支撐多種不同語言的研發(fā)團(tuán)隊使用

② 制品統(tǒng)一管理：提供代理功能，通過設(shè)置多個代理源實現(xiàn)本地倉庫、私有倉庫和中央倉庫的制品統(tǒng)一管理，打造企業(yè)唯一可信源。

③ 制品溯源追蹤：基于制品元數(shù)據(jù)和準(zhǔn)入準(zhǔn)出規(guī)則，進(jìn)行制品晉級，以制品維度記錄從需求到發(fā)布的過程數(shù)據(jù)，實現(xiàn)需求、編碼、構(gòu)建、測試、質(zhì)量和部署全生命周期過程的強(qiáng)管控，實現(xiàn)可信追溯與安全審計。

④ 制品安全掃描：提供自定義掃描計劃和質(zhì)量規(guī)則，滿足企業(yè)對開源組件的漏洞安全和許可證合規(guī)性方面的檢測管控要求。

⑤ 保障服務(wù)穩(wěn)定：支持集群部署和健康監(jiān)控，為企業(yè)提供穩(wěn)定的性能服務(wù)。

⑥ 降低運維成本：多地數(shù)據(jù)中心集群方式部署，支持橫向多節(jié)點擴(kuò)展，以靈活的同步策略應(yīng)對高并發(fā)下載場景。

嘉為藍(lán)鯨CPack使用場景：

1. 單環(huán)境：私服依賴倉庫+項目隔離的制品倉庫+制品晉級+部署發(fā)布

2. 多地中心：CI流水線+多節(jié)點制品庫+同步分發(fā)+應(yīng)用發(fā)布自動化+部署

3. 私服依賴庫：DMZ隔離區(qū)+多級代理