Sonatype Nexus IQ Server Docker 镜像文档: sonatype/nexus-iq-server

1. 镜像概述与主要用途

Sonatype Nexus IQ Server Docker 镜像基于 Red Hat Universal Base Image 构建，用于快速部署 Sonatype Nexus IQ Server。Nexus IQ Server 是一款企业级软件供应链管理工具，提供软件成分分析、安全漏洞检测、许可合规检查及政策管理等功能，帮助组织在软件开发全生命周期中确保依赖组件的安全性与合规性。

2. 核心功能与特性

• 基于 Red Hat UBI: 采用 Red Hat 通用基础镜像，确保稳定性与安全性
• 持久化存储支持: 通过数据卷或主机目录挂载实现配置、日志及数据的持久化
• 灵活的运行时配置: 支持通过环境变量自定义 JVM 参数及服务器配置
• 多版本迁移兼容: 提供详细的版本间升级指南，保障数据兼容性
• Red Hat 认证镜像: 提供符合 Atomic 和 OpenShift 标准的 Red Hat 认证版本
• 精简镜像选项: 提供不含额外工具的 -slim 标签镜像，减少资源占用

3. 使用场景与适用范围

• 企业级软件项目: 管理第三方依赖组件的安全与许可合规性
• CI/CD 流程集成: 在持续集成/持续部署流程中嵌入自动化成分分析
• 开发团队协作: 提供统一的依赖政策管理与漏洞监控平台
• 容器化部署环境: 适用于 Docker、Kubernetes 等容器化基础设施

4. 详细使用方法

4.1 基本运行

4.1.1 固定端口映射

bash
docker run -d -p 8070:8070 -p 8071:8071 --name nexus-iq-server sonatype/nexus-iq-server

• 8070: Web UI 及 API 端口
• 8071: 管理端口

4.1.2 动态端口分配

让 Docker 自动分配主机端口：

bash
docker run -d -p 8070 -p 8071 --name nexus-iq-server sonatype/nexus-iq-server

4.1.3 查看运行状态

bash
docker ps --filter "name=nexus-iq-server"

4.2 持久化数据

Nexus IQ Server 数据需持久化存储以确保重启后数据不丢失，支持两种方案：

4.2.1 使用数据卷（推荐）

bash
# 创建数据卷
docker volume create --name sonatype-work
docker volume create --name sonatype-logs

# 运行容器并挂载卷
docker run -d \
  -p 8070:8070 -p 8071:8071 \
  --name nexus-iq-server \
  -v sonatype-work:/sonatype-work \
  -v sonatype-logs:/var/log/nexus-iq-server \
  sonatype/nexus-iq-server

4.2.2 挂载主机目录

bash
# 创建主机目录
mkdir -p /some/dir/sonatype-work /some/dir/sonatype-logs

# 运行容器并挂载目录
docker run -d \
  -p 8070:8070 -p 8071:8071 \
  --name nexus-iq-server \
  -v /some/dir/sonatype-work:/sonatype-work \
  -v /some/dir/sonatype-logs:/var/log/nexus-iq-server \
  sonatype/nexus-iq-server

4.3 运行时服务器配置

4.3.1 基本配置路径

• 应用安装路径：/opt/sonatype/nexus-iq-server
• 默认配置文件路径：/etc/nexus-iq-server/config.yml（可通过 ***文档 查看配置项说明）

4.3.2 自定义 JVM 参数

通过 JAVA_OPTS 环境变量传递 JVM 参数：

bash
docker run -d \
  -p 8070:8070 -p 8071:8071 \
  --name nexus-iq-server \
  -e JAVA_OPTS="-Xms512m -Xmx1024m -Ddw.logging.level=INFO" \
  sonatype/nexus-iq-server

4.3.3 版本 101 和 102 的特殊配置

版本 101 和 102 的启动脚本 start.sh 缺失 ${JAVA_OPTS} 变量，需额外执行：

bash
# 修改启动脚本
docker exec nexus-iq-server sed -i 's/java/java \${JAVA_OPTS}/g' /opt/sonatype/nexus-iq-server/start.sh
# 重启容器
docker restart nexus-iq-server

4.4 产品许可证安装

4.4.1 许可证安装流程

1. 通过浏览器访问 http://<主机IP>:8070
2. 使用默认管理员凭据登录：admin/admin123
3. 按照 ***指南 上传许可证文件

4.4.2 许可证持久化说明

• 版本 96 及以上：许可证存储在数据库中，只要数据库持久化即可保留
• 版本 95 及以下：许可证通过 Java Preferences API 存储在 ${SONATYPE_WORK}/javaprefs 目录，默认已配置为持久化路径

5. Docker Compose 部署示例

yaml
version: '3.8'

services:
  nexus-iq-server:
    image: sonatype/nexus-iq-server:latest
    container_name: nexus-iq-server
    restart: always
    ports:
      - "8070:8070"  # Web UI 及 API
      - "8071:8071"  # 管理端口
    environment:
      - JAVA_OPTS="-Xms1g -Xmx2g -Ddw.logging.level=WARN"
    volumes:
      - sonatype-work:/sonatype-work
      - sonatype-logs:/var/log/nexus-iq-server
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:8070/api/v2/appinfo"]
      interval: 30s
      timeout: 10s
      retries: 3

volumes:
  sonatype-work:
    name: nexus-iq-work
  sonatype-logs:
    name: nexus-iq-logs

6. 版本迁移指南

6.1 从 177 及更早版本升级到 178 及更高版本

• 基础镜像变更：从 Red Hat UBI Minimal 切换为基于 UBI9 的 OpenJDK 17 运行时镜像
• Java 版本升级：运行环境从 Java 8 升级到 Java 17，需确保应用兼容性

6.2 从 124 及更早版本升级到 125 及更高版本

• 基础镜像变更：从 Red Hat UBI 切换为 Red Hat UBI Minimal
• 包管理器变更：dnf 替换为 microdnf，扩展镜像时需使用 microdnf 管理依赖

6.3 从 118 版本升级到 119 及更高版本

版本 119 修复了非优雅关闭问题，升级前需按以下方式停止旧版本容器：

bash
# 自动获取容器 ID 并停止
docker exec -ti $(docker container list -a | grep nexus-iq | head -n 1 | awk '{print$1}') bash -c 'kill -TERM "$(cat /sonatype-work/lock | cut -d"@" -f1)"'

# 或使用已知容器 ID
docker exec -ti <container_id> bash -c 'kill -TERM "$(cat /sonatype-work/lock | cut -d"@" -f1)"'

6.4 从 117 及更早版本升级到 118 及更高版本

版本 118 将 nexus 用户 UID 从 997 改为 1000（系统账户→普通用户），需修复持久化卷权限：

bash
docker run -it -u=0 -v [卷名]:[容器内路径] sonatype/nexus-iq-server:1.118.0 chown -R nexus:nexus [容器内路径]

# 示例（修复 sonatype-work 卷）
docker run -it -u=0 -v sonatype-work:/sonatype-work sonatype/nexus-iq-server:1.118.0 chown -R nexus:nexus /sonatype-work

6.5 从 100 及更早版本升级到 101 及更高版本

版本 101 变更基础镜像（移除 Chef 依赖），导致 nexus 用户 UID 变更，需修复卷权限：

bash
docker run -it -u=0 -v [卷名]:[容器内路径] sonatype/nexus-iq-server:1.101.0 chown -R nexus:nexus [容器内路径]

6.6 从 68 及更早版本升级到 69 及更高版本

版本 69 将基础镜像从 CentOS 改为 Red Hat UBI，导致 nexus 用户 UID 变更，需修复卷权限：

bash
docker run -it -u=0 -v [卷名]:[容器内路径] sonatype/nexus-iq-server:1.69.0 chown -R nexus:nexus [容器内路径]

7. 构建镜像

7.1 基本构建命令

bash
docker build --rm=true --tag=sonatype/nexus-iq-server .

7.2 构建参数

可通过 --build-arg 指定以下可选参数：

7.3 自定义默认 config.yml

可通过修改 config.yml 文件自定义服务器配置，支持的配置项参考 ***文档。

8. 扩展镜像

扩展镜像时需注意不同版本的包管理器差异：

• 版本 125+：使用 microdnf（如 microdnf install <package>）
• 版本 101-124：使用 dnf（如 dnf install <package>）
• 版本 ≤100：使用 yum（如 yum install <package>）

9. 测试 Dockerfile

使用 rspec 和 serverspec 测试框架验证镜像：

bash
rspec [--backtrace] spec/Dockerfile_spec.rb

10. 替代精简镜像

默认镜像包含 git 等工具以支持增强型 SCM 集成。如需精简版本，可使用 -slim 标签：

bash
docker run -d -p 8070:8070 -p 8071:8071 sonatype/nexus-iq-server:latest-slim

11. Red Hat 认证镜像

通过 Dockerfile.rh 可构建 Red Hat 认证镜像，包含：

• 符合 Atomic 和 OpenShift 标准的元数据
• 软件许可文件目录
• 帮助文档（man 文件）
• 支持 OpenShift "restricted" SCC 的入口点脚本

12. 项目许可

除非文件头部另有说明，本仓库中的文件均采用 Apache v2 许可证 授权。