Fabric2.0的重大变化之一就是支持外部构建智能合约,在1.x版本的Fabric中,合约是由Peer以容器的方式进行启动和维护,依赖于Docker。这在一定程度上违反了安全准则,并且在管理运维中带来了麻烦。Fabric 2.0支持用户自行启动合约容器。
1.修改Peer节点配置
(1)准备构建器与启动器脚本
外部构建器(externalBuilder)和启动器由四个程序或脚本组成:
bin/detect:确定是否应使用此buildpack来构建chaincode程序包并启动它。- 它用于检测当前install的合约是否适用外部构建器构建,假如
exit 0就会继续执行构建发布外部合约的操作,exit 1就会按照原本适用节点安装部署合约的方式。
- 它用于检测当前install的合约是否适用外部构建器构建,假如
bin/build:将chaincode包转换为可执行的chaincode。- 将我们提交的合约配置文件按照构建规则放到它指定的目录
bin/release(可选):向peer提供有关链码的元数据。- 在完成合约基础构建之后,剩下只需要发布
bin/run(可选):运行链码。
(2)准备core.yaml
externalBuilders:
# 填写节点容器内存放 externalBuilder 脚本的目录
- path: /opt/gopath/src/github.com/hyperledger/fabric/peer/externalBuilder
name: builder # 外部构建器名称
# environmentWhitelist: #环境变量白名单
# - ENVVAR_NAME_TO_PROPAGATE_FROM_PEER
# - GOPROXY
(3)增加 dockerfile / docker-compose 的挂载参数
之后把externalBuilder目录映射到externalBuilders.path 以及 将core.yaml挂载到容器的/etc/hyperledger/fabric目录
volumes:
# 挂载目录
- ./external:/opt/gopath/src/github.com/hyperledger/fabric/peer/externalBuilder
- ./core.yaml:/etc/hyperledger/fabric/core.yaml
2.部署合约到网络
(1)准备json文件
要实现外部部署合约,对于要install到fabric的合约包跟之前的包是不一样的,这个包里面不需要合约的源代码。
按照定义来说,这个合约包含有:
-
metadata.json : 合约的属性,与原本的合约属性不一致的是他的path可以为空,他的type可以自定义。
{ "path":"","type":"external","label":"mycc_1"} -
connection.json :这个文件是用于节点去连接合约的相关配置信息,双方交互基于grpc服务。
{ "address": "192.168.2.103:7052", "dial_timeout": "10s", "tls_required": false, "client_auth_required": false, "client_key": "-----BEGIN EC PRIVATE KEY----- ... -----END EC PRIVATE KEY-----", "client_cert": "-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----", "root_cert": "-----BEGIN CERTIFICATE---- ... -----END CERTIFICATE-----" } -
metadata文件夹:应该是跟couchdb存放私有数据相关的,本实践不做详细说明。
以下通过cli容器操作
(2)打包合约
tar cfz code.tar.gz connection.json
tar cfz mycc2.tgz metadata.json code.tar.gz
(3)安装部署合约
# 每个背书节点都要install
peer lifecycle chaincode install mycc2.tgz
# 批准合约定义,必须符合lifecycle策略
peer lifecycle chaincode approveformyorg --tls true --cafile /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem --channelID mychannel --name mycc2 --version 1 --init-required --package-id mycc_1:84b3aaf583a6632e806a0ff46ad804539797d84ff7826c88a6d6009a9930cfee --sequence 1 --waitForEvent
# 提交合约定义到网络
peer lifecycle chaincode commit -o orderer.example.com:7050 --tls true --cafile /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem --channelID mychannel --name mycc --peerAddresses peer0.org1.example.com:7051 --tlsRootCertFiles /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/tls/ca.crt --peerAddresses peer0.org2.example.com:9051 --tlsRootCertFiles /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org2.example.com/peers/peer0.org2.example.com/tls/ca.crt --version 1 --sequence 1 --init-required
(4)构建发布成功
完全部署成功之后,我们可以看到跟往常部署不一样的是,合约容器并没有启动,在节点容器 /var/hyperledger/production/externalbuilder/builds/出现构建发布后的合约文件目录:
$ ls /var/hyperledger/production/externalbuilder/builds/
mycc_1-1334f6ae3dc48da53113bd1d3f430976757181ccd2b6162dab1efc72295e1e4f
3.启动合约
在宿主机操作
编写合约main函数
func main() {
server := &shim.ChaincodeServer{
CCID: os.Getenv("CHAINCODE_CCID"), //读取环境变量
Address: os.Getenv("CHAINCODE_SERVER_ADDRESS"),
CC: new(ABstore),
TLSProps: shim.TLSProperties{
Disabled: true,
},
}
// Start the chaincode external server
err := server.Start()
if err != nil {
fmt.Printf("Error starting Marbles02 chaincode: %s", err)
}
}
(1)二进制启动
配置环境变量文件 chaincode.env
# CHAINCODE_SERVER_ADDRESS must be set to the host and port where the peer can
# connect to the chaincode server
# grpc服务IP端口
CHAINCODE_SERVER_ADDRESS=0.0.0.0:9999
#mycc.org1.example.com:9999
# CHAINCODE_CCID must be set to the Package ID that is assigned to the chaincode
# on install. The `peer lifecycle chaincode queryinstalled` command can be
# used to get the ID after install if required
# 部署完成后生产的合约ID
CHAINCODE_CCID=mycc_1:1334f6ae3dc48da53113bd1d3f430976757181ccd2b6162dab1efc72295e1e4f
启动
cd到合约所在目录
go build
source chaincode.env; ./sacc_external #光这样跑会报缺参数
(2) [推荐]docker启动
构建 docker image
编写Dockerfile
# Copyright IBM Corp. All Rights Reserved.
#
# SPDX-License-Identifier: Apache-2.0
# ********************
# 构建合约可执行文件,启动容器运行合约可执行文件
# ********************
#This image is a microservice in golang for the Degree chaincode
FROM golang:1.14.4-alpine3.12 AS build
COPY ./ /go/src/github.com/sacc_external
WORKDIR /go/src/github.com/sacc_external
# Build application
RUN GO111MODULE=on go build -o chaincode -v .
# RUN GOPROXY="https://goproxy.cn" GO111MODULE=on go build -mod vendor -o chaincode -v .
# Production ready image
# Pass the binary to the prod image
FROM alpine:3.11 as prod
COPY --from=build /go/src/github.com/sacc_external/chaincode /app/chaincode
USER 1000
WORKDIR /app
CMD ./chaincode
构建image
#构建合约可执行文件的image
docker build -t chaincode/mycc2:1.0 .
注意 CHAINCODE_CCID一定要对应我们之前安装好的合约id
启动外部合约容器
配置 docker-compose-mycc.yaml
version: '2'
networks:
basic:
services:
#合约容器
mycc2:
#定义主机名
container_name: mycc.org1.example.com
#使用的镜像
image: chaincode/mycc2:1.0
#容器的映射端口
ports:
- 9999:9999
#环境变量
# privileged: true
environment:
- CHAINCODE_CCID=mycc_1:594f63870f497feb7d3c8d28ceaa35aa1607aad39b28fc3296161f2389069e90
- CHAINCODE_ADDRESS=0.0.0.0:9999
networks:
- basic
启动容器
#启动合约容器
docker-compose -f docker-compose-mycc.yaml up -d
4.合约初始化(如果需要)
peer chaincode invoke -n ${CHAINCODE_NAME} -C ${CHANNEL_NAME}
-o orderer.example.com:7050 --tls --cafile $ORDERER_CA
--isInit -c '{\"Args\":[\"a\",\"10\"]}'
5.共享外部的合约容器
(1)同组织内其它Peer
需要先安装链码包==(注意: 链码包不要重新打包,会导致package id不一致)==
#install
docker exec cli1.org1.example.com /bin/sh -c "cd ./script; ./cc_install_external.sh 1 mychannel mycc 1 1 true 1 ./chaincode/sacc_external mycc2"
#query
docker exec cli1.org1.example.com peer chaincode query -n mycc -c '{"Args":["query","a"]}' -C mychannel
(2)不同组织间的Peer
- 需要先安装链码包==(注意: 链码包不要重新打包,会导致package id不一致)==
- 每个组织都还需要做 approve
总结
1)使用链码生命周期打包和部署链码(Peer节点无须再安装链码)。
2)运行可执行链码文件作为外部链码服务启动。
3)提交链码定义到通道。
4)Peer通过connection.json中指定信息连接到外部链码服务。
最后,用户可以调用链码,而无须关注该链码如何管理。