Fabric 核心模块功能
再来复习Fabric的模块组成:
- peer:主节点模块,负责存储区块链数据,运行维护链码。
- orderer:负责对交易进行排序,并将排序好的交易打包成区块。
- cryptogen:组织和证书生成模块。
- configtxgen:区块和交易生成模块。
- configtxlator:区块和交易解析模块。
这5个模块中,peer和orderer属于系统模块,另外三个属于工具模块。工具模块负责证书文件、区块链创始块、通道创始块等相关文件和证书生成的工作,但是,工具模块不参与系统的运行。
Fabric模块的子命令和配置文件
cryptogen
cryptogen是以命令行的方式运行的(docker 可以通过/bin/bash启动)。
cryptogen模块一共有5个命令:
root@f59e01af054c:/opt/gopath/src/github.com/hyperledger/fabric/peer# cryptogen --help
Commands:
help [<command>...]
Show help.
generate [<flags>]
Generate key material
showtemplate
Show the default configuration template
version
Show version information
extend [<flags>]
Extend existing network
这里面需要注意的是,showtemplate
用于显示系统默认的cryptogen模块配置文件信息,而generate
用于根据该配置文件来产生证书信息。
下面详细说明配置文件yml
:(由于篇幅原因,其他细节配置不做说明,详情可以查看cryptogen showtemplate
获取模版)
OrdererOrgs: # 定义Order节点
- Name: Orderer # Orderer节点名称和域名的配置,
Domain: example.com
Specs:
- Hostname: orderer # Orderer节点主机名
PeerOrgs:
- Name: Org1 # 组织1的名称
Domain: org1.example.com #组织1的根域名
Template:
Count: 1 # 组织中节点的数目
Users:
Count: 1 # 组织中用户的数目
- Name: Org2
Domain: org2.example.com
EnableNodeOUs: false
Template:
Count: 1
Users:
Count: 1
生成配置自己的证书
有了上面的例子,我们来生成自己的cryptogen配置文件。
首先,系统根域名叫leesanghyuk.com
,orderer节点被命名为MyOrderer。(在测试环境中域名是可以随便定义的只要在/etc/hosts
里面配置本地地址就行)
在该系统中,设定三个组织,分别为myorg1,2,3,分别包含3,4,5个节点和6,7,8个用户。
所以最后的配置如下所示:
OrdererOrgs:
- Name: MyOrderer
Domain: leesanghyuk.com
Specs:
- Hostname: orderer
PeerOrgs:
- Name: myOrg1
Domain: myorg1.leesanghyuk.com
Template:
Count: 3
Users:
Count: 6
- Name: myOrg2
Domain: myorg2.leesanghyuk.com
Template:
Count: 4
Users:
Count: 7
- Name: myOrg3
Domain: myorg3.leesanghyuk.com
Template:
Count: 5
Users:
Count: 8
首先如果在docker里,而又没有指定挂载文件的话,使用docker inspect <container_id/name> | grep Mounts -A 10
查看挂载文件地址。
然后vi template.yml
,后进入到容器docker exec
的挂载地址。
root@f59e01af054c# cryptogen generate --help
usage: cryptogen generate [<flags>]
Generate key material
Flags:
--help Show context-sensitive help (also try --help-long and --help-man).
--output="crypto-config" The output directory in which to place artifacts
--config=CONFIG The configuration template to use
可知 generate
命令是这样使用的:
root@f59e01af054c:# cryptogen generate --config template.yml --output crypto-config/
myorg1.leesanghyuk.com
myorg2.leesanghyuk.com
myorg3.leesanghyuk.com
进入刚才生成的output文件夹中:
root@f59e01af054c:<file>/crypto-config# ls
ordererOrganizations peerOrganizations
其中ordererOrganizations
是orderer节点相关的证书文件,而peerOrganizations
是组织相关的证书文件,包括组织的节点数、用户数等相关证书文件。
在容器外使用tree -L 4
可以查看文件构成:
[root@VM_0_5_centos crypto-config]# tree -L 4 crypto-config/
crypto-config/
|-- ordererOrganizations
| `-- leesanghyuk.com
| |-- ca
| | |-- 199f30cef241a16978923ae0b005dee0d87d44307e91b9b7e34059db69188621_sk
| | `-- ca.leesanghyuk.com-cert.pem
| |-- msp
| | |-- admincerts
| | |-- cacerts
| | `-- tlscacerts
| |-- orderers
| | `-- orderer.leesanghyuk.com
| |-- tlsca
| | |-- 53c30fa0ba6366cb723428e4b497f92aa50a6c993fb6757fcef60989870c4980_sk
| | `-- tlsca.leesanghyuk.com-cert.pem
| `-- users
| `-- Admin@leesanghyuk.com
`-- peerOrganizations
|-- myorg1.leesanghyuk.com
| |-- ca
| | |-- ca.myorg1.leesanghyuk.com-cert.pem
| | `-- ec3bed8df9aaf02f7473013617d62efc54ceca967ae86d73dc9961fa1780989a_sk
| |-- msp
| | |-- admincerts
| | |-- cacerts
| | `-- tlscacerts
| |-- peers
| | |-- peer0.myorg1.leesanghyuk.com
| | |-- peer1.myorg1.leesanghyuk.com
| | `-- peer2.myorg1.leesanghyuk.com
| |-- tlsca
| | |-- eae4c152defb04ffc000bf919f6e4a6fa49b20273eed561631d804a3ee44051d_sk
| | `-- tlsca.myorg1.leesanghyuk.com-cert.pem
| `-- users
| |-- Admin@myorg1.leesanghyuk.com
| |-- User1@myorg1.leesanghyuk.com
| |-- User2@myorg1.leesanghyuk.com
| |-- User3@myorg1.leesanghyuk.com
| |-- User4@myorg1.leesanghyuk.com
| |-- User5@myorg1.leesanghyuk.com
| `-- User6@myorg1.leesanghyuk.com
|-- myorg2.leesanghyuk.com
| |-- ca
| | |-- ca.myorg2.leesanghyuk.com-cert.pem
| | `-- e67efb9a657c2e32c762a30fe3a12b88354460fa10a5473e76dbfee29e59fee6_sk
| |-- msp
| | |-- admincerts
| | |-- cacerts
| | `-- tlscacerts
| |-- peers
| | |-- peer0.myorg2.leesanghyuk.com
| | |-- peer1.myorg2.leesanghyuk.com
| | |-- peer2.myorg2.leesanghyuk.com
| | `-- peer3.myorg2.leesanghyuk.com
| |-- tlsca
| | |-- 319e505c17d174449f1d5b6b67a20c989b8cd5e16b367cbb57a4329d925c0b76_sk
| | `-- tlsca.myorg2.leesanghyuk.com-cert.pem
| `-- users
| |-- Admin@myorg2.leesanghyuk.com
| |-- User1@myorg2.leesanghyuk.com
| |-- User2@myorg2.leesanghyuk.com
| |-- User3@myorg2.leesanghyuk.com
| |-- User4@myorg2.leesanghyuk.com
| |-- User5@myorg2.leesanghyuk.com
| |-- User6@myorg2.leesanghyuk.com
| `-- User7@myorg2.leesanghyuk.com
`-- myorg3.leesanghyuk.com
|-- ca
| |-- ca.myorg3.leesanghyuk.com-cert.pem
| `-- cf0527b935c5ad60249eedb822e556b857d39de5662ec7ef7f6bbe78cd884ecc_sk
|-- msp
| |-- admincerts
| |-- cacerts
| `-- tlscacerts
|-- peers
| |-- peer0.myorg3.leesanghyuk.com
| |-- peer1.myorg3.leesanghyuk.com
| |-- peer2.myorg3.leesanghyuk.com
| |-- peer3.myorg3.leesanghyuk.com
| `-- peer4.myorg3.leesanghyuk.com
|-- tlsca
| |-- 8b89bdba6b73a5e5c22a79437a682a9bc12b0833b82cd36cf96fec44dec36b7f_sk
| `-- tlsca.myorg3.leesanghyuk.com-cert.pem
`-- users
|-- Admin@myorg3.leesanghyuk.com
|-- User1@myorg3.leesanghyuk.com
|-- User2@myorg3.leesanghyuk.com
|-- User3@myorg3.leesanghyuk.com
|-- User4@myorg3.leesanghyuk.com
|-- User5@myorg3.leesanghyuk.com
|-- User6@myorg3.leesanghyuk.com
|-- User7@myorg3.leesanghyuk.com
`-- User8@myorg3.leesanghyuk.com
76 directories, 16 files
cryptogen 证书文件结构
书接上文,进入peerOrganizations文件夹:
[root@VM_0_5_centos crypto-config]# cd crypto-config/
[root@VM_0_5_centos crypto-config]# ls
ordererOrganizations peerOrganizations
[root@VM_0_5_centos crypto-config]# cd peerOrganizations/
[root@VM_0_5_centos peerOrganizations]# tree -L 1
.
|-- myorg1.leesanghyuk.com
|-- myorg2.leesanghyuk.com
`-- myorg3.leesanghyuk.com
3 directories, 0 files
分别生成了3个证书文件夹,我以组织myorg1来说明文件夹内部的文件的作用。进入文件夹:
[root@VM_0_5_centos myorg1.leesanghyuk.com]# tree -L 1
.
|-- ca # 根节点签名证书
|-- msp
|-- peers
|-- tlsca # TLS证书
`-- users
进入ca:
[root@VM_0_5_centos ca]# tree -L 1
.
|-- ca.myorg1.leesanghyuk.com-cert.pem # 根节点签名证书
`-- ec3bed8df9aaf02f7473013617d62efc54ceca967ae86d73dc9961fa1780989a_sk
0 directories, 2 files
进入msp:
[root@VM_0_5_centos msp]# tree -L 2
.
|-- admincerts # 组织管理员的证书
| `-- Admin@myorg1.leesanghyuk.com-cert.pem
|-- cacerts # 组织的根证书
| `-- ca.myorg1.leesanghyuk.com-cert.pem
`-- tlscacerts # TLS连接身份证书
`-- tlsca.myorg1.leesanghyuk.com-cert.pem
进入peers:
[root@VM_0_5_centos peers]# tree -L 3
.
|-- peer0.myorg1.leesanghyuk.com
| |-- msp
| | |-- admincerts # 组织的管理证书,只有这些证书才能进行创建通道等操作
| | |-- cacerts # 组织根证书
| | |-- keystore # 当前节点的私钥
| | |-- signcerts # 当前节点签名的数字证书
| | `-- tlscacerts # TLS连接的身份证书
| `-- tls
| |-- ca.crt # 组织的根证书
| |-- server.crt # 验证本节点签名的证书
| `-- server.key # 当前节点的私钥文件用来签名的
|-- peer1.myorg1.leesanghyuk.com
| |-- msp
| | |-- admincerts
| | |-- cacerts
| | |-- keystore
| | |-- signcerts
| | `-- tlscacerts
| `-- tls
| |-- ca.crt
| |-- server.crt
| `-- server.key
`-- peer2.myorg1.leesanghyuk.com
|-- msp
| |-- admincerts
| |-- cacerts
| |-- keystore
| |-- signcerts
| `-- tlscacerts
`-- tls
|-- ca.crt
|-- server.crt
`-- server.key
24 directories, 9 files
其他不再赘述。
总结:crypto-config.yaml中配置生成了两个文件夹,其实就是生成了peerOrgs和OrdererOrgs的认证文件。