分步详解 Fabric 区块链网络的部署部署一个示例的 Fabric 区块链网络

￡神魔★判官ぃ 2022-12-23 14:24 197阅读 0赞

## 分步详解 Fabric 区块链网络的部署 部署一个示例的 Fabric 区块链网络
    
    前言
    区块链（Blockchain）技术正在迅速发展，在银行、保险、物流、新闻出版、食品安全等很多领域都开始了实际应用。可以预见，将来会有越来越多的行业会应用它。
    
    Hyperledger Fabric 是其中一个非常重要的区块链技术平台。它是一个开源的、企业级的、有许可的分布式账本技术平台，它是为用于企业环境而设计的，与一些其他流行的分布式账本技术或区块链平台相比，它提供了一些非常关键的差异化的能力。
    
    本系列文章从 Fabric 实践入手，对之进行学习与研究，进而进行基于 Fabric 的区块链应用开发，再深入研究它的数据结构、源代码与安全机制。期望能通过此系列文章，使读者能快速了解它的全貌。
    
    本文是此系列文章的第一篇。主要内容是分步骤讲解如何部署一个示例的 Fabric 区块链网络，并初步了解 Fabric 中的一些基础内容。本文以 Fabric 1.3 为基础。
    
    系统环境
    Fabric 可以被部署在 Linux，Unix，Windows，MacOS 等系统上，本文以 Ubuntu 16.04 为基础进行讲解，读者如需了解其他系统上的使用情况，请参考 Fabric 原始文档 。
    
    我们需要先行安装这些软件：curl，docker，docker-compose，Go lang，Python，Node.js。
    
    有些软件如果在系统中已经存在，且版本合适，则请略过相关步骤。
    
    如无特殊说明，下文中所有命令都以 root 用户执行。如果为非 root 用户，可能有些命令需要加 sudo。
    
    确认 Ubuntu 版本
    cat / etc / issue
    
    安装 curl
    apt install curl
    
    安装 docker 17.06.2-ce 或更高版本
    curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
    add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu
    $(lsb_release -cs) stable"
    apt update
    apt install docker-ce
    usermod -aG docker $(whoami)
    docker --version
    
    显示更多
    安装 docker-compose 1.14.0 或更高版本
    curl -L "https://github.com/docker/compose/releases/download/1.23.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
    chmod +x /usr/local/bin/docker-compose
    docker-compose --version
    
    显示更多
    安装 Go 语言 1.11.x 版本
    curl -O https://dl.google.com/go/go1.11.2.linux-amd64.tar.gz
    tar -C /usr/local -xzf go1.11.2.linux-amd64.tar.gz
    
    显示更多
    设置 Go 语言环境变量
    vi ~/.bashrc
    
    在.bashrc 文件中增加以下内容
    
    export PATH=$PATH:/usr/local/go/bin
    
    执行 .bashrc 文件，使之生效
    
    source ~/. bashrc
    
    安装 Node.js 8.9.x 或更高版本
    请注意 Fabric 目前不支持 Node.js 9.x 版本。
    
    curl -sL https://deb.nodesource.com/setup_8.x | sudo -E bash -
    
    apt install nodejs
    
    安装 Node.js 后，npm 应该被同时自动安装，执行以下命令确认。
    
    npm install npm -g
    
    安装 Python 2.7
    apt install python
    
    下载 fabric 可执行文件、示例与 docker 镜像
    
    cd ~
    
    mkdir fabric
    
    cd fabric
    
    curl -sSL http://bit.ly/2ysbOFE | bash -s 1.3.0
    
    如果提示错误，请尝试使用 https：
    
    curl -sSL https://bit.ly/2ysbOFE | bash -s 1.3.0
    
    下载、安装成功后，当前目录下会增加一个 fabric-samples 目录。 并在 docker repository 中会增加一些 docker 镜像。可以通过 docker images 命令查看。
    
    docker images
    
    应该显示类似如下内容。
    
    表 1. docker images 命令查看显示
    REPOSITORY	TAG	IMAGE ID	CREATED	SIZE
    hyperledger/fabric-javaenv	1.3.0	2476cefaf833	5 weeks ago	1.7GB
    hyperledger/fabric-javaenv	latest	2476cefaf833	5 weeks ago	1.7GB
    hyperledger/fabric-ca	1.3.0	5c6b20ba944f	5 weeks ago	244MB
    hyperledger/fabric-ca	latest	5c6b20ba944f	5 weeks ago	244MB
    hyperledger/fabric-tools	1.3.0	c056cd9890e7	5 weeks ago	1.5GB
    hyperledger/fabric-tools	latest	c056cd9890e7	5 weeks ago	1.5GB
    hyperledger/fabric-ccenv	1.3.0	953124d80237	5 weeks ago	1.38GB
    hyperledger/fabric-ccenv	latest	953124d80237	5 weeks ago	1.38GB
    hyperledger/fabric-orderer	1.3.0	f430f581b46b	5 weeks ago	145MB
    hyperledger/fabric-orderer	latest	f430f581b46b	5 weeks ago	145MB
    hyperledger/fabric-peer	1.3.0	f3ea63abddaa	5 weeks ago	151MB
    hyperledger/fabric-peer	latest	f3ea63abddaa	5 weeks ago	151MB
    hyperledger/fabric-zookeeper	0.4.13	e62e0af39193	5 weeks ago	1.39GB
    hyperledger/fabric-zookeeper	latest	e62e0af39193	5 weeks ago	1.39GB
    hyperledger/fabric-kafka	0.4.13	4121ea662c47	5 weeks ago	1.4GB
    hyperledger/fabric-kafka	latest	4121ea662c47	5 weeks ago	1.4GB
    hyperledger/fabric-couchdb	0.4.13	1d3266e01e64	5 weeks ago	1.45GB
    hyperledger/fabric-couchdb	latest	1d3266e01e64	5 weeks ago	1.45GB
    hyperledger/fabric-baseos	amd64-0.4.13	f0fe49196c40	5 weeks ago	124MB
    将 Fabric 可执行文件目录加入系统路径
    vi ~/.bashrc
    
    在. bashrc 文件中增加以下内容：
    
    export PATH=$PATH:~/fabric/fabric-samples/bin
    
    执行. bashrc 文件，使之生效。
    
    source ~/.bashrc
    
    现在，Fabric 必需的系统环境与软件就全部准备好了，我们就要开始下载、部署第一个 Fabric 区块链网络了。
    
    区块链网络示例 byfn（Building Your First Network.）
    安装的 sample 中有一个示例区块链网络 first-network，位于目录 fabric/fabric-samples/first-network，它提供了 byfn.sh 脚本以启动示例网络，但本文会跳过这个过程，而按详细步骤分解执行这个示例网络启动过程，以讲解 Fabric 中的基础文件、运行过程。
    
    读者如果对 byfn.sh 有兴趣，可以前往 Fabric 官方文档 查看详细内容。
    
    byfn 启动过程详解
    下面，我们开始按步骤详细解释这个示例的初始化与启动过程。这些详细步骤正是以 byfn.sh 为基础的。
    
    准备
    为保证一个干净的运行环境，我们需要先清理之间测试遗留下来的 docker 环境。
    
    注意：本文假定当前系统完全为 Fabric 测试部署，没有其他 docker 容器、镜像存在或运行。如果系统中有其他容器、镜像，请不要执行以下命令，并选择执行适当的命令，以避免不当删除。
    
    进入 first-network
    cd fabric/fabric-samples/first-network
    
    清理临时文件、docker 容器、镜像及网络
    ./byfn.sh down
    
    设置环境变量
    清单 1. 环境变量
    export PATH=${PWD}/../bin:${PWD}:$PATH
    export FABRIC_CFG_PATH=${PWD}
    export CLI_TIMEOUT=10
    export CLI_DELAY=3
    export CHANNEL_NAME="mychannel"
    export COMPOSE_FILE=docker-compose-cli.yaml
    export COMPOSE_FILE_COUCH=docker-compose-couch.yaml
    export COMPOSE_FILE_ORG3=docker-compose-org3.yaml
    export LANGUAGE=golang
    export IMAGETAG="latest"
    export VERBOSE=true
    
    显示更多
    CHANNEL_NAME 是将要建立的 Blockchain Channel 的名字，默认值是 “mychannel”，也可以设置为你所期望的其他值，我们在以后的步骤中，一般会直接引用 $CHANNEL_NAME。
    
    证书
    我们利用 cryptogen 命令，生成这个区块链网络所需要的一系列证书及相关文件。证书是基于 PKI 体系的 x509 格式证书，内容包括：自签名 CA 根证书、节点 (Orderer、Peer) 证书、管理员证书、证书对应的私钥、TLS 证书等。
    
    这个操作需要一个配置文件 crypto-config.yaml，示例中已经存在。crypto-config.yaml 中主要定义了：
    
    1 个 Orderer 节点：orderer.example.com，
    4 个 Peer 节点：peer0.org1.example.com， peer1.org1.example.com， peer0.org2.example.com， peer1.org2.example.com。
    在此请注意 2 点：
    
    执行前请先确认当前目录下没有 crypto-config 目录，如果已经存在，请先删除。
    cryptogen 仅用作测试目的，可以方便快速的生成网络所需要的所有节点的证书。但一般情况下，cryptogen 不应被用于生产环境。（我们会在以后讲解如何添加节点，加入 Channel，并处理相关证书问题。）
    生成证书
    cryptogen generate --config=./crypto-config.yaml
    
    证书目录结构
    执行成功后，会在当前目录下增加一个新目录 crypto-config，包含有这个网络节点的证书、私钥等加密、签名相关元素。其基本结构如下：
    
    图 1. 证书目录结构
    证书目录结构
    
    在这个示例网络中，有一个 CA（Certificate Authority），即证书颁发机构，名字是 example.com。它给自己颁发了一个自签名根证书 ca.example.com-cert.pem，在生成的多个目录中都包含了这个 CA 根证书，而其他节点证书（除了 TLS 证书）都由此 CA 颁发。
    
    我们查看其中的一个目录 crypto-config/ordererOrganizations/example.com/ca，有两个文件：
    
    图 2. CA 自签名根证书与私钥
    CA 自签名根证书与私钥
    
    其中，ca.example.com-cert.pem 是 CA 自签名根证书。4a7d8de29b3597d425494254605833721a6f121d4941b1ca7611c1364c1436ff_sk 是根证书对应的私钥。
    
    证书中的私钥文件名是随机产生，每次执行 cryptogen 都会产生不一样的文件名，在后续引用中请注意将之改成实际测试中产生的文件名
    
    CA 根证书
    显示证书内容
    
    openssl x509 -in ca.example.com-cert.pem -text -noout
    
    显示证书内容如下：
    
    清单 2. CA 根证书内容
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                81:0a:27:99:0a:db:06:c0:34:0f:d1:c3:9a:d5:9f:ed
        Signature Algorithm: ecdsa-with-SHA256
            Issuer: C=US, ST=California, L=San Francisco, O=example.com, CN=ca.example.com
            Validity
                Not Before: Oct  7 13:15:00 2018 GMT
                Not After : Oct  4 13:15:00 2028 GMT
            Subject: C=US, ST=California, L=San Francisco, O=example.com, CN=ca.example.com
            Subject Public Key Info:
                Public Key Algorithm: id-ecPublicKey
                    Public-Key: (256 bit)
                    pub:
                        04:49:52:eb:47:10:b5:ce:cb:8a:9e:d1:96:6e:92:
                        77:6d:f5:1f:53:a6:66:a0:98:be:a9:18:f5:53:e8:
                        fc:dd:1d:fc:58:88:0c:84:2d:40:2f:b6:93:94:54:
                        62:8b:26:df:d6:0f:ac:17:58:70:47:66:5a:14:de:
                        8d:f0:85:c2:11
                    ASN1 OID: prime256v1
                    NIST CURVE: P-256
            X509v3 extensions:
                X509v3 Key Usage: critical
                    Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
                X509v3 Extended Key Usage:
                    Any Extended Key Usage
                X509v3 Basic Constraints: critical
                    CA:TRUE
                X509v3 Subject Key Identifier:
                    4A:7D:8D:E2:9B:35:97:D4:25:49:42:54:60:58:33:72:1A:6F:12:1D:49:41:B1:CA:76:11:C1:36:4C:14:36:FF
        Signature Algorithm: ecdsa-with-SHA256
             30:44:02:20:08:e5:a2:bb:54:bf:37:01:b4:60:c8:38:1f:4f:
             7c:0e:1a:21:45:31:a2:45:1f:35:03:3e:70:c4:6a:75:a0:2e:
             02:20:14:5a:e3:36:33:82:20:88:33:d0:e7:b3:33:e3:8e:07:
             a3:b7:eb:55:83:7c:ce:22:73:5c:c8:84:4b:94:7c:bd
    
    显示较少
    其中第六行：Signature Algorithm: ecdsa-with-SHA256。ECDSA 的全名是 Elliptic Curve DSA，即椭圆曲线 DSA。它是 Digital Signature Algorithm (DSA) 应用了椭圆曲线加密算法的变种。ecdsa-with-SHA256 使用 SHA256 算法对内容先计算摘要，再应用签名算法对摘要进行签名。
    
    查看 Issuer 与 Subject，可以看到这是一个自签名证书。
    
    PKI 相关内容是区块链技术中的一个重要环节，建议读者对 PKI 并结合 openssl 进行更详细的学习。这里顺便列举一些常用的 openssl 操作，以进一步理解证书体系。
    
    从证书中提取公钥：
    
    openssl x509 -pubkey -in ca.example.com-cert.pem -noout > pubkey.pem cat pubkey.pem
    
    输出内容如下：
    
    —– BEGIN PUBLIC KEY-----
    
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAESVLrRxC1zsuKntGWbpJ3bfUfU6Zm
    
    oJi+qRj1U+j83R38WIgMhC1AL7aTlFRiiybf1g+sF1hwR2ZaFN6N8IXCEQ==
    
    —– END PUBLIC KEY—–
    
    为方便使用，将私钥文件复制一个文件名比较短的：
    
    cp 4a7d8de29b3597d425494254605833721a6f121d4941b1ca7611c1364c1436ff_sk key.pem
    
    从私钥中输出公钥部分：
    
    openssl ec -in key.pem -pubout
    
    输出内容如下：
    
    read EC key
    
    writing EC key
    
    -----BEGIN PUBLIC KEY-----
    
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAESVLrRxC1zsuKntGWbpJ3bfUfU6Zm
    
    oJi+qRj1U+j83R38WIgMhC1AL7aTlFRiiybf1g+sF1hwR2ZaFN6N8IXCEQ==
    
    -----END PUBLIC KEY-----
    
    可以看到，这里的内容与之前从证书中提取的公钥内容相同。
    
    使用私钥对测试文件 origcont 进行签名 ：
    
    echo TheContent > origcont
    
    openssl dgst -sha256 -hex -c -sign key.pem origcont
    
    输出内容如下：
    
    EC-SHA256(origcont)= 30:44:02:20:15:71:15:71:63:d2:0f:15:83:09:86:67:bb:5d:b6:a9:14:8c:ef:02:c1:6e:52:0e:29:ea:f6:5f:d8:66:4f:62:02:20:17:31:ce:d7:ea:c3:f5:d6:11:37:eb:ed:cd:1d:64:4d:34:ed:da:7c:91:0a:bb:a0:89:da:f1:50:3c:8c:1f:d2
    
    因为有随机数影响，当重复执行命令时，我们可以看到每次输出结果都是不同的。
    
    使用私钥对文件 origcont 进行签名：
    
    openssl pkeyutl -sign -in origcont -inkey key.pem -out origcont.sig
    
    使用公钥验证签名：
    
    openssl pkeyutl -verify -in origcont -sigfile origcont.sig -inkey pubkey.pem -pubin
    
    Orderer 节点管理员证书位于 crypto-config/ordererOrganizations/example.com/msp/admincerts。由 CA 颁发给 Admin@example.com。
    
    查看 Admin@example.com 证书：
    
    openssl x509 -in Admin@example.com-cert.pem -text -noout
    
    显示证书内容如下：
    
    清单 3. 管理员证书内容
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                5e:ca:17:c3:99:28:45:2a:65:eb:07:1e:f7:e7:ea:d7
        Signature Algorithm: ecdsa-with-SHA256
            Issuer: C=US, ST=California, L=San Francisco, O=example.com, CN=ca.example.com
            Validity
                Not Before: Oct  7 13:15:00 2018 GMT
                Not After : Oct  4 13:15:00 2028 GMT
            Subject: C=US, ST=California, L=San Francisco, CN=Admin@example.com
            Subject Public Key Info:
                Public Key Algorithm: id-ecPublicKey
                    Public-Key: (256 bit)
                    pub:
                        04:0a:60:ba:17:9b:54:de:42:7b:82:7e:d5:0b:66:
                        6f:61:8e:de:8d:ab:d2:bc:3c:3f:2c:bb:49:f4:7a:
                        ef:4b:59:e4:74:15:c3:4a:39:db:6c:04:f8:98:64:
                        ef:dd:17:b7:68:9e:a1:f9:4d:a3:6b:66:5f:dc:44:
                        a7:18:db:34:e9
                    ASN1 OID: prime256v1
                    NIST CURVE: P-256
            X509v3 extensions:
                X509v3 Key Usage: critical
                    Digital Signature
                X509v3 Basic Constraints: critical
                    CA:FALSE
                X509v3 Authority Key Identifier:
                    keyid:4A:7D:8D:E2:9B:35:97:D4:25:49:42:54:60:58:33:72:1A:6F:12:1D:49:41:B1:CA:76:11:C1:36:4C:14:36:FF
        Signature Algorithm: ecdsa-with-SHA256
             30:45:02:21:00:d6:de:4b:37:30:e6:be:b1:3f:b1:4b:11:0d:
             50:21:dd:d8:b4:59:4c:e8:09:a7:65:f4:eb:1c:e6:66:d8:5f:
             d9:02:20:42:1e:18:f0:cf:b6:79:9b:07:9a:3c:77:55:84:8f:
             b2:c4:2e:8a:dd:c9:7e:e2:2d:0d:ea:89:71:eb:b4:81:3f
    
    显示较少
    用根证书验证 A dmin@example.com 证书：
    
    openssl verify -CAfile ../../ca/ca.example.com-cert.pem Admin@example.com-cert.pem
    
    TLS 证书
    TLS 证书是自签名证书，与之前的 CA 证书没有关系。位于 crypto-config/ordererOrganizations/example.com/msp/tlscacerts。 查看 TLS 证书：
    
    openssl x509 -in tlsca.example.com-cert.pem -text
    
    清单 4. TLS 证书内容
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                26:46:ff:f7:80:6a:97:8c:77:b4:0d:e3:8e:b7:de:8f
        Signature Algorithm: ecdsa-with-SHA256
            Issuer: C=US, ST=California, L=San Francisco, O=example.com, CN=tlsca.example.com
            Validity
                Not Before: Oct  7 13:15:00 2018 GMT
                Not After : Oct  4 13:15:00 2028 GMT
            Subject: C=US, ST=California, L=San Francisco, O=example.com, CN=tlsca.example.com
    
    显示更多
    TLS 客户端证书
    TLS 客户端证书是由 TLS CA 颁发给 Admin@example.com 的用于 TLS 连接的证书。位于 crypto-config/ordererOrganizations/example.com/users/Admin@example.com/tls。 查看 TLS 客户端证书：
    
    openssl x509 -in client.crt -text -noout
    
    显示内容如下（部分内容略）：
    
    清单 5. TLS 客户端证书内容
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                91:e8:d1:66:9e:1a:73:d8:32:0e:b4:84:3c:1f:eb:7a
        Signature Algorithm: ecdsa-with-SHA256
            Issuer: C=US, ST=California, L=San Francisco, O=example.com, CN=tlsca.example.com
            Validity
                Not Before: Oct  7 13:15:00 2018 GMT
                Not After : Oct  4 13:15:00 2028 GMT
            Subject: C=US, ST=California, L=San Francisco, CN=Admin@example.com
    
    显示更多
    证书间的关系
    如前文所述，cryptogen 命令一般情况下仅用作测试用途，在生产环境中应通过正式合法 CA 颁发证书。但 cryptogen 命令产生的示例证书及其间的关系仍然值得学习与研究。
    
    下面试着通过图表的方式将 ordererOrganizations 目录下的证书及其部分关系展示出来。
    
    颜色相同的线条表示文件内容相同。
    红色箭头表示 CA 颁发证书给某个组织或个人。
    图 3. 证书间关系
    证书间关系
    
    对于 peerOrganizations 目录下证书间的关系这里不再详述，读者可以自行按类似方法进行分析与理解。
    
    Channel 文件
    配置文件
    以下操作将使用配置文件 configtx.yaml，其中定义了 TwoOrgsOrdererGenesis profile 与 TwoOrgsChannel profile。读者可以先行查看此文件内容，也可以留待生成 channel 文件后再对比分析。其中部分内容如下：
    
    清单 6. configtx.yaml
    Profiles:
        TwoOrgsOrdererGenesis:
            <<: *ChannelDefaults
            Orderer:
                <<: *OrdererDefaults
                Organizations:
                    - *OrdererOrg
                Capabilities:
                    <<: *OrdererCapabilities
            Consortiums:
                SampleConsortium:
                    Organizations:
                        - *Org1
                        - *Org2
        TwoOrgsChannel:
            Consortium: SampleConsortium
            Application:
                <<: *ApplicationDefaults
                Organizations:
                    - *Org1
                    - *Org2
                Capabilities:
                    <<: *ApplicationCapabilities
    
    显示较少
    生成创世区块 Genesis Block
    configtxgen -profile TwoOrgsOrdererGenesis -outputBlock ./channel-artifacts/genesis.block
    
    显示更多
    生成的文件位于目录 channel-artifacts 下，可以通过以下命令将 Block 详细内容导入到 json 文件方便查看：
    
    configtxgen -inspectBlock channel-artifacts/genesis.block > genesis.block.json
    
    其结构大概如下：
    
    图 4. genesis.block.json
    genesis.block.json
    
    在 genesis.block 中也包含了相关的证书内容，如下面这段内容：
    
    "values":
           { "MSP": {
                     "mod_policy": "Admins",
                     "value": {
                             "config": {
                                      "admins": [
                                                 "LS0tLS1CRUdJTi<此处省略>RJRklDQVRFLS0tLS0K"
                                               ],
    
    显示较少
    “admins” 对应的字符串即为经过 base64 编码的 Admin@org1.example.com 证书。我们可以通过以下命令查看它：
    
    echo LS0tLS1CRUdJTi<此处省略>RJRklDQVRFLS0tLS0K| base64 -d > test.pem
    openssl x509 -in test.pem -text -noout
    
    显示更多
    生成其他 Channel 文件
    生成 Channel 配置 Transaction：
    
    configtxgen -profile TwoOrgsChannel -outputCreateChannelTx ./channel-artifacts/channel.tx -channelID $CHANNEL_NAME
    
    生成锚节点配置 Transaction for Org1：
    
    configtxgen -profile TwoOrgsChannel -outputAnchorPeersUpdate ./channel-artifacts/Org1MSPanchors.tx -channelID $CHANNEL_NAME -asOrg Org1MSP
    
    生成锚节点配置 Transaction for Org2：
    
    configtxgen -profile TwoOrgsChannel -outputAnchorPeersUpdate ./channel-artifacts/Org2MSPanchors.tx -channelID $CHANNEL_NAME -asOrg Org2MSP
    
    可以通过以下命令将 transaction 导出到 JSON 文件进行查看：
    
    configtxgen -inspectChannelCreateTx channel.tx > channel.tx.json
    configtxgen -inspectChannelCreateTx Org1MSPanchors.tx > Org1MSPanchors.tx.json
    configtxgen -inspectChannelCreateTx Org2MSPanchors.tx > Org2MSPanchors.tx.json
    
    显示较少
    这三个文件的结构类似，但与 genesis.block 的结构很大不同。前者是交易，而后者是 block。
    
    部署示例区块链网络
    启动网络将使用三个配置文件，且它们有继承、扩展关系如下：
    
    COMPOSE_FILE = docker-compose-cli.yaml
                   base/docker-compose-base.yaml
                   base/peer-base.yaml
    
    显示较少
    peer-base.yaml
    
    这个配置文件中定义了将要启动的 container 所使用的镜像 image，并且定义了 container 启动后自动执行的命令。
    
    docker-compose-base.yaml
    
    这个配置文件里定义了 5 个 container：orderer.example.com，peer0.org1.example.com，peer1.org1.example.com，peer0.org2.example.com，peer1.org2.example.com。其中，4 个 peer node 的配置继承自 peer-base.yaml， 如：
    
    peer0.org1.example.com:
                container_name: peer0.org1.example.com
                extends:
                  file: peer-base.yaml
                  service: peer-base
    
    显示较少
    而 orderer.example.com 则是单独的定义，并会执行不同的命令 command: orderer。
    
    docker-compose-cli
    
    这个配置文件扩展了 docker-compose-base.yaml 中的内容，并指定了 docker container 所加入的网络 networks: – byfn。而且又启动了一个 container cli, 这是一个 fabric 工具集 docker container。后续中，我们会经常登录这个 container 以与 fabric 进行交互、操作。
    
    启动区块链网络
    docker-compose -f $COMPOSE_FILE up -d 2>&1
    
    启动后，执行 docker ps 可以看到 6 个 docker container。
    
    docker ps --format "{
       {.ID}}\t{
       {.Command}}\t {
       {.Image}}\t{
       {.Names}}"
    
    显示结果类似：
    
    109b538211e2 "/bin/bash"       hyperledger/fabric-tools:latest   cli
    d6ca0ef10248 "peer node start" hyperledger/fabric-peer:latest    peer0.org2.example.com
    b5143e44f87d "orderer"         hyperledger/fabric-orderer:latest orderer.example.com
    4618ecb778cf "peer node start" hyperledger/fabric-peer:latest    peer1.org1.example.com
    563244de0109 "peer node start" hyperledger/fabric-peer:latest    peer0.org1.example.com
    23dc569f214e "peer node start" hyperledger/fabric-peer:latest    peer1.org2.example.com
    
    显示更多
    登录 cli Container
    docker exec -it cli bash
    
    登录成功后进入 cli container, 请注意之后的操作如无特别说明， 均 为于 container 内执行命令。
    
    如果退出 container， 再 次登入时，下面的”准备环境变量 ” 操作必须再执行一次。
    
    清单 7. 准备环境变量
    export CHANNEL_NAME="mychannel"
    export LANGUAGE=golang
    
    export ORDERER_CA=/opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem
    
    export PEER0_ORG1_CA=/opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/tls/ca.crt
    export PEER0_ORG2_CA=/opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org2.example.com/peers/peer0.org2.example.com/tls/ca.crt
    export ORG1_MSP=/opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org1.example.com/users/Admin@org1.example.com/msp
    export ORG2_MSP=/opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org2.example.com/users/Admin@org2.example.com/msp
    
    export CC_SRC_PATH="github.com/chaincode/chaincode_example02/go/"
    
    export CORE_PEER_LOCALMSPID="Org1MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG1_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG1_MSP
    export CORE_PEER_ADDRESS=peer0.org1.example.com:7051
    
    显示较少
    这些环境变量将在执行 peer 命令时被使用，这些值也可以以参数的形式直接传递给 peer command。具体请查看 Fabric Commands 文档。
    
    创建 Channel
    peer channel create -o orderer.example.com:7050 -c $CHANNEL_NAME -f
    ./channel-artifacts/channel.tx --tls $CORE_PEER_TLS_ENABLED --cafile $ORDERER_CA
    
    显示较少
    执行成功后后，会在当前目录增加文件 mychannel.block，即<$CHANNEL_NAME>.block，可以通过以下命令查看 block 文件内容：
    
    configtxgen -inspectBlock mychannel.block
    
    加入 Channel
    将之前在配置文件中定义的 4 个节点加入 channel。
    
    清单 8. 将节点加入 channel
    # joinChannelWithRetry 0 1
    export CORE_PEER_LOCALMSPID="Org1MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG1_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG1_MSP
    export CORE_PEER_ADDRESS=peer0.org1.example.com:7051
    peer channel join -b $CHANNEL_NAME.block
    
    # joinChannelWithRetry 1 1
    export CORE_PEER_LOCALMSPID="Org1MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG1_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG1_MSP
    export CORE_PEER_ADDRESS=peer1.org1.example.com:7051
    peer channel join -b $CHANNEL_NAME.block
    
    # joinChannelWithRetry 0 2
    export CORE_PEER_LOCALMSPID="Org2MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG2_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG2_MSP
    export CORE_PEER_ADDRESS=peer0.org2.example.com:7051
    peer channel join -b $CHANNEL_NAME.block
    
    # joinChannelWithRetry 1 2
    export CORE_PEER_LOCALMSPID="Org2MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG2_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG2_MSP
    export CORE_PEER_ADDRESS=peer1.org2.example.com:7051
    peer channel join -b $CHANNEL_NAME.block
    
    显示较少
    更新 Anchor Peer
    清单 9. 更新 Anchor Peer
    # updateAnchorPeers 0 1
    export CORE_PEER_LOCALMSPID="Org1MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG1_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG1_MSP
    export CORE_PEER_ADDRESS=peer0.org1.example.com:7051
    peer channel update -o orderer.example.com:7050 -c $CHANNEL_NAME -f ./channel-artifacts/${CORE_PEER_LOCALMSPID}anchors.tx --tls $CORE_PEER_TLS_ENABLED --cafile $ORDERER_CA
    
    # updateAnchorPeers 0 2
    export CORE_PEER_LOCALMSPID="Org2MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG2_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG2_MSP
    export CORE_PEER_ADDRESS=peer0.org2.example.com:7051
    peer channel update -o orderer.example.com:7050 -c $CHANNEL_NAME -f ./channel-artifacts/${CORE_PEER_LOCALMSPID}anchors.tx --tls $CORE_PEER_TLS_ENABLED --cafile $ORDERER_CA
    
    显示较少
    安装 Chaincode
    如果要通过某个 peer node 访问 chaincode，那么，这个节点必须事先安装这个 chaincode。
    
    我们将要安装的 chaincode 位于 container 中的目录 /opt/gopath/src/github.com/chaincode/chaincode_example02/go （环境变量${CC_SRC_PATH}）。 在主机中的位置是 fabric/fabric-samples/chaincode/chaincode_example02/go。我们可以打开文件 chaincode_example02.go 查看代码。
    
    它主要实现了 Init 与 Invoke 接口，并通过 Invoke 接口实现了三种操作：invode, delete, query：
    
    清单 10. chaincode_example02.go
    func (t *SimpleChaincode) Init(stub shim.ChaincodeStubInterface) pb.Response {
        ...
    }
    func (t *SimpleChaincode) Invoke(stub shim.ChaincodeStubInterface) pb.Response {
        ...
    }
    // Transaction makes payment of X units from A to B
    func (t *SimpleChaincode) invoke(stub shim.ChaincodeStubInterface, args []string) pb.Response {
        ...
    }
    // Deletes an entity from state
    func (t *SimpleChaincode) delete(stub shim.ChaincodeStubInterface, args []string) pb.Response {
        ...
    }
    // query callback representing the query of a chaincode
    func (t *SimpleChaincode) query(stub shim.ChaincodeStubInterface, args []string) pb.Response {
        ...
    }
    
    显示更多
    在 cli container 中安装 chaincode：
    
    清单 11. 在 cli container 中安装 chaincode
    # installChaincode in peer 0 1
    export CORE_PEER_LOCALMSPID="Org1MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG1_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG1_MSP
    export CORE_PEER_ADDRESS=peer0.org1.example.com:7051
    export VERSION="1.0"
    peer chaincode install -n mycc -v ${VERSION} -l ${LANGUAGE} -p ${CC_SRC_PATH}
    
    # installChaincode in peer 0 2
    export CORE_PEER_LOCALMSPID="Org2MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG2_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG2_MSP
    export CORE_PEER_ADDRESS=peer0.org2.example.com:7051
    export VERSION="1.0"
    peer chaincode install -n mycc -v ${VERSION} -l ${LANGUAGE} -p ${CC_SRC_PATH}
    
    显示较少
    实例化 Chaincode
    Chaincode 安装后需要实例化才能使用，在 channel 中，一个 chaincode 只需要进行一次 instantiate 操作即可。这个步骤需要比较长的时间（在当前测试环境里需要 10 秒左右）。
    
    export CORE_PEER_LOCALMSPID="Org2MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG2_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG2_MSP
    export CORE_PEER_ADDRESS=peer0.org2.example.com:7051
    export VERSION="1.0"
    peer chaincode instantiate -o orderer.example.com:7050 --tls $CORE_PEER_TLS_ENABLED
    --cafile $ORDERER_CA -C $CHANNEL_NAME -n mycc -l ${LANGUAGE} -v ${VERSION} -c
    '{"Args":["init","a","100","b","200"]}' -P "AND ('Org1MSP.peer','Org2MSP.peer')"
    
    显示更多
    Chaincode –Query
    peer chaincode query -C $CHANNEL_NAME -n mycc -c '{"Args":["query","a"]}'
    
    得到结果为 100，即为这个 channel ledger 中 “a” 所对应的初始的值。
    
    peer chaincode query 命令会获得经背书的 chaincode 执行结果。但它不会产生 transaction。
    
    Chaincode –Invoke
    export PEER_CONN_PARMS="--peerAddresses peer0.org1.example.com:7051 --tlsRootCertFiles
    /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/tls/ca.crt --peerAddresses peer0.org2.example.com:7051 --tlsRootCertFiles
    /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org2.example.com/peers/peer0.org2.example.com/tls/ca.crt"
    peer chaincode invoke -o orderer.example.com:7050 --tls
    $CORE_PEER_TLS_ENABLED --cafile $ORDERER_CA -C $CHANNEL_NAME -n mycc
    $PEER_CONN_PARMS -c '{"Args":["invoke","a","b","10"]}'
    
    显示较少
    通过这个命令会产生一个 transaction，将 a 对应的值减 10，同时将 b 的值加 10。
    
    再次查询：
    
    peer chaincode query -C $CHANNEL_NAME -n mycc -c '{"Args":["query","a"]}'
    
    返回结果为 90。
    
    Chaincode – Query（2）
    尝试连接 peer1.org1.example.com 进行查询：
    
    export CORE_PEER_LOCALMSPID="Org1MSP"
    export CORE_PEER_TLS_ROOTCERT_FILE=$PEER0_ORG1_CA
    export CORE_PEER_MSPCONFIGPATH=$ORG1_MSP
    export CORE_PEER_ADDRESS=peer1.org1.example.com:7051
    export VERSION="1.0"
    peer chaincode query -C $CHANNEL_NAME -n mycc -c '{"Args":["query","a"]}'
    
    显示较少
    返回错误结果如下：
    
    Error: endorsement failure during query. response: status:500 message:"cannot retrieve package for chaincode mycc/1.0, error open /var/hyperledger/production/chaincodes/mycc.1.0: no such file or directory"
    
    因为我们之前并没有在 peer1.org1.example.com 节点上安装 chaincode。我们尝试安装：
    
    peer chaincode install -n mycc -v ${VERSION} -l ${LANGUAGE} -p ${CC_SRC_PATH}
    
    再次进行查询：
    
    peer chaincode query -C $CHANNEL_NAME -n mycc -c '{"Args":["query","a"]}'
    
    Chaincode Container
    在节点的 Chaincode 第一次被实例化或使用激活时，会启动一个 container 以运行 chaincode。再次执行 docker ps 可以看到增加了 3 个 container：
    
    d1a150be4270 dev-peer1.org1.example.com-mycc-1.0-cd123150154e6bf2df7ce682e0b1bcbea...
    9506d7970113 dev-peer0.org1.example.com-mycc-1.0-384f11f484b9302df90b453200cfb2517...
    3d710c8dc821 dev-peer0.org2.example.com-mycc-1.0-15b571b3ce849066b7ec74497da3b27e5...
    
    显示较少
    其他 Channel、Chaincode 操作
    仍然在 cli Container 中执行以下操作。
    
    列出当前节点所有加入 的 C hannel：
    
    peer channel list
    
    列出当前节点所 有已经安装的 Chaincode ：
    
    peer chaincode list --installed
    
    获取特 定 C hanne l 的 区块链信息：
    
    peer channel getinfo -c $CHANNEL_NAME
    
    可得到返回结果类似如下：
    
    Blockchain info: {"height":7,"currentBlockHash":"OV8dnCVwKhfJlLUsIg+orqpdMnn6cEjWDxq+1njNBZM=","previousBlockHash":"6VjT1rtVhY6jSCz+e5pWQzw7eMOkOewcfT7JkRXkw0c="}
    
    其中，block height 的值是 7。
    
    我们可以进一步获取特定的 Block 的详细内容：
    
    peer channel fetch 6 mychannel_6.block -o orderer.example.com:7050 -c $CHANNEL_NAME --tls
    --cafile $ORDERER_CA
    configtxgen --inspectBlock mychannel_6.block > mychannel_6.json
    
    显示较少
    结束语
    我们准备了 Fabric 1.3 所需要的系统环境，下载了 Fabric 示例镜像、文件，部署了第一个 Fabric 区块链示例网络 first-network，并一步一步地分解执行了 byfn.sh 中的内容。在此过程中，对每一步骤的作用进行了讲解，也分析了所用的资源文件，与产生的结果。
    
    希望通过这个初始的比较简单的示例，我们可以对 Fabric 建立起直观印象，了解到它的一些概念、结构与运行方式。
    
    为方便读者，本文中”byfn 启动过程详解”中用到的命令被集中于文件 stepbystep.txt 中，可以下载并分步执行。
    
    在本系列的下一篇文章中，我们将一起学习开发、部署 Chaincode，并学习如何与数据库结合，使用 Private data 等 Fabric 特性，并探讨如何将一个新的节点加入区块链。
    
    参考资源
    参考 IBM Blockchain Dev Center ，查看 IBM 在区块链领域的最新信息。
    参考 Hyperledger Projects ，了解开源项目 Hyperledger 的主要内容。
    参考 Hyperledger Fabric Documentation ，了解开源项目 Fabric 的主要内容。
    参考 PKI ，了解 PKI 相关内容。
    参考 openssl ，了解证书上、签名、加密的相关操作。