Fabric2.0的重大变化之一就是支持外部构建智能合约，在1.x版本的Fabric中，合约是由Peer以容器的方式进行启动和维护，依赖于Docker。这在一定程度上违反了安全准则，并且在管理运维中带来了麻烦。Fabric 2.0支持用户自行启动合约容器。

1.修改Peer节点配置

(1)准备构建器与启动器脚本

外部构建器(externalBuilder)和启动器由四个程序或脚本组成：

• bin/detect：确定是否应使用此buildpack来构建chaincode程序包并启动它。
  • 它用于检测当前install的合约是否适用外部构建器构建，假如exit 0就会继续执行构建发布外部合约的操作，exit 1就会按照原本适用节点安装部署合约的方式。
• bin/build：将chaincode包转换为可执行的chaincode。
  • 将我们提交的合约配置文件按照构建规则放到它指定的目录
• bin/release （可选）：向peer提供有关链码的元数据。
  • 在完成合约基础构建之后，剩下只需要发布
• bin/run （可选）：运行链码。

(2)准备core.yaml

 externalBuilders:# 填写节点容器内存放 externalBuilder 脚本的目录- path: /opt/gopath/src/github.com/hyperledger/fabric/peer/externalBuildername: builder			# 外部构建器名称#   environmentWhitelist:	#环境变量白名单#      - ENVVAR_NAME_TO_PROPAGATE_FROM_PEER#      - GOPROXY

(3)增加 dockerfile / docker-compose 的挂载参数

之后把externalBuilder目录映射到externalBuilders.path 以及 将core.yaml挂载到容器的/etc/hyperledger/fabric目录

volumes:# 挂载目录- ./external:/opt/gopath/src/github.com/hyperledger/fabric/peer/externalBuilder- ./core.yaml:/etc/hyperledger/fabric/core.yaml

2.部署合约到网络

(1)准备json文件

要实现外部部署合约，对于要install到fabric的合约包跟之前的包是不一样的，这个包里面不需要合约的源代码。

按照定义来说，这个合约包含有：

• metadata.json ： 合约的属性，与原本的合约属性不一致的是他的path可以为空，他的type可以自定义。

  {"path":"","type":"external","label":"mycc_1"}
  

• connection.json :这个文件是用于节点去连接合约的相关配置信息，双方交互基于grpc服务。

  {"address": "192.168.2.103:7052","dial_timeout": "10s","tls_required": false,"client_auth_required": false,"client_key": "-----BEGIN EC PRIVATE KEY----- ... -----END EC PRIVATE KEY-----","client_cert": "-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----","root_cert": "-----BEGIN CERTIFICATE---- ... -----END CERTIFICATE-----"
  }
  

• metadata文件夹：应该是跟couchdb存放私有数据相关的，本实践不做详细说明。

以下通过cli容器操作

(2)打包合约

tar cfz code.tar.gz connection.json  
tar cfz mycc2.tgz metadata.json code.tar.gz

(3)安装部署合约

# 每个背书节点都要install
peer lifecycle chaincode install mycc2.tgz# 批准合约定义，必须符合lifecycle策略
peer lifecycle chaincode approveformyorg --tls true --cafile /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem --channelID mychannel --name mycc2 --version 1 --init-required --package-id mycc_1:84b3aaf583a6632e806a0ff46ad804539797d84ff7826c88a6d6009a9930cfee --sequence 1 --waitForEvent# 提交合约定义到网络peer lifecycle chaincode commit -o orderer.example.com:7050 --tls true --cafile /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem --channelID mychannel --name mycc --peerAddresses peer0.org1.example.com:7051 --tlsRootCertFiles /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/tls/ca.crt --peerAddresses peer0.org2.example.com:9051 --tlsRootCertFiles /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org2.example.com/peers/peer0.org2.example.com/tls/ca.crt --version 1 --sequence 1  --init-required

(4)构建发布成功

完全部署成功之后，我们可以看到跟往常部署不一样的是，合约容器并没有启动，在节点容器 /var/hyperledger/production/externalbuilder/builds/出现构建发布后的合约文件目录:

$ ls /var/hyperledger/production/externalbuilder/builds/
mycc_1-1334f6ae3dc48da53113bd1d3f430976757181ccd2b6162dab1efc72295e1e4f

3.启动合约

在宿主机操作

编写合约main函数

func main() {server := &shim.ChaincodeServer{CCID:    os.Getenv("CHAINCODE_CCID"),    //读取环境变量Address: os.Getenv("CHAINCODE_SERVER_ADDRESS"),CC:      new(ABstore),TLSProps: shim.TLSProperties{Disabled: true,},}// Start the chaincode external servererr := server.Start()if err != nil {fmt.Printf("Error starting Marbles02 chaincode: %s", err)}
}

(1)二进制启动

配置环境变量文件 chaincode.env

# CHAINCODE_SERVER_ADDRESS must be set to the host and port where the peer can
# connect to the chaincode server
# grpc服务IP端口
CHAINCODE_SERVER_ADDRESS=0.0.0.0:9999#mycc.org1.example.com:9999# CHAINCODE_CCID must be set to the Package ID that is assigned to the chaincode
# on install. The `peer lifecycle chaincode queryinstalled` command can be
# used to get the ID after install if required
# 部署完成后生产的合约ID
CHAINCODE_CCID=mycc_1:1334f6ae3dc48da53113bd1d3f430976757181ccd2b6162dab1efc72295e1e4f

启动

cd到合约所在目录
go build
source chaincode.env; ./sacc_external  #光这样跑会报缺参数

(2) [推荐]docker启动

构建 docker image

编写Dockerfile

# Copyright IBM Corp. All Rights Reserved.
#
# SPDX-License-Identifier: Apache-2.0# ********************
# 构建合约可执行文件，启动容器运行合约可执行文件
# ********************#This image is a microservice in golang for the Degree chaincode
FROM golang:1.14.4-alpine3.12 AS buildCOPY ./ /go/src/github.com/sacc_external
WORKDIR /go/src/github.com/sacc_external# Build application
RUN GO111MODULE=on go build -o chaincode -v .
# RUN  GOPROXY="https://goproxy.cn" GO111MODULE=on   go build -mod vendor -o chaincode -v .# Production ready image
# Pass the binary to the prod image
FROM alpine:3.11 as prodCOPY --from=build /go/src/github.com/sacc_external/chaincode /app/chaincodeUSER 1000WORKDIR /app
CMD ./chaincode

构建image

#构建合约可执行文件的image
docker build -t chaincode/mycc2:1.0 .

注意 CHAINCODE_CCID一定要对应我们之前安装好的合约id

启动外部合约容器

配置 docker-compose-mycc.yaml

version: '2'networks:basic:services:#合约容器mycc2:#定义主机名container_name: mycc.org1.example.com#使用的镜像image: chaincode/mycc2:1.0#容器的映射端口ports:- 9999:9999#环境变量# privileged: trueenvironment:- CHAINCODE_CCID=mycc_1:594f63870f497feb7d3c8d28ceaa35aa1607aad39b28fc3296161f2389069e90- CHAINCODE_ADDRESS=0.0.0.0:9999networks:- basic

启动容器

#启动合约容器
docker-compose -f docker-compose-mycc.yaml up -d

4.合约初始化(如果需要)

peer chaincode invoke -n ${CHAINCODE_NAME} -C ${CHANNEL_NAME} -o orderer.example.com:7050 --tls --cafile $ORDERER_CA --isInit -c '{\"Args\":[\"a\",\"10\"]}'

5.共享外部的合约容器

(1)同组织内其它Peer

需要先安装链码包==(注意: 链码包不要重新打包,会导致package id不一致)==

#install
docker exec cli1.org1.example.com /bin/sh -c "cd ./script; ./cc_install_external.sh 1 mychannel mycc 1 1 true 1 ./chaincode/sacc_external mycc2"#query
docker exec cli1.org1.example.com peer chaincode query -n mycc -c '{"Args":["query","a"]}' -C mychannel

(2)不同组织间的Peer

1. 需要先安装链码包==(注意: 链码包不要重新打包,会导致package id不一致)==
2. 每个组织都还需要做 approve

总结

1）使用链码生命周期打包和部署链码（Peer节点无须再安装链码）。

2）运行可执行链码文件作为外部链码服务启动。

3）提交链码定义到通道。

4）Peer通过connection.json中指定信息连接到外部链码服务。

最后，用户可以调用链码，而无须关注该链码如何管理。

往期精彩回顾:

区块链知识系列

密码学系列

零知识证明系列

共识系列

公链调研系列

BTC系列

以太坊系列

EOS系列

Filecoin系列

联盟链系列

Fabric系列

智能合约系列

Token系列