使用 pnpm 实现高效的 Linux 软件包管理

介绍

在不断发展的 JavaScript 和 Node.js 项目包管理领域，PNPM（高效 NPM）已经成为传统工具（如 npm 和 Yarn）的有力替代品。对于 Linux 用户而言，PNPM 提供了一组特别引人注目的功能和优势，可以显著提升开发工作流程和项目管理。

PNPM 是一个包管理器，旨在快速、高效地使用磁盘空间并且可靠。它的创建是为了应对 npm 的一些局限性和低效之处，同时提供了其他替代方案（如 Yarn）无法比拟的独特优势。随着 Linux 在开发中的流行，特别是在服务器和云环境中，PNPM 在 Linux 用户中的采用率不断增加。

本指南将探讨为什么 PNPM 对于 Linux 用户有益：

1. 磁盘空间效率：PNPM 使用一种独特的存储包的方法，这在容器化应用程序或虚拟专用服务器等磁盘空间可能有限的 Linux 环境中尤为重要。
2. 性能：Linux 用户通常优先考虑性能，PNPM 通过更快的安装时间和减少的资源使用提供了出色的表现。
3. 单体仓库支持：对于使用单体仓库结构的复杂项目和组织，PNPM 内置的支持在基于 Linux 的开发和 CI/CD 管道中非常有用。
4. 兼容性：PNPM 与 Linux 系统无缝协作，能够很好地集成到各种常用的 Linux 开发工具和发行版中。
5. 安全性：PNPM 具有增强的安全功能，非常符合许多 Linux 用户和管理员注重安全的需求。

在本指南中，我们将深入探讨这些优势，介绍如何在 Linux 上安装和使用 PNPM，并提供将 PNPM 集成到基于 Linux 的开发工作流程中的最佳实践。无论你是经验丰富的 Linux 开发人员还是刚刚起步，本指南将帮助你充分利用 PNPM 在项目中的潜力。

什么是 PNPM？

PNPM，全称 "Performant NPM"，是一个快速、磁盘空间高效的 JavaScript 和 Node.js 项目包管理器。它作为 npm（Node 包管理器）和 Yarn 的替代品而创建，旨在解决这些传统包管理器存在的一些问题和低效之处。

定义和基本概念

在其核心功能上，PNPM 与其他包管理器类似：它允许开发人员安装、更新和管理项目的依赖项。然而，PNPM 在存储和链接包的方法上有所不同：

1. 内容寻址存储：PNPM 使用一种独特的内容寻址文件系统来存储所有包。这意味着每个包的版本在磁盘上只存储一次，无论有多少项目使用它。
2. 符号链接：PNPM 不将包复制到每个项目的 node_modules 目录，而是使用符号链接创建嵌套的目录结构。这种方法显著减少了磁盘空间的使用并加快了安装时间。
3. 严格模式：PNPM 强制使用更严格的依赖解析算法，这有助于防止 npm 平铺 node_modules 结构相关的问题，如幽灵依赖。

与 npm 和 Yarn 的比较

为了更好地理解 PNPM 在生态系统中的地位，我们来比较一下它与 npm 和 Yarn：

1. 磁盘空间使用：

   • PNPM：使用内容寻址存储，显著节省磁盘空间。
   • npm 和 Yarn：为每个项目创建包的单独副本。

2. 安装速度：

   • PNPM：通常更快，特别是对于有许多依赖项的项目。
   • npm：速度较慢，特别是对于大型项目。
   • Yarn：比 npm 快，但通常比 PNPM 慢。

3. 依赖解析：

   • PNPM：使用更严格、更可预测的算法。
   • npm 和 Yarn：使用平铺解析，可能导致“幽灵依赖”。

4. 单体仓库支持：

   • PNPM：内置高效支持单体仓库。
   • npm：原生支持有限。
   • Yarn：通过 Yarn 工作空间提供良好的支持。

5. 锁文件：

   • PNPM：使用 pnpm-lock.yaml
   • npm：使用 package-lock.json
   • Yarn：使用 yarn.lock

6. 市场份额和社区：

   • npm：使用最广泛，社区最大。
   • Yarn：成熟的替代品，拥有大量用户。
   • PNPM：增长迅速，但仍小于 npm 和 Yarn。

在 Linux 上安装 PNPM

在 Linux 上安装 PNPM 是一个简单的过程。有多种方法可供选择，具体取决于你的偏好和系统配置。本节将指导你完成系统要求和最常见的安装方法。

系统要求

在安装 PNPM 之前，确保你的 Linux 系统满足以下要求：

• Node.js（推荐版本 14 或更高）
• npm（通常随 Node.js 一起捆绑）

你可以通过在终端中运行以下命令来检查你的 Node.js 和 npm 版本：

node --version
npm --version

如果需要更新或安装 Node.js，可以通过你的发行版的包管理器或使用 nvm（Node 版本管理器）来实现。

安装方法

使用 curl（推荐）

在 Linux 上安装 PNPM 最简单和最推荐的方法是使用 curl：

curl -fsSL https://get.pnpm.io/install.sh | sh -

此命令下载并运行 PNPM 安装脚本。安装后，你可能需要重新启动终端或运行 source ~/.bashrc（或你使用的 shell 等效命令）以使用 PNPM。

使用 npm

如果你愿意，也可以使用 npm 全局安装 PNPM：

npm install -g pnpm

如果你已经安装了 npm，并且更喜欢通过 npm 管理 PNPM，此方法非常有用。

使用你的 Linux 发行版的包管理器

一些 Linux 发行版在其官方仓库中提供了 PNPM。例如，在 Arch Linux 及其衍生版本上，你可以使用以下命令安装 PNPM：

sudo pacman -S pnpm

检查你的发行版的包仓库，看看是否提供 PNPM。

验证安装

安装后，通过检查其版本来验证 PNPM 是否正确安装：

pnpm --version

这将显示安装的 PNPM 版本。

更新 PNPM

要更新 PNPM 到最新版本，你可以使用 PNPM 自身：

pnpm add -g pnpm

或者，如果你是通过 npm 安装的：

npm install -g pnpm@latest

故障排除

如果在安装过程中遇到任何问题：

1. 确保你有必要的权限来安装全局包。
2. 检查你的 PATH 是否包含 PNPM 安装目录。
3. 如果使用 curl 方法，确保你的系统已安装 curl。

Linux 用户的 PNPM 主要功能

PNPM 提供了几个对 Linux 用户特别有吸引力的功能。这些功能解决了包管理中的常见问题，并在效率、性能和项目组织方面提供了显著优势。

1. 磁盘空间效率

PNPM 最显著的功能之一是其极高的磁盘空间使用效率，这在 Linux 环境中尤为宝贵：

• 内容寻址存储：PNPM 将所有包存储在一个全局内容寻址存储中。这意味着每个版本的包在磁盘上只保存一次，无论有多少项目使用它。
• 硬链接：PNPM 使用硬链接来引用全局存储中的包，而不是复制包。这显著减少了磁盘使用量，特别适合磁盘空间有限的 Linux 服务器或容器。
• 节省计算：你可以使用 pnpm store status 命令查看相对于传统 node_modules 方法节省了多少磁盘空间。

2. 性能提升

PNPM 提供了显著的性能提升，尤其是在 Linux 系统上：

• 更快的安装：由于其独特的存储机制，PNPM 可以显著更快地安装和更新包，特别是在依赖项较多的项目中。
• 并行操作：PNPM 进行许多操作时是并行的，充分利用了 Linux 服务器常见的多核处理器。
• 高效更新：更新包时，PNPM 只需要更新链接，而不是复制整个包内容。

3. 单体仓库支持

PNPM 为单体仓库提供了出色的内置支持，这在基于 Linux 的大型开发环境中

越来越受欢迎：

• 工作区协议：PNPM 使用 workspace: 协议管理单体仓库中包之间的依赖关系，使处理本地包变得容易。
• 提升控制：与 npm 不同，PNPM 为提升提供了细粒度的控制，帮助防止复杂单体仓库设置中的依赖冲突。
• 过滤：PNPM 提供了强大的过滤功能，用于在单体仓库中对子包执行命令，这在 Linux 服务器上的 CI/CD 管道中特别有用。

4. 严格模式和更好的依赖解析

PNPM 的严格模式和依赖解析策略与 Linux 的显式性和安全性哲学非常契合：

• 防止幽灵依赖：PNPM 的严格模式确保你的项目只能访问 package.json 中列出的依赖，防止使用未声明的依赖。
• 可预测的依赖树：PNPM 创建了更确定性和可预测性的依赖树，这对于基于 Linux 的 CI/CD 环境中的可重复构建至关重要。

5. 内置安全功能

安全性是许多 Linux 用户的首要任务，PNPM 包含了几项增强安全性的功能：

• 减少攻击面：通过使用单一包存储，PNPM 减少了恶意代码可能隐藏的地方数量。
• 校验和验证：PNPM 在安装期间验证包的完整性，帮助防止供应链攻击。
• 严格权限：在 Linux 上使用时，PNPM 尊重并可以强制执行严格的文件和目录权限，增强多用户环境的安全性。

6. 与 Linux 工具的无缝集成

PNPM 与各种 Linux 开发工具和实践很好地协作：

• Shell 补全：PNPM 提供了适用于 bash 和 zsh 的 Shell 补全脚本，这是 Linux 环境中常见的 Shell。
• 适用于 Docker：PNPM 的空间效率和性能使其成为 Docker 容器的理想选择，Docker 在基于 Linux 的部署中广泛使用。
• CI/CD 兼容性：PNPM 与 Linux 环境中常用的 CI/CD 工具（如 Jenkins、GitLab CI 和 GitHub Actions）无缝集成。

这些功能使 PNPM 成为 Linux 用户的强大工具，在效率、性能和安全性方面提供了特别有价值的改进。

在 Linux 上使用 PNPM

一旦你在 Linux 系统上安装了 PNPM，就可以开始使用它来管理 JavaScript 和 Node.js 项目了。本节将介绍基本命令、如何管理依赖项以及如何使用 PNPM 创建和运行脚本。

基本命令

PNPM 的命令类似于 npm，使熟悉 npm 的开发人员能够轻松过渡。以下是一些基本命令：

1. 初始化新项目：

   pnpm init
   

   这将在当前目录中创建一个新的 package.json 文件。

2. 安装所有依赖项：

   pnpm install
   

   该命令安装 package.json 文件中列出的所有依赖项。

3. 添加新依赖项：

   pnpm add <package-name>
   

   要添加开发依赖项，请使用 -D 标志：

   pnpm add -D <package-name>
   

4. 删除依赖项：

   pnpm remove <package-name>
   

5. 更新依赖项：

   pnpm update
   

   要更新特定包：

   pnpm update <package-name>
   

6. 运行脚本：

   pnpm run <script-name>
   

管理依赖项

PNPM 提供了几个用于管理依赖项的高级功能：

1. 安装 peer 依赖项： PNPM 默认不安装 peer 依赖项。要更改此行为，可以使用：

   pnpm install --shamefully-hoist
   

2. 在单体仓库中过滤安装： 在单体仓库中，你可以为特定包安装依赖项：

   pnpm --filter <package-name> install
   

3. 导入项目： 要将项目从 npm 或 Yarn 转换为 PNPM，请使用：

   pnpm import
   

4. 查看依赖关系图：

   pnpm list
   

   查看图形表示：

   pnpm list --graph
   

创建和运行脚本

与 npm 类似，PNPM 允许你在 package.json 文件中定义和运行脚本：

1. 定义脚本： 在你的 package.json 中，添加一个 "scripts" 部分：

   {
     "scripts": {
       "start": "node index.js",
       "test": "jest",
       "build": "webpack"
     }
   }
   

2. 运行脚本：

   pnpm run start
   pnpm run test
   pnpm run build
   

   对于 start、test 和 build，你可以使用快捷方式：

   pnpm start
   pnpm test
   pnpm build
   

3. 运行多个脚本： PNPM 允许按顺序运行多个脚本：

   pnpm run build && pnpm run test
   

管理存储

PNPM 的独特存储是其关键功能之一。以下是一些管理它的命令：

1. 查看存储状态：

   pnpm store status
   

2. 修剪存储（移除未使用的包）：

   pnpm store prune
   

3. 验证存储完整性：

   pnpm store verify
   

环境变量

PNPM 遵循许多与 npm 相同的环境变量。一些对 Linux 用户有用的变量包括：

• PNPM_HOME：设置 PNPM 存储全局包和自身二进制文件的目录。
• NPM_CONFIG_PREFIX：如果未设置 PNPM_HOME，PNPM 使用此变量确定安装全局包的位置。

Linux 上使用 PNPM 的最佳实践

为了最大化使用 PNPM 在 Linux 上的好处，遵循某些最佳实践非常重要。本节涵盖了安全性考虑、性能优化技术以及常见问题的故障排除提示。

安全性考虑

1. 保持 PNPM 更新： 定期更新 PNPM 至最新版本，以确保获得最新的安全补丁：

   pnpm add -g pnpm
   

2. 使用锁文件： 始终将 pnpm-lock.yaml 文件提交到版本控制中。这确保了在不同环境中的一致安装：

   git add pnpm-lock.yaml
   git commit -m "Update dependencies"
   

3. 审计依赖项： 定期审计依赖项中的漏洞：

   pnpm audit
   

4. 使用严格模式： 在 .npmrc 文件中启用严格模式，以防止使用未声明的依赖：

   node-linker=hoisted
   strict-peer-dependencies=true
   

5. 利用内置安全功能： 利用 PNPM 的内置安全功能，如在包安装期间防止执行任意脚本。

性能优化

1. 利用存储路径： 设置自定义存储路径，以跨项目共享包：

   pnpm config set store-dir ~/.pnpm-store
   

2. 使用共享工作区： 对于单体仓库，使用 PNPM 工作区高效管理多个包：

   # pnpm-workspace.yaml
   packages:
     - 'packages/*'
   

3. 优化 CI/CD 管道： 在 CI 环境中使用 PNPM 的 --frozen-lockfile 标志，以确保更快、更一致的构建：

   pnpm install --frozen-lockfile
   

4. 利用并行执行： 利用 PNPM 在单体仓库中并行运行脚本的能力：

   pnpm -r --parallel run build
   

5. 定期修剪： 定期修剪存储以移除未使用的包：

   pnpm store prune
   

常见问题故障排除

1. 权限问题： 如果遇到权限错误，确保你的用户有必要的权限：

   sudo chown -R $(whoami) ~/.pnpm-store
   

2. 依赖冲突： 如果遇到依赖冲突，可以谨慎使用 --force 标志：

   pnpm install --force
   

3. 路径问题： 确保 PNPM 在你的 PATH 中。将以下内容添加到 .bashrc 或 .zshrc 中：

   export PATH="$HOME/.local/share/pnpm:$PATH"
   

4. 与 Node 版本不兼容： 如果某个包与 Node 版本不兼容，使用 pnpm env 管理 Node 版本：

   pnpm env use --global lts
   

5. 磁盘空间问题： 如果磁盘空间不足，清理 PNPM 存储：

   pnpm store prune
   

单体仓库的最佳实践

1. 使用工作区协议： 在你的 package.json 中，使用工作区协议引用本地包：

   {
     "dependencies": {
       "my-local-package": "workspace:*"
     }
   }
   

2. 过滤命令： 使用 PNPM 的过滤功能在特定包上运行命令：

   pnpm --filter ./packages/* run test
   

3. 共享配置： 利用 PNPM 将共享配置提升到单体仓库的根目录。

文档和可重复性

1. 文档化 PNPM 使用： 在你的 README 中包含一个关于使用 PNPM 的部分：

   ## 开发
   本项目使用 PNPM。要安装依赖项：
   ```bash
   pnpm install
   

2. 使用 .npmrc： 在项目根目录中创建 .npmrc 文件，以确保团队中的一致 PNPM 设置：

   shamefully-hoist=true
   strict-peer-dependencies=false
   

3. 版本控制集成： 配置版本控制忽略 .pnpm-store 目录，但包含 pnpm-lock.yaml。

常见问题解答（FAQ）

1. PNPM 和 npm 的主要区别是什么？

PNPM 使用一种独特的内容寻址存储方式来存储包，这显著减少了磁盘空间使用并提高了安装速度。与 npm 创建的平铺 node_modules 结构不同，PNPM 创建了一个更准确表示依赖树的嵌套结构。

2. 我可以在 Linux 上使用 PNPM 管理现有的 npm 或 Yarn 项目吗？

可以。PNPM 可以与现有的 package.json 文件一起使用。要迁移，只需在项目目录中运行 pnpm import，这将基于现有的锁文件创建一个 pnpm-lock.yaml 文件。

3. PNPM 可以使用所有 npm 包吗？

在大多数情况下，可以。PNPM 旨在与 npm 生态系统兼容。然而，一些依赖 npm 平铺 node_modules 结构的包可能会遇到问题。这些问题通常可以通过使用 PNPM 的 shamefully-hoist 选项轻松解决。

4. PNPM 在 Linux 上的 CI/CD 环境中表现如何？

PNPM 通常在 CI/CD 环境中表现优于 npm 和 Yarn，特别是对于有许多依赖项的项目。其高效的缓存机制和快速的安装时间可以显著减少基于 Linux 的 CI/CD 管道中的构建时间。

5. 在生产的 Linux 环境中使用 PNPM 安全吗？

是的，PNPM 设计时考虑到了安全性。它包括防止使用未声明依赖的严格模式，并遵循 npm 的安全策略。始终保持 PNPM 更新，以确保获得最新的安全补丁。

6. 如何在 Linux 上使用 PNPM 全局安装包？

要在 PNPM 中全局安装包，使用 -g 标志：

pnpm add -g <package-name>

确保你的 PNPM_HOME 目录在 PATH 中，以使用全局安装的包。

7. PNPM 可以帮助管理 Linux 上的不同 Node.js 版本吗？

尽管 PNPM 本身不管理 Node.js 版本，但它与 nvm 或 n 等版本管理器配合使用效果很好。此外，PNPM 提供 pnpm env 命令，帮助在不同项目中使用不同的 Node.js 版本。

8. PNPM 如何在 Linux 上处理 peer 依赖？

默认情况下，PNPM 不会自动安装 peer 依赖。你可以通过在 .npmrc 文件中设置 auto-install-peers=true 来更改此行为，或在安装时使用 --shamefully-hoist 标志。

9. 是否可以在 Linux 上的 Docker 容器中使用 PNPM？

可以，PNPM 在 Docker 容器中表现良好。事实上，其空间效率在容器化环境中特别有利。只需确保在 Dockerfile 中包含 PNPM 安装步骤。

10. 如何解决 Linux 上使用 PNPM 时遇到的 "Module not found" 错误？

这些错误通常由于 PNPM 更严格的依赖解析引起。尝试在安装时使用 --shamefully-hoist 标志，或将有问题的包添加到项目的依赖项中。如果问题仍然存在，检查该包是否与 PNPM 的嵌套 node_modules 结构兼容。