内网环境也能玩转Docker?手把手教你离线安装Docker 20.10.9(附一键脚本)
内网环境也能玩转Docker?手把手教你离线安装Docker 20.10.9(附一键脚本)
在企业IT基础设施中,内网环境往往面临严格的网络隔离政策,这使得常规的在线安装方式变得不可行。对于急需容器化部署的团队而言,掌握Docker离线安装技术就像获得了一把打开效率之门的钥匙。不同于常见的包管理器安装方式,二进制离线安装不仅规避了网络依赖,还能确保安装过程的纯净性和一致性,特别适合金融、军工等对安全敏感行业的标准化部署需求。
1. 离线安装前的系统准备
1.1 硬件与系统兼容性检查
在开始之前,需要确认目标服务器的硬件架构与操作系统版本。Docker 20.10.9官方二进制包主要支持x86_64架构,对于ARM环境需要另行获取对应版本。通过以下命令检查系统信息:
# 查看CPU架构 uname -m # 查看操作系统版本 cat /etc/os-release注意:CentOS/RHEL 7及以上、Ubuntu 16.04 LTS及以上是经过官方验证的兼容系统,低版本可能需要额外内核模块支持。
1.2 依赖包离线准备
即使采用二进制安装,仍需要确保基础依赖可用。以下为必需依赖列表:
- 基础工具:tar、gzip、curl(用于后续镜像导入)
- 权限管理:sudo、acl
- 安全组件:iptables、libseccomp
对于完全离线的环境,建议提前下载这些依赖的rpm/deb包。可以使用yumdownloader或apt download在联网机器上获取:
# CentOS/RHEL示例 yumdownloader --resolve tar gzip libseccomp # Ubuntu示例 apt download tar gzip libseccomp22. 二进制包获取与验证
2.1 官方渠道下载策略
虽然标题指定20.10.9版本,但实际生产环境中建议通过官方静态包仓库获取最新稳定版。在可联网的跳板机上执行:
# 获取Docker二进制包 wget https://download.docker.com/linux/static/stable/x86_64/docker-20.10.9.tgz # 获取对应版本的docker-compose wget https://github.com/docker/compose/releases/download/v2.3.3/docker-compose-linux-x86_64提示:建议同时下载sha256校验文件,确保传输完整性:
wget https://download.docker.com/linux/static/stable/x86_64/docker-20.10.9.tgz.sha256 sha256sum -c docker-20.10.9.tgz.sha256
2.2 离线介质传输方案
根据企业安全规范,可选择以下传输方式:
| 传输方式 | 适用场景 | 安全建议 |
|---|---|---|
| 物理U盘 | 跨隔离网闸传输 | 使用加密分区并验证杀毒 |
| 内部文件服务器 | 已有内部软件仓库的环境 | 配置访问控制列表(ACL) |
| 光盘刻录 | 审计要求严格的金融环境 | 使用一次性写入介质 |
3. 分步安装实施指南
3.1 核心组件安装流程
解压二进制包后,需要系统级部署:
#!/bin/bash # 解压Docker引擎 tar xzvf docker-20.10.9.tgz # 部署到系统路径 sudo cp docker/* /usr/bin/ # 验证可执行性 sudo docker --version对于docker-compose的部署更为简单:
sudo install -m 755 docker-compose-linux-x86_64 /usr/local/bin/docker-compose3.2 系统服务集成配置
创建systemd服务单元文件/etc/systemd/system/docker.service,以下为优化后的配置:
[Unit] Description=Docker Application Container Engine After=network-online.target containerd.service Wants=network-online.target [Service] Type=notify ExecStart=/usr/bin/dockerd --data-root /opt/docker ExecReload=/bin/kill -s HUP $MAINPID LimitNOFILE=1048576 LimitNPROC=infinity TimeoutStartSec=300 [Install] WantedBy=multi-user.target关键参数说明:
--data-root:指定镜像存储路径,避免默认目录空间不足LimitNOFILE:调高文件描述符限制,应对高并发场景
激活服务的完整命令序列:
sudo systemctl daemon-reload sudo systemctl enable --now docker sudo systemctl status docker4. 生产环境优化实践
4.1 存储驱动选择建议
不同文件系统下的推荐配置:
| 文件系统类型 | 推荐存储驱动 | 适用场景 |
|---|---|---|
| ext4/xfs | overlay2 | 常规应用 |
| btrfs | btrfs | 需要快照功能的环境 |
| zfs | zfs | 企业级存储需求 |
配置方法(在/etc/docker/daemon.json中):
{ "storage-driver": "overlay2", "storage-opts": [ "overlay2.override_kernel_check=true" ] }4.2 离线镜像加载技巧
对于内网需要的镜像,可在联网环境导出:
docker pull nginx:1.21-alpine docker save -o nginx-1.21-alpine.tar nginx:1.21-alpine在内网机器加载:
docker load -i nginx-1.21-alpine.tar5. 一键运维脚本集
5.1 智能安装脚本增强版
改进后的安装脚本增加以下功能:
#!/bin/bash set -e DOCKER_VERSION="20.10.9" COMPOSE_VERSION="2.3.3" function validate_binaries() { if ! sha256sum -c docker-${DOCKER_VERSION}.tgz.sha256; then echo "校验失败:Docker包不完整" exit 1 fi } function configure_firewall() { if command -v firewall-cmd &> /dev/null; then firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept' firewall-cmd --reload fi } validate_binaries # ...原有安装逻辑... configure_firewall5.2 安全卸载流程
完善的卸载脚本应当包括:
#!/bin/bash # 停止所有容器 docker stop $(docker ps -aq) 2>/dev/null || true # 清理容器数据卷 docker volume prune -f # 移除服务配置 systemctl disable --now docker rm -f /etc/systemd/system/docker.service # 彻底删除残留文件 find /usr/bin /usr/local/bin -name 'docker*' -delete rm -rf /var/lib/docker /opt/docker6. 典型问题排查指南
6.1 常见错误代码分析
| 错误代码 | 可能原因 | 解决方案 |
|---|---|---|
| ERRO[0000] | 内核版本过低 | 升级内核或使用--storage-driver=vfs |
| Cannot connect to the Docker daemon | 服务未启动或权限不足 | systemctl start docker或sudo usermod -aG docker $USER |
| no space left on device | 存储空间耗尽 | 修改data-root到更大分区 |
6.2 日志分析技巧
使用journalctl查看详细日志:
journalctl -u docker.service --since "1 hour ago" -p err关键日志线索:
level=warning:潜在配置问题failed to start container:通常与镜像或权限相关oci runtime error:容器运行时异常
在实际部署某银行系统时,曾遇到因SELinux导致的权限问题,通过以下命令解决:
sudo semanage fcontext -a -t container_var_lib_t '/opt/docker(/.*)?' sudo restorecon -Rv /opt/docker