麒麟V10服务器离线装Docker,手把手教你搞定systemctl服务配置(含软连接避坑)
麒麟V10服务器离线部署Docker全攻略:从二进制安装到systemctl深度配置
在国产化替代浪潮中,麒麟V10作为主流国产操作系统,正逐步进入各行业的核心业务场景。而Docker作为容器化技术的标杆,其在内网环境下的稳定部署成为运维团队必须掌握的技能。本文将彻底解决三个核心问题:如何在内网环境下获取正确的Docker二进制包?如何通过systemctl实现服务化管理的精细控制?当遇到"containerd not found"等经典报错时,有哪些系统级的排查思路?
1. 离线环境准备与二进制包获取
1.1 系统环境确认
在麒麟V10上部署Docker前,必须精确匹配系统架构与内核版本。执行以下命令获取关键信息:
# 查看系统架构(x86_64或aarch64) uname -m # 确认内核版本(需≥3.10) uname -r # 检查麒麟V10具体发行版 cat /etc/kylin-release注意:麒麟V10的SP2/SP3版本对Docker的兼容性存在差异,建议优先选择SP3版本进行部署。
1.2 二进制包下载策略
离线安装需要预先下载完整的静态二进制包。推荐从阿里云镜像站获取经过验证的稳定版本:
http://mirrors.aliyun.com/docker-ce/linux/static/stable/版本选择建议对照表:
| Docker版本 | 推荐内核版本 | 备注 |
|---|---|---|
| 20.10.x | ≥3.10 | 长期支持版(LTS) |
| 23.0.x | ≥4.14 | 需glibc≥2.32支持 |
| 24.0.x | ≥5.4 | 新功能最多,稳定性待验证 |
下载完成后,通过MD5校验确保文件完整性:
md5sum docker-20.10.24.tgz # 对比官方公布的校验值2. 二进制部署的工程化实践
2.1 解压与权限配置
传统教程建议直接复制到/usr/bin,但更推荐建立独立的软件目录:
# 创建标准化目录结构 mkdir -p /program/docker/{bin,config,data} # 解压到专用目录 tar -xzvf docker-20.10.24.tgz -C /program/docker/bin # 设置可执行权限 find /program/docker/bin -type f -exec chmod 755 {} \;这种做法的优势在于:
- 符合Filesystem Hierarchy Standard规范
- 便于后续版本升级和回滚
- 隔离系统目录,避免污染
2.2 软连接体系构建
为避免PATH检索问题,采用软连接方式接入系统路径:
# 批量创建软连接(推荐方案) for f in /program/docker/bin/*; do ln -sf "$f" /usr/local/bin/$(basename $f) done # 验证关键组件 which dockerd && which containerd && which runc软连接方案相比直接复制的优势对比:
| 方案类型 | 升级便利性 | 磁盘占用 | 隔离性 | 排错难度 |
|---|---|---|---|---|
| 直接复制 | 差 | 单份 | 弱 | 易 |
| 软连接 | 优 | 双份 | 强 | 中 |
| PATH扩展 | 中 | 单份 | 中 | 难 |
3. systemd服务配置深度解析
3.1 单元文件编写规范
在/etc/systemd/system/docker.service中写入以下内容:
[Unit] Description=Docker Application Container Engine Documentation=https://docs.docker.com After=network-online.target firewalld.service Requires=containerd.service Wants=network-online.target [Service] Type=notify ExecStart=/usr/local/bin/dockerd \ --containerd=/run/containerd/containerd.sock \ --exec-opt native.cgroupdriver=systemd ExecReload=/bin/kill -s HUP $MAINPID TimeoutSec=0 RestartSec=2 Restart=always StartLimitBurst=3 StartLimitInterval=60s LimitNOFILE=1048576 LimitNPROC=infinity TasksMax=infinity Delegate=yes KillMode=process [Install] WantedBy=multi-user.target关键参数说明:
Type=notify:确保Docker就绪后才启动依赖服务--exec-opt native.cgroupdriver=systemd:适配麒麟V10的cgroup驱动Delegate=yes:允许Docker管理自己的子进程
3.2 依赖服务配置
创建containerd服务单元/etc/systemd/system/containerd.service:
[Unit] Description=containerd container runtime Documentation=https://containerd.io After=network.target [Service] ExecStart=/usr/local/bin/containerd Restart=always RestartSec=5 Delegate=yes KillMode=process [Install] WantedBy=multi-user.target启用服务的标准流程:
systemctl daemon-reload systemctl enable --now containerd systemctl enable --now docker # 验证服务状态 systemctl status docker -l journalctl -u docker --since "1 hour ago"4. 典型故障排查手册
4.1 依赖组件缺失问题
当出现"containerd not found"错误时,按以下流程排查:
路径验证:
ls -l /usr/local/bin/containerd ldd /usr/local/bin/containerd环境变量检查:
echo $PATH systemctl show docker --property=Environment进程树分析:
pstree -ap | grep -E 'docker|containerd'
4.2 内核兼容性问题
麒麟V10常见的内核参数调整:
# 检查当前配置 sysctl -a | grep -E 'ipv4.ip_forward|bridge-nf-call' # 永久生效配置 cat > /etc/sysctl.d/99-docker.conf <<EOF net.ipv4.ip_forward = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-ip6tables = 1 EOF sysctl -p /etc/sysctl.d/99-docker.conf4.3 存储驱动适配
根据实际存储设备选择合适的驱动:
| 驱动类型 | 适用场景 | 麒麟V10适配性 |
|---|---|---|
| overlay2 | 标准EXT4/XFS文件系统 | 优 |
| devicemapper | 直接块设备存储 | 中 |
| vfs | 测试环境 | 差 |
配置示例(/etc/docker/daemon.json):
{ "storage-driver": "overlay2", "storage-opts": [ "overlay2.override_kernel_check=true" ] }5. 生产环境优化建议
5.1 资源限制配置
在/usr/lib/systemd/system/docker.service.d/limits.conf中添加:
[Service] LimitMEMLOCK=infinity LimitSTACK=8192000 LimitDATA=infinity5.2 日志轮转配置
创建/etc/logrotate.d/docker:
/var/lib/docker/containers/*/*.log { rotate 7 daily compress delaycompress missingok copytruncate }5.3 离线镜像加载方案
保存和加载镜像的标准流程:
# 导出镜像 docker save -o nginx.tar nginx:latest # 内网加载 docker load -i nginx.tar # 批量处理脚本 for img in *.tar; do docker load -i $img && rm -f $img done