内网服务器没网怎么办?手把手教你用Docker-26.1.1.tgz离线部署Docker环境(附systemd服务配置)
内网服务器离线部署Docker全攻略:从安装包到镜像仓库的完整闭环
在金融、军工、医疗等对网络安全要求极高的行业场景中,服务器通常被部署在严格隔离的内网环境中。这种架构虽然保障了数据安全,却给容器化部署带来了特殊挑战——无法直接访问Docker官方仓库进行在线安装和镜像拉取。本文将系统性地解决这个痛点,不仅涵盖基础安装步骤,更会深入探讨如何在内网环境中构建可持续的容器化运维体系。
1. 离线环境下的Docker部署准备
1.1 外网环境资源准备
在开始内网部署前,需要在外网机器上完成以下准备工作:
# 下载指定版本的Docker二进制包 wget https://download.docker.com/linux/static/stable/x86_64/docker-26.1.1.tgz # 验证文件完整性(推荐) sha256sum docker-26.1.1.tgz # 对比输出与官网提供的校验值关键注意事项:
- 选择与内网服务器架构匹配的版本(x86_64/aarch64)
- 建议下载
.tgz格式的静态二进制包而非.rpm/.deb,避免依赖问题 - 同时下载
containerd和runc的兼容版本(如有需要)
1.2 安全传输方案选择
根据企业安全策略,可选择以下传输方式:
| 传输方式 | 适用场景 | 安全级别 | 速度 |
|---|---|---|---|
| SCP/SFTP | 单文件传输 | SSH加密 | 中等 |
| 物理介质 | 大文件/批量传输 | 物理隔离 | 慢 |
| 内部仓库 | 频繁更新场景 | 需审批 | 快 |
提示:使用SCP传输时,建议先压缩为加密压缩包,传输后再在内网解压
2. 内网服务器安装实战
2.1 二进制文件部署
# 解压安装包 tar -zxvf docker-26.1.1.tgz # 移动可执行文件到系统目录 sudo cp docker/* /usr/bin/ # 验证可执行权限 ls -l /usr/bin/dockerd常见问题排查:
- 若出现
GLIBC版本不兼容,需在外网环境编译对应版本的静态二进制 SELinux可能导致权限问题,可临时设置为permissive模式测试
2.2 Systemd服务深度配置
创建/etc/systemd/system/docker.service文件:
[Unit] Description=Docker Application Container Engine After=network-online.target firewalld.service Wants=network-online.target [Service] Type=notify EnvironmentFile=-/etc/default/docker ExecStart=/usr/bin/dockerd --iptables=false --log-driver=json-file --log-opt max-size=100m ExecReload=/bin/kill -s HUP $MAINPID TimeoutSec=0 RestartSec=2 Restart=always [Install] WantedBy=multi-user.target关键参数解析:
--iptables=false:在内网环境中通常不需要自动配置iptables规则--log-driver:建议使用json-file而非journald,避免日志系统依赖EnvironmentFile:用于集中管理环境变量
3. 离线镜像管理方案
3.1 单镜像导入导出
在外网机器执行:
docker pull nginx:alpine docker save -o nginx_alpine.tar nginx:alpine在内网机器加载:
docker load -i nginx_alpine.tar3.2 批量镜像管理策略
推荐使用docker-compose定义服务栈:
version: '3.8' services: web: image: nginx:alpine ports: - "8080:80" db: image: postgres:13 environment: POSTGRES_PASSWORD: example导出整个服务栈:
docker-compose config > stack.yml docker save $(docker-compose config | awk '{if ($1 == "image:") print $2}') -o stack_images.tar4. 构建内网私有仓库
4.1 简易Registry部署
# 在外网准备registry镜像 docker pull registry:2 docker save -o registry.tar registry:2 # 内网加载后运行 docker load -i registry.tar docker run -d -p 5000:5000 --restart=always --name registry registry:24.2 镜像推送与拉取
# 标记镜像指向内网仓库 docker tag nginx:alpine 192.168.1.100:5000/nginx # 推送镜像(需配置insecure-registry) docker push 192.168.1.100:5000/nginx # 其他节点拉取 docker pull 192.168.1.100:5000/nginx安全增强建议:
- 配置TLS证书实现加密传输
- 使用Basic Auth进行访问控制
- 定期清理过期镜像释放存储空间
5. 持续维护与优化
在内网环境中维护Docker生态需要建立规范的流程:
- 版本控制:对所有安装包和镜像文件进行版本登记
- 依赖管理:维护内部文档记录各组件的兼容性矩阵
- 更新机制:制定审批流程定期更新基础镜像
- 监控方案:部署Prometheus等监控工具时同样采用离线安装
实际项目中,我们曾遇到因未统一版本导致集群节点兼容性问题。解决方案是建立内部镜像仓库的同时,配套维护一个版本控制中心,所有部署必须从中心获取经过验证的镜像组合。