Ubuntu中离线安装Docker全流程指南

一、离线安装的核心挑战与适用场景

在金融、医疗等对数据安全要求极高的行业中，生产环境服务器通常处于完全隔离的内网环境。此时通过传统apt-get在线安装Docker的方式完全失效，需要采用离线部署方案。典型应用场景包括：

1. 私有云环境初始化部署
2. 工业控制系统容器化改造
3. 离线开发环境的标准化构建
4. 符合等保2.0要求的隔离网络部署

二、完整离线安装流程

（一）基础环境准备（在线阶段）

1. 系统兼容性验证：

   lsb_release -a  # 确认Ubuntu版本（推荐18.04/20.04 LTS）
   uname -r        # 确认内核版本（需≥4.4）

   建议使用最新LTS版本以获得最佳兼容性，内核版本可通过apt install linux-image-$(uname -r)升级

2. 依赖包收集工具配置：

   mkdir docker-offline && cd docker-offline
   apt-get install -y apt-utils debhelper  # 安装打包工具

（二）依赖包精确收集

1. Docker核心依赖分析：
   Docker在Ubuntu上的直接依赖包括：

   • containerd.io (容器运行时)
   • docker-ce-cli (命令行工具)
   • docker-ce (引擎服务)
     间接依赖涉及：
   • libseccomp2 (系统调用过滤)
   • cgroupfs-mount (资源控制)
   • aufs-tools (存储驱动)

2. 自动化依赖收集脚本：

   #!/bin/bash
   PACKAGES="docker-ce docker-ce-cli containerd.io"
   DEPS=$(apt-cache depends --recurse --no-recommends --no-suggests --no-conflicts --no-breaks --no-replaces --no-enhances $PACKAGES | grep "^\w" | sort -u)
   mkdir -p deps
   for pkg in $DEPS; do
       apt-get download $(echo $pkg | cut -d: -f1)
   done

   建议添加--print-uris参数获取完整下载URL，便于在内网传输

（三）离线包传输与验证

1. 传输规范：

   • 使用tar czvf docker-offline.tar.gz *打包所有文件
   • 传输后验证文件完整性：

     md5sum -c checksums.md5  # 需提前生成校验文件

2. 离线仓库搭建（可选）：

   dpkg-scanpackages . /dev/null | gzip -9c > Packages.gz
   echo "deb [trusted=yes] file:$(pwd) ./" > /etc/apt/sources.list.d/docker-offline.list

（四）离线安装实施

1. 基础依赖安装：

   sudo dpkg -i *.deb  # 先安装底层库（如libseccomp2）
   sudo apt-get install -f  # 解决依赖冲突

2. Docker核心组件安装：

   # 按正确顺序安装
   sudo dpkg -i containerd.io_*.deb
   sudo dpkg -i docker-ce-cli_*.deb
   sudo dpkg -i docker-ce_*.deb

   安装顺序错误可能导致服务启动失败

3. 配置优化：

   # 创建systemd服务目录
   sudo mkdir -p /etc/systemd/system/docker.service.d
   # 配置镜像加速（需提前下载离线镜像）
   cat > /etc/docker/daemon.json <<EOF
   {
     "registry-mirrors": ["https://registry.internal"],
     "storage-driver": "overlay2"
   }
   EOF

（五）验证与测试

1. 服务状态检查：

   sudo systemctl status docker  # 应显示active (running)
   sudo docker version           # 验证客户端/服务端版本

2. 功能测试：

   # 使用预下载的离线镜像测试
   sudo docker load -i ubuntu.tar
   sudo docker run --rm ubuntu echo "Offline test successful"

三、高级场景处理

（一）离线镜像管理

1. 镜像导出导入：

   # 导出镜像
   sudo docker save -o nginx.tar nginx:latest
   # 导入镜像
   sudo docker load -i nginx.tar

2. 私有仓库搭建：

   # 使用registry镜像（需提前下载）
   sudo docker run -d -p 5000:5000 --restart=always --name registry registry:2

（二）安全加固

1. TLS认证配置：

   openssl req -newkey rsa:4096 -nodes -sha256 \
     -keyout server-key.pem -out server-csr.pem
   # 生成证书后配置/etc/docker/daemon.json

2. 用户权限管理：

   sudo groupadd docker
   sudo usermod -aG docker $USER  # 需重新登录生效

四、常见问题解决方案

1. 依赖冲突处理：

   # 使用dpkg的--auto-deconfigure选项
   sudo dpkg --configure -a --auto-deconfigure
   sudo apt-get install -f

2. 存储驱动问题：

   # 检查支持的驱动
   sudo docker info | grep "Storage Driver"
   # 修改存储驱动（需清空/var/lib/docker）
   sudo sed -i 's/"storage-driver": .*/"storage-driver": "devicemapper"/' /etc/docker/daemon.json

3. 网络配置错误：

   # 重置网络配置
   sudo ip link delete docker0
   sudo systemctl restart docker

五、最佳实践建议

1. 版本锁定策略：

   • 在/etc/apt/preferences.d/docker中添加：

     Package: docker-ce
     Pin: version 20.10.*
     Pin-Priority: 1000

2. 自动化部署脚本：

   #!/bin/bash
   # 完整安装流程封装
   INSTALL_DIR="/opt/docker-offline"
   if [ ! -d "$INSTALL_DIR" ]; then
       echo "Error: Offline package directory not found"
       exit 1
   fi
   cd $INSTALL_DIR
   sudo dpkg -i *.deb || sudo apt-get install -f
   sudo systemctl enable docker
   sudo systemctl start docker

3. 定期更新机制：

   • 每季度执行在线依赖收集
   • 使用diff -r比较新旧包列表
   • 维护变更文档记录

通过以上系统化的离线安装方案，开发者可以在完全隔离的网络环境中稳定部署Docker，既满足安全合规要求，又保持容器技术的灵活性。实际实施时建议先在测试环境验证完整流程，再推广到生产环境。