引言：离线安装Docker的现实需求

在金融、医疗、工业控制等对数据安全要求极高的场景中，服务器通常处于物理或逻辑隔离的网络环境。此时，在线安装Docker的常规方式（如apt install docker.io）将无法使用。本文将系统阐述如何在无互联网连接的Ubuntu系统中完成Docker的离线安装，解决开发者在封闭环境中的核心痛点。

一、离线安装前的环境检查

1.1 系统版本兼容性验证

首先需确认Ubuntu版本是否在Docker官方支持列表中。通过lsb_release -a命令获取系统版本信息，对照Docker官方文档确认兼容性。例如，Docker 20.10+版本要求Ubuntu 18.04/20.04/22.04 LTS，若系统版本过低需先升级或选择兼容版本。

1.2 依赖关系预分析

使用apt depends docker.io（在线环境）或参考Docker官方文档，列出所有依赖包。典型依赖包括：

• containerd.io：容器运行时核心组件
• runc：轻量级容器运行时
• libseccomp2：系统调用过滤库
• cgroupfs-mount：控制组文件系统挂载工具

建议制作依赖关系树状图，明确各组件版本约束。例如，Docker 24.0+要求containerd.io≥1.6.0。

二、离线安装包获取策略

2.1 在线环境打包工具选择

推荐使用apt-offline工具进行精准打包：

# 在有网络连接的同版本Ubuntu系统中执行
sudo apt install apt-offline
apt-offline set docker_offline.sig --install docker.io

该命令会生成包含所有依赖包的签名文件，后续可通过apt-offline get docker_offline.sig下载完整包集合。

2.2 手动下载替代方案

对于无法使用apt-offline的场景，可手动从Ubuntu仓库下载：

1. 访问packages.ubuntu.com
2. 搜索docker.io及相关依赖包
3. 下载对应系统版本的.deb文件
4. 特别注意下载containerd.io的Ubuntu定制版本（非上游release）

2.3 本地仓库构建方法

在离线环境中创建本地APT仓库：

# 在有网机器上准备
mkdir -p /tmp/docker_repo/pool
cp *.deb /tmp/docker_repo/pool/
dpkg-scanpackages pool /dev/null | gzip -9c > pool/Packages.gz
# 传输至离线环境后配置sources.list
echo "deb [trusted=yes] file:$(pwd) /" | sudo tee /etc/apt/sources.list.d/local_docker.list

三、离线安装实施流程

3.1 依赖包完整性校验

将下载的.deb文件传输至离线环境后，执行：

# 校验文件完整性
md5sum *.deb | compare_with_online_checksums
# 安装前解决依赖冲突
sudo dpkg -i --dry-run *.deb  # 模拟安装检测问题

3.2 分阶段安装策略

推荐按以下顺序安装：

1. libseccomp2（基础依赖）
2. runc（容器运行时）
3. containerd.io（核心组件）
4. docker.io（主程序）

每步安装后执行docker --version验证组件加载情况。

3.3 常见问题处理

• 版本冲突：使用dpkg -r --force-all强制卸载冲突包后重装
• 缺少依赖：通过apt-cache depends分析缺失组件
• 服务启动失败：检查journalctl -u docker.service日志

四、安装后验证与优化

4.1 功能完整性测试

执行基础容器操作验证安装质量：

sudo docker run hello-world
# 应看到"Hello from Docker!"的确认信息
# 测试网络功能
sudo docker run --rm alpine ping -c 4 google.com

4.2 性能调优建议

1. 存储驱动配置：根据存储后端选择overlay2或aufs

   # 在/etc/docker/daemon.json中配置
   {
     "storage-driver": "overlay2"
   }

2. 资源限制设置：通过systemctl edit docker添加CPU/内存限制
3. 镜像加速配置：离线环境中可搭建本地镜像仓库

4.3 安全加固措施

1. 限制Docker守护进程权限：

   sudo usermod -aG docker $USER  # 避免直接使用root

2. 配置TLS认证：在离线环境中预生成证书
3. 启用AppArmor/SELinux强制访问控制

五、企业级部署实践

5.1 批量部署方案

对于多节点离线环境，建议：

1. 使用rsync或scp同步安装包
2. 编写Ansible剧本实现自动化安装：

   - name: Install Docker offline
     hosts: docker_hosts
     tasks:
       - copy: src=local_repo/ dest=/opt/docker_repo/
       - apt: deb=/opt/docker_repo/docker.io_*.deb

5.2 版本管理策略

1. 建立内部版本库，记录各组件版本号
2. 制定升级路线图，每季度评估新版本
3. 测试环境预验证升级包

5.3 运维监控集成

1. 配置Prometheus节点导出器收集Docker指标
2. 集成ELK栈实现日志集中管理
3. 设置Zabbix监控容器资源使用率

六、进阶使用技巧

6.1 离线镜像管理

1. 使用docker save导出基础镜像：

   docker save -o ubuntu_base.tar ubuntu:22.04

2. 搭建私有镜像仓库（Harbor/Nexus）
3. 配置/etc/docker/daemon.json镜像加速：

   {
     "registry-mirrors": ["http://local-registry:5000"]
   }

6.2 容器编排适配

对于Swarm/K8s部署：

1. 预下载kubeadm及相关组件
2. 配置离线版的kubelet静态Pod
3. 使用kind或minikube进行本地测试

七、常见错误案例分析

7.1 案例一：依赖循环错误

现象：安装时提示Unmet dependencies: docker.io depends on containerd.io (>= 1.6.0)

解决：

1. 确认下载的containerd.io版本
2. 手动安装低版本containerd测试兼容性
3. 更新本地仓库的Packages.gz文件

7.2 案例二：服务启动超时

现象：systemctl start docker卡在”Activating”状态

排查：

1. 检查/var/log/docker.log
2. 验证存储驱动配置
3. 确认内核模块overlay已加载

7.3 案例三：镜像拉取失败

现象：docker pull返回no basic auth credentials

解决：

1. 配置~/.docker/config.json认证信息
2. 检查本地镜像仓库的HTTPS证书
3. 临时禁用证书验证（仅测试环境）

八、未来演进方向

1. Nvidia容器工具包离线安装：预下载CUDA驱动和nvidia-docker2包
2. Windows容器支持：配置Hyper-V隔离模式的离线组件
3. WSL2集成方案：为开发环境准备Linux子系统组件

通过系统化的离线安装方案，开发者可在完全隔离的环境中构建完整的Docker生态。建议建立标准化操作流程（SOP），将安装包、配置模板和验证脚本纳入版本控制系统管理，实现环境复用的最大化效益。