银河麒麟V10服务器离线装Docker，我踩过的那些坑（附Docker 19.03.0二进制包选择）

银河麒麟V10服务器离线部署Docker的避坑实战指南

作为一名长期在国产化环境中摸爬滚打的运维工程师，我深知在银河麒麟V10这类特殊系统上部署基础服务的挑战。特别是在无网络环境下安装Docker这种看似简单实则暗藏玄机的操作，稍有不慎就会陷入各种"坑"中难以自拔。本文将分享我在多个生产环境中积累的实战经验，重点解析那些官方文档不会告诉你的细节问题。

1. 版本选择的艺术：为什么Docker 19.03.0是最佳选择

在离线环境中，版本选择往往决定了后续部署的成败。经过多次实测验证，Docker 19.03.0版本在银河麒麟V10上的兼容性表现最为稳定。以下是几个关键考量因素：

• 内核兼容性：银河麒麟V10默认搭载4.19内核，与Docker 20+版本存在微妙的权限管理冲突
• SELinux适配：新版Docker对SELinux的策略要求更为严格，容易导致服务启动失败
• 二进制依赖：19.03.0版本的二进制文件包体积更小，依赖更少，适合离线环境

提示：即使官网提供了更新的24.x版本，也强烈建议在国产化环境中坚持使用19.03.0这个"黄金版本"。

版本对比实测数据：

2. 文件权限的陷阱：解压后的属主异常问题

在解压Docker二进制包时，有一个极易被忽视但会导致后续各种诡异问题的细节——文件属主异常。以下是完整的处理流程：

# 解压下载的二进制包 tar -zxvf docker-19.03.0.tgz # 检查解压后文件的属主信息 ls -l docker/ # 典型异常输出示例： # -rwxr-xr-x 1 suma suma 34519704 7月 18 2019 containerd # -rwxr-xr-x 1 suma suma 6038112 7月 18 2019 containerd-shim # 修正文件属主为root sudo chown -R root:root docker/

这个问题的隐蔽性在于：

1. 解压过程不会报错，属主异常不易察觉
2. 部分命令可能正常执行，但关键操作会失败
3. 错误信息往往指向其他原因，误导排查方向

3. 系统环境的精细配置：防火墙与SELinux的平衡术

银河麒麟V10默认的安全策略较为严格，需要特别注意以下配置点：

3.1 防火墙处理方案

# 临时关闭防火墙 systemctl stop firewalld # 永久禁用防火墙（根据实际安全需求选择） systemctl disable firewalld

3.2 SELinux配置策略

# 检查当前SELinux状态 getenforce # 临时设置为宽松模式 setenforce 0 # 永久禁用SELinux（需重启生效） sudo sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

常见SELinux相关错误日志分析：

journalctl -xe 输出的典型错误： SELinux is preventing /usr/bin/dockerd from using the setcap capability.

4. 服务部署的完整流程：从文件移动到系统集成

4.1 二进制文件部署技巧

# 使用\cp命令强制覆盖已有文件 \cp -f docker/* /usr/bin/ # 验证文件拷贝结果 ls -l /usr/bin/docker*

注意：务必使用反斜杠cp命令(\cp)而非直接cp，避免触发某些shell别名导致的意外交互提示。

4.2 Systemd服务配置精要

创建/usr/lib/systemd/system/docker.service文件，内容如下：

[Unit] Description=Docker Application Container Engine Documentation=https://docs.docker.com After=network-online.target Wants=network-online.target [Service] Type=notify ExecStart=/usr/bin/dockerd ExecReload=/bin/kill -s HUP $MAINPID LimitNOFILE=infinity LimitNPROC=infinity TimeoutStartSec=0 Delegate=yes KillMode=process Restart=on-failure StartLimitBurst=3 StartLimitInterval=60s [Install] WantedBy=multi-user.target

关键配置项说明：

• Type=notify：确保Docker能正确通知systemd其状态变化
• Delegate=yes：允许Docker管理自己的cgroups
• Restart=on-failure：在异常退出时自动重启

4.3 后期优化配置

创建/etc/docker/daemon.json配置文件：

{ "registry-mirrors": [ "https://pee6w651.mirror.aliyuncs.com" ], "data-root": "/data/docker", "log-driver": "json-file", "log-opts": { "max-size": "200m", "max-file": "3" } }

执行以下命令使配置生效：

# 重载systemd配置 systemctl daemon-reload # 启动Docker服务 systemctl start docker # 设置开机自启 systemctl enable docker # 验证服务状态 docker info

5. 疑难问题排查指南

在实际部署中可能会遇到的各种异常情况及其解决方案：

5.1 服务启动失败排查流程

1. 检查服务状态：

   systemctl status docker

2. 查看详细日志：

   journalctl -u docker --no-pager -n 100

3. 常见错误代码解析：

   错误代码	可能原因	解决方案
   137	OOM Killer触发	增加swap空间或调整内存限制
   139	段错误	检查二进制文件完整性
   255	权限问题	验证文件属主和SELinux状态

5.2 网络不通问题处理

即使是在离线环境，Docker仍需要正确的网络配置：

# 检查网桥状态 brctl show # 验证iptables规则 iptables -L -n # 临时解决方案（重启后会失效） iptables -P FORWARD ACCEPT

6. 性能优化与长期维护建议

6.1 存储驱动选择

在daemon.json中添加以下配置可优化性能：

{ "storage-driver": "overlay2", "storage-opts": [ "overlay2.override_kernel_check=true" ] }

6.2 日志轮转策略

除了基本的日志大小限制外，建议增加定期清理任务：

# 创建日志清理脚本 cat > /etc/cron.daily/docker-log-clean <<EOF #!/bin/sh find /var/lib/docker/containers/ -name '*.log' -size +200M -delete EOF # 添加执行权限 chmod +x /etc/cron.daily/docker-log-clean

6.3 离线环境下的镜像管理技巧

虽然本文聚焦离线安装，但后续的镜像管理同样重要：

# 保存镜像到文件 docker save -o nginx.tar nginx:latest # 从文件加载镜像 docker load -i nginx.tar # 查看已加载镜像 docker images

在多个项目中使用相同基础镜像时，这种离线管理方式能显著提升效率。