Composer如何在没有互联网的内网环境中使用?(私有仓库搭建指南)

1次阅读

satis更轻量可控,适合纯内网;private packagist依赖外网激活,离线受限。需替换packagist.org源、禁用fallback、清缓存、确保packages.json可访问且格式正确。

Composer如何在没有互联网的内网环境中使用?(私有仓库搭建指南)

私有 Packagist 服务必须用 Satis 还是 Private Packagist?

不用非得选,但 Satis 更轻量、更可控,适合纯内网场景;Private Packagist 是商业方案,依赖外网激活和定期 license 校验,离线环境基本不可用。

  • Satis 是静态生成器,只输出 packages.json 和一压缩包,部署到任意 http 服务(nginx/apache/甚至 Python -m http.server)就能用
  • Private Packagist 的 self-hosted 版本虽支持离线,但安装器本身要联网下载,首次 setup 后仍需定期连 vendor 服务器做 license heartbeat —— 内网断开后 30 天内会降级为只读
  • 如果你已有 git 仓库(如 gitea/gitlab),Satis 可直接拉取 tag 和 composer.json,无需额外维护元数据

如何让 composer install 完全不碰公网?

关键不是屏蔽网络,而是彻底重写包发现路径 —— 必须覆盖默认的 packagist.org 源,并禁用所有 fallback 行为。

  • 在项目根目录运行 composer config repo.packagist composer https://your-intranet/packagist/,这会把 packagist.org 替换为你的私有源地址
  • 立刻执行 composer config --global repo.packagist false,否则全局配置仍可能触发回退到公网
  • 检查 composer.json 中不能出现 "type": "package""dist" 指向公网 URL 的条目,这类定义会在 install 时直连下载
  • --no-plugins 参数启动,避免某些插件(如 composer-asset-plugin)偷偷加载外部资源

composer update 卡在 “Loading composer repositories” 怎么办?

这是最典型的离线失败信号,本质是 Composer 仍在尝试 HEAD 请求验证源可用性,哪怕你已配了私有地址。

  • 确认私有源根路径下存在可访问的 packages.json,且响应头包含 Content-Type: application/json,否则 Composer 会静默跳过该源
  • curl -I https://your-intranet/packagist/packages.json 验证状态码必须是 200,302 重定向或 401 会导致超时后自动 fallback 到 packagist.org
  • 如果私有源走 HTTPS 且用了自签名证书,必须在 PHP 的 openssl.cafile 中加入内网 CA 根证书,否则 cURL 层就失败,Composer 不报明确错误,只无限等待
  • 临时调试可加 -v 参数,看到类似 Downloading https://repo.packagist.org/packages.json 就说明配置没生效,不是网络问题,是源未正确注册

私有包版本更新后,composer update 为什么还是拉旧版?

因为 Composer 默认缓存 packages.json 一小时,且不会主动检测源文件变更 —— Satis 生成的索引不是实时 API,它是一次性快照。

  • 每次 Satis 构建后,必须手动清空 Composer 全局缓存:composer clear-cache,否则它继续读本地缓存的旧 packages.json
  • 不要依赖 composer update --with-dependencies 自动识别新 tag:Satis 默认只收录带 composer.json 的 tag,且要求 tag 名符合 v1.2.3 格式,1.2.3release-1.2.3 均无效
  • 若私有包用 path 类型本地开发,上线前务必改回 vcs 类型并指定 "url": "https://your-git/internal-package",否则 composer install --no-dev 在构建机上会因路径不存在而失败

内网环境下最麻烦的从来不是搭建,而是缓存链路上的每一环 —— PHP OPcache、Composer 自身 cache、HTTP 代理缓存、甚至浏览器对 packages.json 的 304 缓存,都可能让你反复看到“明明更新了却没生效”的现象。

text=ZqhQzanResources