离线安装 composer 需先在联网机下载校验 composer.phar 再拷贝至离线机;部署项目依赖须用 vendor/ + composer.lock,执行 composer install –no-plugins –no-scripts,并确保 php 环境一致。
离线安装 Composer 本身要分两步走
Composer 不是单个二进制文件,离线装它,核心是:先在有网机器上下载 composer.phar,再拷到目标机器。别试图用包管理器(如 apt/yum)离线装——它们默认依赖在线源,且版本老旧、不保证兼容 PHP 新特性。
常见错误现象:curl: (7) Failed to connect to getcomposer.org port 443 或执行 php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');" 直接失败。
- 推荐做法:在能联网的同 PHP 版本环境里,用官方脚本生成带哈希校验的
composer.phar - 命令顺序必须是:
php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"→php -r "if (hash_file('sha384', 'composer-setup.php') === 'e0012edf3e80b6978849f5eff0d4b4e4c79ff1609dd1f6a331a8365dfe33b4d8d826ad669113f128fd004e28787949af298b')(用当前官网提供的最新哈希值替换)→php composer-setup.php→php -r "unlink('composer-setup.php');" - 生成后直接把
composer.phar拷到离线机,加执行权限:chmod +x composer.phar,建议放系统路径如/usr/local/bin/composer(软链或重命名都行)
离线部署项目依赖靠 vendor + lock 文件组合
离线部署不是“不用网络”,而是“不依赖远程仓库”。关键在于:所有包必须提前下载好,且 composer.lock 必须存在、内容完整。没有 lock 文件,composer install 在离线时会报错 Could not find package ... in a version installable using your PHP version。
使用场景:CI 构建机拉完依赖后打包整个 vendor/ 和 composer.lock,传到生产服务器。
-
composer install是离线部署唯一合法命令;composer update必须禁用(它会连 packagist.org) - 确保
composer install执行前,vendor/是空的或已删干净——残留旧包可能引发 autoloader 冲突 - 若项目用了私有包(如 gitLab 私仓),需提前把对应 Git 仓库 clone 到本地,并在
composer.json中用path类型仓库声明:"repositories": [{"type": "path", "url": "/path/to/local/package"}] - PHP 版本和扩展(如
ext-zip、ext-openssl)必须与构建机一致,否则即使 vendor 完整,autoload.php也可能 require 失败
离线时 vendor 包体积大?压缩和校验不能省
vendor 动辄百 MB,传输中出错很难察觉。直接 tar.gz 不够,必须附带校验机制,否则解压后跑不起来,排查成本远高于多加一步。
性能影响:未压缩的 vendor 上传慢、占空间;但过度压缩(如 xz)会增加解压 CPU 开销,对低配服务器不友好。
- 推荐打包命令:
tar -czf vendor.tar.gz vendor/ && sha256sum vendor.tar.gz > vendor.tar.gz.sha256 - 离线机解压前先校验:
sha256sum -c vendor.tar.gz.sha256,失败就停,别硬解 - 别用
zip归档 —— windows 下换行符、权限位容易丢,tar在 linux/macos 下更可靠 - 如果项目含大量 dev-dependencies(如 phpunit),构建时加
--no-dev参数,减小体积、避免误引入测试类到生产环境
离线环境下插件和脚本执行常被忽略
有些包带 scripts(比如 post-install-cmd),或依赖 composer-plugin-api 的插件(如 hirak/prestissimo),这些在离线时不会自动跳过,反而会卡住或报错。
容易踩的坑:以为 vendor 拷过去就万事大吉,结果 composer install 卡在 “Loading plugin hirak/prestissimo” 或执行 php artisan optimize(laravel)失败。
- 构建阶段就禁用插件:
composer install --no-plugins --no-scripts,然后手动补运行必要脚本(如生成 autoload) - 确认
composer.json里没写死需要联网的脚本,例如调用curl或git pull的自定义命令 - 某些插件(如
composer-asset-plugin)已废弃,但旧项目 lock 文件里还留着,会导致离线 install 报Plugin installation failed,得手动删掉composer.lock里的相关条目再重试
事情说清了就结束。最麻烦的永远不是“怎么打包”,而是构建机和目标机之间 PHP 行为差异、扩展缺失、甚至 umask 导致的文件权限问题——这些没法靠文档覆盖,得真刀真枪比对 php -m 和 php --ini 输出。