在公网环境下,通过使用CentOS系统使用自带的包管理工具YUM/DNF,可以实现软件的高效安装、更新、卸载及依赖关系自动化处理。包管理工具优点是会自动检测并安装所需的依赖库,无需用户手动查找和安装每个依赖项,大大简化了安装过程。
在无公网情况下,包管理工具YUM/DNF无法访问CentOS系统默认源,安装软件包或者更新软件包,不管是使用rpm命令安装还是mark编译源代码安装,都无法避免人工处理依赖库问题。通过私有源的建设,可在无公网环境下实现高效、安全、可控的软件管理,解决软件安装难题。选择部署本地源还是私有源,可以根据实际情况选择:
1)设备数量少,各设备操作系统版本不一致,选择为设备部署本地源
2)设备数量多,各设备操作系统版本一致,选择为设备部署私有http源
1、准备工作
下载CentOS镜像
登录CentOS官方历史源,下载对应的发布版本(本文以CentOS7.6为例):
# 登录CentOS官网,选择对应的版本7.6.1810
https://vault.centos.org/7.6.1810/isos/x86_64/
# 选择要下载的iso镜像,建议选择everything版本
wget https://vault.centos.org/7.6.1810/isos/x86_64/CentOS-7-x86_64-Everything-1810.iso #下载镜像文件
# 下载iso镜像签名文件
wget https://vault.centos.org/7.6.1810/isos/x86_64/sha256sum.txt
wget https://vault.centos.org/7.6.1810/isos/x86_64/sha256sum.txt.asc
# 使用sha256sum和gpg核验iso镜像
sha256sum -c sha256sum.txt #验证iso镜像签名
gpg --verify sha256sum.txt.asc sha256sum.txt #验证sha256sum签名文件2、搭建本地源
1)、将下载的iso镜像文件上传到目标服务器的/home目录下,由于单个文件大小超过8G,确保目录下有足够的空间,上传前先检查下磁盘空间;
# 查看磁盘空间
sudo df -h2)、在/media目录下创建CentOS目录并挂载镜像文件到该目录下
# 创建挂载目录
sudo mkdir /media/CentOS
# 挂载iso镜像文件到/media/CentOS
sudo mount -o loop -t iso9660 /CentOS-7-x86_64-Everything-1810.iso /media/CentOS
参数解释:
'-o loop':镜像使用loop循环设备格式挂载
'-t iso9660':指定挂载镜像格式为iso9660格式 3)、编辑repo文件,设置本地源信息
# 进入repo文件目录
sudo cd /etc/yum.repos.d
# 备份默认的repo文件
sudo mkdir repo_bak #创建repo文件备份文件夹
sudo mv *.repo repo_bak #将目录下的repo文件移动到repo_bak目录
cp repo_bak/CentOS-Media.repo .. #复制CentOS-Media.repo到repo目录下
#编辑/etc/yum.repos.d/CentOS-Media.repo文件信息如下
[c7-media]
name=CentOS-$releasever - Media
baseurl=file:///media/CentOS/ # 本地介质挂载路径
# file:///media/cdrom/ # 备用路径(可添加多个路径)
# file:///media/cdrecorder/
gpgcheck=0 # 是否启用 GPG 签名校验
enabled=1 # 默认是否启用该仓库(0=禁用,1=启用)
gpgkey=file:///media/CentOS/RPM-GPG-KEY-CentOS-7 # GPG 公钥路径
保存并退出4)、验证本地源
#清理yum默认源缓存信息
sudo yum clean all
#重建本地源缓存
sudo yum makecache
#查看本地源列表
sudo yum repolist
#安装程序测试
yum -y install 软件包到此,已经完成本地源部署的所有操作。该配置没有做固化,设备重启就会失效,如果要永久使用,可以设置开机自动挂载:
# 将挂载命令写入/etc/rc.local
sudo echo "mount -o loop -t iso9660 /CentOS-7-x86_64-Everything-1810.iso /media/CentOS" >> /etc/rc.local
# 默认rc.local文件没有可执行权限,添加可执行权限
sudo chmod +x /etc/rc.d/rc.local3、搭建私有源
1)、安装搭建私有源需要的程序包HTTP服务器和仓库创建工具
# 参考'2、搭建本地源'完成本地源搭建,然后安装需要的工具
sudo yum install -y httpd createrepo2)、创建仓库目录并复制挂载后的镜像数据文件
# 创建私有源http数据目录
sudo mkdir -p /var/www/html/CentOS
# 设置目录权限
sudo chown -R apache:apache /var/www/html/CentOS
sudo chmod -R 755 /var/www/html/CentOS
# 复制镜像数据到目录下
sudo cp -av /mnt/* /var/www/html/CentOS/
# 生成仓库原始数据
sudo createrepo /var/www/html/CentOS/
3)、启动httpd服务并开启访问权限
# 启动httpd服务
sudo systemctl start httpd #启动服务
sudo systemctl enable httpd #设置自启动
# 开放防火墙访问策略,允许访问http服务
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload
# 开放apache的selinux上下文安全规则
sudo setsebool -P httpd_read_user_content 1
sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/html/CentOS(/.*)?"
sudo restorecon -Rv /var/www/html/CentOS4)、验证http私有源配置,通过在浏览器访问http://ip/CentOS,可以正常查看目录列表,则证明本地配置权限无误,下面可以到客户端进行配置。
5)、修改客户端repo文件
# 进入repo文件目录
sudo cd /etc/yum.repos.d
# 备份默认的repo文件
sudo mkdir repo_bak #创建repo文件备份文件夹
sudo mv *.repo repo_bak #将目录下的repo文件移动到repo_bak目录
# 创建新的repo文件local.repo
vi /etc/yum.repos.d/local.repo
添加如下内容:
[local-Base]
name=CentOS-$releasever - local
baseurl=http://<服务器ip>/CentOS/
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
enabled=1
gpgcheck=0
保存并退出6)、验证http私有源
#清理yum默认源缓存信息
sudo yum clean all
#重建http私有源缓存
sudo yum makecache
#查看私有源列表
sudo yum repolist
#安装程序测试
yum -y install 软件包到此,已经完成http私有源部署的所有操作。
使用CentOS官方镜像搭建私有http源或本地源,能确保的是源仓库中的软件包经过了严格的测试和验证,兼容性和安全性有保障。避免了人工手动安装程序时从不可信的第三方仓库下载安装软件包和依赖库文件,减少安全风险和版本冲突问题引入。同时可以通过定期下载官方安全更新包方式,保持本地源同步更新,确保终端使用包管理器更新系统中的软件包及其依赖库,所使用的是最新版本的库,及时修复安全漏洞和性能问题。
通过私有源的建设,实现高效、安全、可控的软件供应链管理是重要运维实践。