根本原因是composer默认需联网获取包元数据,离线时无法解析依赖;必须通过打包完整vendor/目录+lock文件,并用--no-interaction和--ignore-platform-reqs运行install来实现离线部署。
离线部署时 composer install 报错 “Could not find package”
根本原因是:默认情况下 composer install 会尝试从 packagist.org 或配置的仓库拉取包元数据和 ZIP,离线环境无法访问网络,就会卡在解析依赖阶段——哪怕本地有 vendor/ 和 composer.lock 也一样。
必须让 Composer 完全跳过远程元数据查询,只靠本地缓存和 lock 文件还原环境:
- 部署前在联网机器上执行
composer install --no-dev --prefer-dist --optimize-autoloader,确保vendor/完整且composer.lock是最新状态 - 把整个
vendor/目录 +composer.lock+composer.json一起打包传到离线机(vendor/不是可选的,它就是“离线依赖”的本体) - 离线机上不要运行
composer update或任何带网络行为的命令;composer install可以直接跑,但必须加--no-interaction和--ignore-platform-reqs(后者防因 PHP 扩展缺失中断)
composer install 在离线机上仍提示 missing ext-xxx
这是平台依赖检查触发的——Composer 默认校验当前 PHP 环境是否满足 composer.json 中 require 的扩展(如 ext-gd),而离线机可能没装全,导致安装中断,哪怕 vendor 已存在。
解决方式不是关掉检查,而是精准绕过不相关的部分:
- 用
--ignore-platform-reqs跳过所有扩展和 PHP 版本检查(最常用,适合你已确认环境兼容) - 如果只想忽略特定扩展,改用
--ignore-platform-req=ext-gd(支持多次出现) - 注意:
--ignore-platform-reqs不影响自动加载或运行时,它只跳过安装阶段的预检;真缺扩展,程序启动时照样报错
为什么不能只传 composer.lock 和 composer.json 到离线机?
因为 composer.lock 里只有哈希和版本号,没有实际代码。Composer 没法凭空生成 vendor/ ——它既不内置包源,也不支持“离线解压模式”。有人试过删掉 vendor/ 再 install,结果必然失败。
真正可行的轻量离线方案只有两种:
- 传完整
vendor/(推荐,简单可靠,适合 CI/CD 流水线输出) - 用
composer archive打 zip 包(需提前配置archive段落,且解压后仍要composer install --no-scripts补 autoloader)
别信“只要 lock 文件一致,版本就一定一致”——lock 文件一致只代表声明一致,不等于实际代码字节一致。不同时间、不同镜像源下载的 dist 包,SHA256 可能不同,composer install 会校验失败。
CI/CD 流水线中如何避免离线部署时的版本漂移?
关键不是锁文件本身,而是锁文件 + 下载源 + 构建环境三者绑定。常见漂移点:
- CI 使用国内镜像(如阿里云),而离线机配置了 packagist.org,导致同一
composer.lock解析出不同 ZIP URL - CI 用了
--prefer-source,离线机却用--prefer-dist,git clone 和 zip 解压路径结构不同,autoload 可能失效 - PHP 版本差异导致某些包的
require条件动态变化(比如某包在 PHP 8.1 下 require ext-opcache,在 8.0 下不 require)
稳妥做法:CI 构建时固定镜像源(composer config -g repo.packagist composer https://mirrors.aliyun.com/composer/),统一用 --prefer-dist,并记录构建用的 PHP 版本和 composer --version,这些信息要随包一起下发。
离线部署最不可省的一步:校验 vendor/ 目录完整性。可以用 composer show --installed --format=json | sha256sum 生成指纹,和 CI 输出比对——比单纯看 lock 文件靠谱得多。
