Composer 的 repositories 配置支持多个镜像,但不支持“自动轮询”或“故障转移”
Composer 本身没有内置的多镜像优先级调度机制。当你在 composer.json 或全局配置中定义多个 repositories,它只会按顺序查找第一个匹配包的源,**不会回退到下一个**——除非第一个源明确返回“包不存在”(404),而不是超时、500 或网络错误。
常见误解是加几个国内镜像就能“自动选最快的”,实际不是。真实行为取决于:
– 包是否在该源中同步(如 packagist.org 上的新包,阿里云镜像可能延迟数分钟)
– 该源返回的是 404 还是其他错误
– 是否启用了 packagist.org 作为 fallback(默认开启)
- 若你把阿里云镜像放在第一位,但某私有包只在公司内网源存在,而阿里云返回 404,Composer 才会查下一个
- 若阿里云因超时卡住(比如 DNS 解析失败),Composer 默认等待 30 秒后报错,根本不会尝试第二个源
-
packagist.org始终是隐式兜底源,除非你显式禁用:"packagist.org": false
如何手动设置镜像优先级:改 repositories 数组顺序 + 精确控制 fallback
优先级完全由 repositories 数组中的位置决定:靠前的先查,靠后的仅在前面返回 404 时启用。关键是要让每个源只负责自己能提供的包,避免无效等待。
典型安全写法(放在项目 composer.json 中):
{
"repositories": [
{"type": "composer", "url": "https://mirrors.aliyun.com/composer/"},
{"type": "composer", "url": "https://packagist.phpcomposer.com/"},
{"type": "composer", "url": "https://packagist.org/", "packagist": false},
{"type": "package", "package": {...}}
],
"config": {
"secure-http": true
}
}
- 前两个是国内镜像,按响应速度/稳定性排序(阿里云通常比腾讯云快)
- 第三项显式启用
packagist.org,但设"packagist": false表示不把它当作默认源,只作兜底 - 最后一项是私有包,用
"type": "package"直接声明,避免走任何镜像查找
⚠️ 注意:packagist.org 必须显式列出才能生效;只靠默认行为不可控。
全局镜像配置 vs 项目级配置:哪个优先?
项目级 composer.json 中的 repositories **完全覆盖**全局配置(~/.composer/config.json),不是合并。也就是说,只要项目里写了 repositories,全局镜像就失效了。
- 想保留全局镜像 + 增加项目私有源?必须在项目
composer.json里把全局镜像也复制一遍,并追加你的源 - 想临时禁用所有镜像,只用 packagist.org?删掉
repositories数组,或设为[]并确保没设"packagist.org": false - 检查当前生效的源:运行
composer config --list | grep repositories
调试镜像是否生效:看 composer install -vvv 的请求日志
真正知道哪个镜像被用了,不能靠猜。加 -vvv 后 Composer 会打印每一步的 HTTP 请求 URL 和状态码。
重点关注这几行:
Downloading https://mirrors.aliyun.com/composer/p2/myvendor/mypackage.json Downloading https://packagist.org/p2/myvendor/mypackage.json
- 如果只看到阿里云 URL,说明包在它那里命中了,没走到后面
- 如果先看到阿里云返回 404,再看到 packagist.org 的请求,说明 fallback 触发成功
- 如果卡在某个 URL 十几秒没反应,大概率是 DNS 或连接问题,不是优先级逻辑问题
此时该检查本地 DNS(如 114.114.114.114)、代理设置(HTTP_PROXY)、或镜像服务状态页(阿里云、华为云都有实时状态页)。
多镜像的本质不是“负载均衡”,而是“分层兜底”。最易忽略的一点:镜像同步延迟比网络慢更致命——一个包刚发布,你切到最快的镜像也没用,它还没同步过去。
