go私有模块仓库必须设置GOPRIVATE,否则go get强制走公共代理;需配置GOPRIVATE=域名或通配符,自建proxy可用nginx反向代理+模块协议,go mod vendor不解决拉取问题,须先go mod download。
Go私有模块仓库必须设置 GOPRIVATE
不设 GOPRIVATE,go get 会强制走 proxy.golang.org 和 checksum.golang.org,哪怕你配置了 GOINSECURE 或自建 sum.golang.org 替代服务也无济于事。这是 Go 1.13+ 的硬性策略。
正确做法是明确告诉 Go 哪些域名/路径不走公共代理:
- 在 shell 中执行:
go env -w GOPRIVATE=git.example.com,github.company.internal - 支持通配符:
go env -w GOPRIVATE="*.corp.example.com"(注意引号,避免 shell 展开) - 多个值用逗号分隔,不能有空格
- 该设置影响所有后续
go命令,包括go build时的依赖解析
自建 goproxy 服务只需三步(不用写代码)
主流方案是用 athens 或 ghproxy,但最轻量的是直接用 goproxy.cn 的开源镜像逻辑——其实你只需要一个反向代理 + 缓存,配合 go 的模块协议即可。
以 Nginx 为例,让 proxy.example.com 代理到你的 Git 服务器并启用模块模式:
立即学习“go语言免费学习笔记(深入)”;
location / { proxy_pass https://git.example.com/; proxy_set_header Host $host; # 关键:让 Go 客户端能识别为 module server add_header Vary Accept; }然后确保你的 Git 仓库根目录下有 go.mod,且远程 URL 是 https://proxy.example.com/your-org/your-repo。Go 会自动在该地址后拼 /@v/list、/@v/v1.2.3.info 等路径——这些请求由 Git 服务器或中间层响应(athens 就是干这个的)。
- 若用
athens,启动命令只需:athens-proxy -config-path=./config.toml -
config.toml中关键项:downloadmode = "sync"(避免 on-demand 拉取失败) - 务必禁用
athens的默认内存存储,改用disk或s3,否则重启即丢缓存
go mod vendor 不解决私有模块拉取问题
go mod vendor 只把当前 go.sum 记录的版本快照复制进 vendor/,但它**不验证或下载缺失的私有模块**。如果本地没拉过 git.example.com/foo,运行 go mod vendor 会直接报错:no required module provides package。
正确流程是:
- 先确保
GOPRIVATE已设好 - 运行
go mod download(会触发真实拉取,走你配的 Git 或 proxy) - 再运行
go mod vendor - CI 环境中建议加
go list -m all校验是否所有模块都已 resolve
另外,vendor/ 下不会保留私有模块的 Git 认证信息,所以 go build -mod=vendor 依然依赖环境能否访问原始 Git 地址——除非你用 go mod edit -replace 把私有路径映射到本地相对路径。
Git 认证失败时,go 默认不读 ~/.netrc
即使你配置了 git config --global credential.helper store,go 在 fetch 私有模块时仍可能因认证失败退出。原因是 Go 的 vcs 包不复用 Git 的凭据系统,而是自己解析 URL 并尝试 Basic Auth 或 ssh。
可靠解法只有两个:
- 在模块导入路径中嵌入凭证(仅限测试):
https://user:Token@git.example.com/your/repo—— 但go mod tidy会把它写进go.mod,极不安全 - 使用
git config配置insteadOf,把 HTTPS 路径重写为 SSH:git config --global url."git@git.example.com:".insteadOf "https://git.example.com/" - 确保
~/.ssh/config中对应 Host 已配好IdentityFile和IdentitiesOnly yes
注意:go 1.21+ 开始支持 git config credential.helper,但只对部分 helper 生效(如 libsecret),macOS Keychain 和 windows Git-Credential-Manager 仍不稳定。
最易忽略的一点:私有模块的 go.mod 文件里写的 module path 必须和实际 go get 时用的 URL 完全一致(包括端口、大小写、.git 后缀),否则 Go 会认为是不同模块,导致重复引入或版本冲突。