Go需配置GOPRIVATE声明私有域名、Git凭据(SSH/HTTPS)及验证直连;GOPRIVATE控制不走代理且跳过校验,Git凭据须支持git ls-remote,CI中需显式注入密钥并设GOPRIVATE。
Go 无法直接从私有 Git 仓库(如 GitHub Private、GitLab Self-Hosted、Bitbucket Server)拉取模块,除非显式配置认证和代理规则。核心在于告诉 go 命令:哪些域名属于私有模块、用什么凭据访问、是否跳过 HTTPS 验证(不推荐)。
设置 GOPRIVATE 环境变量
这是最关键的一步。Go 默认只对 github.com、golang.org 等公开域名走直连,其余全部尝试通过 proxy.golang.org 代理——而私有域名显然无法被代理解析。必须用 GOPRIVATE 显式声明“这些域名不走代理,且跳过校验”。
-
GOPRIVATE值是逗号分隔的 glob 模式,例如:gitlab.example.com,github.mycompany.com,*.internal - 支持通配符,但注意
*不匹配/,所以example.com不涵盖sub.example.com;需写成*.example.com - 在 shell 中设置:
export GOPRIVATE="git.myorg.com,*.mycompany.dev"
- 建议写入
~/.bashrc或~/.zshrc,避免每次重开终端都失效
配置 Git 凭据(SSH 或 HTTPS)
Go 调用 git 命令拉取代码,因此凭据由 Git 自身管理,Go 不参与账号密码输入。必须确保本地 git clone 能成功,Go 才能成功 go get。
- 优先用 SSH:将私钥加入
ssh-agent,并确认git@gitlab.example.com:group/repo.git可正常 clone - 若用 HTTPS(如公司 SSO 登录),需配置 Git 凭据存储:
git config --global credential.helper store
,然后首次git clone https://gitlab.example.com/group/repo.git输入账号密码,Git 会缓存 - 不要在
go.mod中写带用户名密码的 URL(如https://user:token@gitlab.example.com/repo),既不安全也不持久
验证 go get 是否真正走直连
常见错误是设置了 GOPRIVATE 却仍报 403 或 repository not found,本质是 Go 还在试图走代理或 Git 认证失败。
- 加
-v参数观察实际行为:go get -v gitlab.example.com/group/lib@v1.2.0
。如果看到Fetching https://proxy.golang.org/...,说明GOPRIVATE未生效或匹配不中 - 检查是否误设了
GOPROXY为direct:这会让所有模块都绕过代理,包括公开模块,不推荐;应保持GOPROXY=https://proxy.golang.org,direct,靠GOPRIVATE控制例外 - 执行
go env GOPRIVATE确认值正确,注意大小写和空格 - 若用自建 GitLab,还需确认仓库路径与模块路径一致(如
gitlab.example.com/group/lib对应module gitlab.example.com/group/lib)
CI/CD 环境中的注意事项
CI 流水线(如 GitHub Actions、GitLab CI)默认无交互式凭据输入,也无预装 SSH key,必须显式注入。
- GitHub Actions:用
ssh-keyscan+known_hosts配合部署密钥,或使用GH_TOKEN配置git config的 HTTPS 凭据 - GitLab CI:通过
CI_JOB_TOKEN构造https://gitlab.example.com/api/v4/projects/:id/repository/archive.zip下载,但更稳妥的是挂载 SSH key 并配置~/.ssh/config - 所有 CI 镜像中必须设置
GOPRIVATE,否则go mod download会卡在 proxy 查询阶段
最常被忽略的是:开发者本地 git clone 成功 ≠ go get 成功。因为 Go 会额外调用 git ls-remote 获取 tag 列表
ls-remote 同样有效,不能只依赖 SSH agent 的交互式登录。
