需设置 GOPRIVATE 环境变量匹配私有仓库域名(如 git.example.com),并配置 git 凭证(SSH 或 .netrc);replace 目标也须在 GOPRIVATE 范围内,CI/CD 中需显式注入 GOPRIVATE 和认证信息。
go get 无法拉取私有仓库模块?先检查 GOPRIVATE 环境变量
Go 默认只信任 github.com、gitlab.com 等公开源,私有 Git 仓库(如 git.example.com/myorg/mymodule)会被自动走 proxy 检查,导致 403 或 “no matching versions” 错误。核心解法是让 Go 跳过代理和校验——这靠 GOPRIVATE 控制。
它不是开关,而是通配匹配规则,支持域名、路径前缀、glob 模式:
-
GOPRIVATE=git.example.com:匹配所有git.example.com/xxx -
GOPRIVATE=*.example.com:匹配git.example.com、dev.example.com -
GOPRIVATE=git.example.com/myorg/*:仅匹配该组织下模块
设置方式(推荐全局):
go env -w GOPRIVATE="git.example.com"
验证是否生效:go env GOPRIVATE 应输出对应值。若仍失败,说明匹配没对上——比如仓库地址是 https://git.example.com:8443/myorg/mymodule,而 GOPRIVATE 只写了 git.example.com,端口不影响匹配,但协议和路径前缀必须一致。
立即学习“go语言免费学习笔记(深入)”;
私有 Git 仓库需要认证?用 git config 配置凭证或 .netrc
Go 调用 go get 或 go mod download 时,底层由 git 命令拉代码。如果仓库要求 SSH key 或 HTTPS token,Go 不会自动透传,必须让 git 自己能访问。
常见方式有两种:
- SSH 方式:确保
git clone git@git.example.com:myorg/mymodule.git在终端能成功;~/.ssh/config中配置好 Host 别名和 IdentityFile - HTTPS + Token:用
git config --global credential.helper store后首次手动 clone 触发凭据保存;或直接写~/.netrc:
machine git.example.com login your-username password your-personal-access-token
注意:~/.netrc 权限必须是 600(chmod 600 ~/.netrc),否则 git 忽略它。Windows 用户需用 _netrc 且路径为 %HOME%\_netrc。
go.mod 中 replace 和 indirect 依赖引发的私有模块解析失败
当项目依赖链中某间接模块(indirect)指向私有仓库,但 go.mod 里没显式 require,go build 可能静默跳过拉取,直到运行时报错 “module not found”。更隐蔽的是 replace 写错路径——比如:
replace github.com/some/public => git.example.com/myorg/forked v1.2.0
这里 git.example.com/myorg/forked 若未在 GOPRIVATE 中声明,Go 仍会尝试走 proxy,导致替换失败。正确做法是:
- 确保
replace的目标路径也在GOPRIVATE范围内 - 避免用
replace指向未发布 tag 的 commit(应先git tag v1.2.0 && git push origin v1.2.0) - 执行
go mod tidy后检查go.sum是否包含该私有模块的校验行(格式如git.example.com/myorg/mymodule v0.1.0 h1:...)
CI/CD 环境下 GOPRIVATE 和凭证需显式注入
本地能跑不等于 CI 能跑。GitHub Actions、GitLab CI 等环境默认无 SSH agent、无 ~/.netrc、go env 为空。必须在 job 步骤中显式设置:
- GitHub Actions 示例:
- name: Set GOPRIVATE
run: go env -w GOPRIVATE="git.example.com"
- name: Configure git credentials
run: |
git config --global url."https://${{ secrets.GIT_TOKEN }}@git.example.com/".insteadOf "https://git.example.com/"GitLab CI 则常用 before_script 注入 GOPRIVATE 和 git config。关键点在于:凭证不能硬编码,必须通过 secret 注入;GOPRIVATE 必须在 go mod 命令之前生效;容器镜像若非最新版 Go(
最易忽略的是模块路径大小写——Go 对模块路径大小写敏感,而某些私有 Git 服务(如 Bitbucket Server)默认允许大小写混用,但 go.mod 里写的 git.example.com/MyOrg/mymodule 和实际仓库 URL git.example.com/myorg/mymodule 不一致,就会拉不到代码。
