必须自建Go module proxy以保障CI/CD稳定和依赖拉取速度;推荐使用CNCF毕业项目Athens,支持缓存、私有模块、认证及多种存储后端,部署简单且安全合规。
公司内网无法访问 proxy.golang.org 或 goproxy.io 时,必须自建 Go module proxy 才能保障 CI/CD 流程稳定和开发机依赖拉取速度。直接用 goproxy.cn 这类公开代理不符合安全合规要求,而简单用 go mod download + rsync 同步又无法支持按需缓存、版本重写和私有模块托管。
用 athens 搭建企业级 Go proxy(推荐)
Athens 是 CNCF 毕业项目,专为私有 Go module proxy 设计,支持缓存、私有模块注入、HTTP 认证、磁盘/MinIO 存储后端,且不依赖数据库。它比自己用 Nginx + 静态文件方案更可靠,也比 goproxy(Go 实现的轻量 proxy)更适合中大型团队。
- 部署只需一个二进制文件,配置通过
config.dev.toml控制,核心参数包括:Proxy.Mode = "sync"(只缓存已请求模块)、Storage.Type = "disk"(默认路径./storage) - 启动命令:
./athens -config-file config.dev.toml
- 必须设置
GO111MODULE=on和GOPROXY=http://your-athens-host:3000,否则go build不会走代理 - 若需支持私有仓库(如 GitLab 内网地址),在
config.dev.toml中配置VCSClient并启用AllowedHostsFile白名单,否则 Athens 默认拒绝非 public 域名
GOPROXY 链式配置实现 fallback 与审计
生产环境不应只配单个 proxy 地址,否则内网 Athens 故障会导致全部构建失败。应使用逗号分隔的 fallback 链,并配合 direct 终止符控制行为。
- 推荐值:
GOPROXY="http://athens.internal:3000,https://goproxy.cn,direct" - 含义:先查内网 Athens;未命中则查
goproxy.cn(仅作应急,不用于日常);最后才尝试直连 Git(需确保GOINSECURE包含对应域名) - 注意:链中任意 proxy 返回 404 表示“该模块不存在”,不会继续往后试;但返回 5xx 或超时会跳到下一个
- 审计用途:可在 Athens 日志中 grep
"GET /github.com/xxx",结合公司 SSO 日志关联责任人,避免员工私自引入高危模块
私有模块发布与 replace 的边界问题
内网 proxy 本身不提供「发布」能力,私有模块仍需走 Git 推送。但开发者本地调试时容易误用 replace 覆盖远程路径,导致 CI 环境因缺失 replace 规则而构建失败。
立即学习“go语言免费学习笔记(深入)”;
- 正确做法:所有私有模块必须以合法 URL 形式存在(如
git.company.internal/group/lib),并确保 Athens 的AllowedHostsFile已放行该域名 -
go.mod中禁止出现replace github.com/public/lib => ./local-fork这类本地路径映射;CI 构建前可加检查:grep -q "replace.*=>" go.mod && exit 1 || true
- 若确需临时覆盖(如联调),应改用
go mod edit -replace并提交变更,而非在本地编辑go.mod
真正难的是权限收敛和存储清理——Athens 不自动删除旧版本,storage 目录半年可能涨到 200GB。别指望 cron 定期 rm -rf,得用 athens cleanup 子命令配合 --keep-since 参数做安全裁剪。另外,如果公司用了自签名证书的 GitLab,Athens 默认校验失败,必须在启动前设 GIT_SSL_NO_VERIFY=1 或把 CA 加入系统信任库。
