自建 Go module 代理服务端是企业内网必需,Athens 是最成熟实现;启动前须配置 AUTH_TOKEN、ATHENS_DISK_STORAGE_ROOT 权限和 ATHENS_GO_BINARY_PATH。
为什么直接用 go env -w GOPROXY=https://proxy.golang.org 不够用
企业内网无法访问外网代理,或需要缓存私有模块、审计依赖来源、拦截恶意包——这时候必须自建代理服务端。Athens 是目前最成熟的 Go module proxy 实现,不是简单起个 HTTP 服务就能转发请求,它要处理 go list -m 查询、.info/.mod/.zip 三类响应、校验和写入 go.sum 的一致性逻辑。
启动 Athens 服务前必须确认的三件事
Athens 启动看似一行命令,但漏掉任一配置都会导致 go get 失败或返回 404/500:
-
AUTH_TOKEN环境变量未设时,所有写操作(如go mod download触发的首次拉取)会被拒绝;不设就等于只读,但 Athens 默认是读写模式 -
ATHENS_DISK_STORAGE_ROOT路径权限不足,会导致mkdir /tmp/athens: permission denied错误,尤其在容器中没挂载 volume 时 - 没配
ATHENS_GO_BINARY_PATH,当请求一个尚未缓存的模块时,Athens 会调用本地go命令执行go list -m -json,若宿主机没装 Go 或版本太低(exec: "go": executable file not found
go proxy 配置里 direct 和 off 的真实含义
在 go env -w GOPROXY=https://my-athens.example.com,direct 中,direct 不是“直连”,而是“跳过代理,走 go 的默认下载逻辑”——即尝试从模块源仓库(如 GitHub)直接 git clone 或 https GET。这会绕过 Athens 缓存和鉴权,也失去日志与审计能力。如果想彻底禁用直连,必须写成 https://my-athens.example.com,off,此时遇到 Athens 里没有的模块,go get 直接失败,不会退回到源仓库。
常见误操作:把 off 写成 OFF 或 Off,Go 会忽略该段,等效于只配了 https://my-athens.example.com,仍可能 fallback 到 direct。
立即学习“go语言免费学习笔记(深入)”;
调试 Athens 返回 404 的最快路径
不是所有 404 都是模块不存在。先确认请求 URL 是否符合 Athens 要求格式:https://my-athens.example.com/github.com/user/repo/@v/v1.2.3.info。如果客户端发的是 /@v/v1.2.3.mod 但 Athens 日志显示没命中存储,重点查:
- 模块是否真的被请求过?Athens 默认 lazy cache,没人
go get就不会预抓取 - 检查
ATHENS_STORAGE_TYPE=redis时是否连上了 Redis,否则会静默降级为内存存储,重启即丢数据 - 用
curl -v https://my-athens.example.com/github.com/user/repo/@v/list看能否列出版本——这是最基础的健康检查点,失败说明路由或认证层已卡住
真正难排查的是 checksum mismatch:Athens 下载 zip 后计算 h1-xxx 和官方 proxy 不一致,这时 go get 会拒绝使用,但错误信息藏在 go 客户端日志里,需加 -x 参数才能看到具体比对过程。
