Go Modules 拉取私有仓库

1. 当前问题

Go Modules 在拉取私有仓库时，默认使用 HTTPS 协议。这会导致以下问题：

• 认证配置复杂：未配置认证信息时，需要手动输入用户名和密码；在 CI/CD 等自动化场景下无法交互式输入
• 无法利用 SSH Key：对于已配置 SSH Key 的开发者，HTTPS 方式无法直接使用已有的 SSH 认证，需要额外配置 Token 或密码
• 可能走公共代理：Go 可能尝试通过公共代理（如 proxy.golang.org）拉取私有仓库，导致认证失败或访问被拒绝

2. 前置配置：设置 GOPRIVATE

重要：在配置认证方式之前，必须先设置 GOPRIVATE，告诉 Go 哪些仓库是私有的，避免走公共代理。

# 示例：设置私有仓库域名（支持通配符和路径前缀）
# GitLab：整个域名都是私有的
go env -w GOPRIVATE=gitlab.com

# GitHub：只有特定组织/用户的私有仓库需要声明
go env -w GOPRIVATE=github.com/your-org

# 企业内网：使用通配符
go env -w GOPRIVATE=*.your-company.com

# 多个值用逗号分隔
go env -w GOPRIVATE=gitlab.com,github.com/your-org,*.your-company.com

# 查看当前配置
go env GOPRIVATE

说明：

• GOPRIVATE 中的仓库会绕过 GOPROXY 和 GOSUMDB
• 支持通配符（如 *.company.com）和路径前缀（如 github.com/your-org）
• 多个值用逗号分隔
• GitHub 说明：只有需要拉取 GitHub 上的私有仓库时才需要声明，应使用具体路径（如 github.com/your-org 或 github.com/your-username），而不是整个 github.com（因为 GitHub 上大部分是公共仓库）

3. 解决方法

3.1 使用 .netrc 文件（HTTPS 协议）

如果你选择继续使用 HTTPS 协议，可以通过 .netrc 文件自动提供认证信息。

创建/编辑 .netrc 文件

macOS/Linux：

# 创建或编辑 ~/.netrc
vim ~/.netrc

Windows：

# 创建或编辑 %USERPROFILE%\_netrc
notepad %USERPROFILE%\_netrc

配置格式

machine git.example.com
login your-username
password your-token-or-password

machine github.com
login your-username
password your-personal-access-token

注意事项：

• 使用 Personal Access Token（PAT）比直接使用密码更安全
• 确保 .netrc 文件权限正确（macOS/Linux：chmod 600 ~/.netrc）
• 每个 Git 服务器需要单独配置

3.2 将 HTTPS 转换为 SSH 拉取（推荐）

这是更推荐的方式，利用已有的 SSH Key 认证，无需管理密码或 Token。

配置 Git URL 重写规则

通过 git config 设置全局 URL 重写规则，将 HTTPS URL 自动转换为 SSH：

# 针对特定域名（推荐）
git config --global url."git@github.com:".insteadOf "https://github.com/"
git config --global url."git@gitlab.com:".insteadOf "https://gitlab.com/"
git config --global url."git@gitee.com:".insteadOf "https://gitee.com/"

# 针对私有 Git 服务器（标准 22 端口）
git config --global url."git@your-git-server.com:".insteadOf "https://your-git-server.com/"

# 针对非标准端口（如 2222，需要使用 ssh:// 前缀）
git config --global url."ssh://git@git.example.com:2222/".insteadOf "https://git.example.com/"

注意：

• 标准 22 端口：使用 git@host: 格式（无需 ssh:// 前缀）
• 非标准端口：必须使用 ssh://git@host:port/ 格式（需要 ssh:// 前缀）

验证配置

# 查看所有 URL 重写规则
git config --global --get-regexp url

配置成功后，当你执行 go get 或 go mod tidy 时，Go 会自动使用 SSH 协议拉取代码。

4. 其他操作

4.1 测试 SSH 连接

使用 SSH 方式前，确保 SSH Key 已配置且可正常连接：

# 测试标准端口（22）
ssh -T git@github.com
ssh -T git@gitlab.com

# 测试非标准端口（如 2222）
ssh -T 'ssh://git@git.example.com:2222'

4.2 删除错误的 Git 配置

删除 URL 重写规则

# 删除特定规则
git config --global --unset url."ssh://git@git.example.com:2222/".insteadOf

# 查看所有 URL 相关配置
git config --global --get-regexp url

# 删除所有 URL 重写规则（谨慎使用）
git config --global --remove-section url

5. 最佳实践

1. 先设置 GOPRIVATE：这是拉取私有仓库的前提，必须首先配置。
2. 优先使用 SSH：如果你已有 SSH Key，推荐使用 3.2 的方法，更安全且无需管理密码/Token。
3. 使用 PAT 而非密码：如果必须使用 HTTPS，使用 Personal Access Token 替代密码。
4. 保护敏感信息：确保 .netrc 文件权限正确（chmod 600），不要提交到版本控制。
5. 验证配置：配置完成后，用 go get 测试拉取私有仓库，确认能正常工作。