Go 1.21+ 默认 GOPROXY 为 https://proxy.golang.org,direct,国内用户需显式配置国内镜像并保留 direct 作为兜底;企业内网应移除 direct 并确保代理覆盖全部依赖。
Go 1.21+ 的 GOPROXY 默认值已经变了
从 Go 1.21 开始,GOPROXY 默认值不再是空,而是 https://proxy.golang.org,direct。这意味着国内用户首次运行 go mod download 或 go build 时大概率会卡住或超时——因为 proxy.golang.org 在国内访问不稳定,且不支持 fallback 到 direct(即直连)的自动重试逻辑。
正确做法是显式覆盖为国内可用镜像,例如清华源或七牛云源:
go env -w GOPROXY=https://mirrors.tuna.tsinghua.edu.cn/goproxy/,https://goproxy.cn,direct
注意三点:
-
,分隔多个代理地址,Go 会按顺序尝试,直到第一个成功返回 -
direct必须放在最后,表示“如果所有代理都失败,则退回到直连模块服务器(如 github.com)” - 不要写成
https://goproxy.cn单一地址,缺少 fallback 容易因单点故障导致整个构建失败
为什么不能只用 go env -w GOPROXY=https://goproxy.cn
单独设置一个代理看似简洁,但实际生产中风险很高:
立即学习“go语言免费学习笔记(深入)”;
-
goproxy.cn虽然稳定,但偶尔会因 CDN 节点刷新、证书更新或上游模块同步延迟,返回404或503 - Go 不会在单个代理返回 404 后自动尝试
direct,它只会在网络连接失败(如 timeout / refused)时才轮到下一个代理 - 常见错误现象:
go: downloading example.com/v2 v2.1.0: reading https://goproxy.cn/example.com/v2/@v/v2.1.0.info: 404 Not Found,此时命令直接退出,不会 fallback
所以必须保留 direct 作为兜底,并至少配置两个独立镜像:
go env -w GOPROXY=https://goproxy.cn,https://mirrors.aliyun.com/goproxy/,direct
企业内网或 CI 环境要禁用 direct
在严格管控的内网或 CI 流水线中,直连公网(direct)可能被防火墙拦截或策略禁止。此时不能依赖 fallback,而应确保所有依赖都可通过代理命中。
操作要点:
- 移除
direct,只保留可信代理列表,例如:go env -w GOPROXY=https://my-goproxy.internal.company.com - 提前用
go mod vendor或go mod download -x验证是否所有模块都能被代理服务解析和缓存 - 若代理服务不支持私有模块(如
git.internal.company.com/mylib),需额外配置GONOSUMDB和GOINSECURE
典型组合:
go env -w GOPROXY=https://my-goproxy.internal.company.com
go env -w GONOSUMDB="git.internal.company.com/*"
go env -w GOINSECURE="git.internal.company.com"
go env -w 写入的是用户级配置,不是全局系统级
go env -w 修改的是当前用户的 GOROOT 或 HOME 下的 go/env 文件(具体路径可查 go env GOMODCACHE 所在父目录),对其他用户或 root 无效。
这意味着:
- 在 Docker 构建中,
go env -w必须出现在USER指令之后,且不能依赖宿主机环境 - CI 脚本里如果用
sudo运行 go 命令,需要先sudo -u $USER go env -w ...,否则配置不生效 - 临时覆盖比永久写入更安全:比如在 CI 中直接
GOPROXY=https://goproxy.cn,direct go build,避免污染环境变量
验证当前生效配置,始终用:
go env GOPROXY代理配置真正麻烦的不是设哪个地址,而是理解 Go 如何按序尝试、何时 fallback、以及
direct 在什么条件下才被触发——这些细节不看文档很容易掉进静默失败的坑。 
