一. Go module引入的幸福与“无奈”

在《Go 1.11中值得关注的几个变化》一文中，我们知道了Go语言通过引入module的概念进而引入了Go tool的另外一种工作模式module-aware mode。在新的工作模式下，Go module支持了Versioned Go，并初步解决了包依赖管理的问题。

对于全世界绝大多数Gophers来说，Go module的引入带来的都是满满的幸福感，但是对于位于中国大陆地区的Gopher来说，在这种幸福感袭来的同时，也夹带了一丝“无奈”。其原因在于module-aware mode下，go tool默认不再使用传统GOPATH下或top vendor下面的包了，而是在GOPATH/pkg/mod(go 1.11中是这个位置，也许以后版本这个位置会变动)下面寻找Go module的local cache。

由于众所周知的原因，在大陆地区我们无法直接通过go get命令或git clone获取到一些第三方包，这其中最常见的就是golang.org/x下面的各种优秀的包。但是在传统的GOPATH mode下，我们可以先从golang.org/x/xxx的mirror站点github.com/golang/xxx上git clone这些包，然后将其重命名为golang.org/x/xxx。这样也能勉强通过开发者本地的编译。又或将这些包放入vendor目录并提交到repo中，也能实现正确的构建。

但是go module引入后，一旦工作在module-aware mode下，go build将不care GOPATH下或是vendor下的包，而是到GOPATH/pkg/mod查询是否有module的cache，如果没有，则会去下载某个版本的module，而对于golang.org/x/xxx下面的module，在大陆地区往往会get失败。

有朋友可能会说，可以继续通过其他mirror站点下载再改名啊？理论上是可行的。但是现实中，这样做很繁琐。我们先来看看go module的专用本地缓存目录结构：

➜  /Users/tony/go/pkg/mod $tree -L 7
.
├── cache
│   └── download
│       └── golang.org
│           └── x
│               └── text
│                   └── @v
│                       ├── list
│                       ├── v0.1.0.info
│                       ├── v0.1.0.mod
│                       ├── v0.1.0.zip
│                       ├── v0.1.0.ziphash
│                       ├── v0.3.0.info
│                       ├── v0.3.0.mod
│                       ├── v0.3.0.zip
│                       └── v0.3.0.ziphash
└── golang.org
    └── x
        ├── text@v0.1.0
        └── text@v0.3.0

我们看到mod下的结构是经过精心设计的。cache/download下面存储了每个module的“元信息”以及每个module不同version的zip包。比如在这里，我们看到了golang.org/x/text这个module的v0.1.0和v0.3.0两个版本的元信息和对应的源码zip；同时mod下还直接存有text module的两个版本v0.1.0和v0.3.0的源码。

如果我们还像GOPATH mode下那种通过“mirror站下载再改名”的方式来满足go build的需求，那么我们需要手工分别制作某个module的不同版本的元信息以及源码目录，制作元信息时还要了解每个文件（比如：xx.info、xxx.mod等）的内容的生成机制，这样的方法的“体验”并不好。

二. “解铃还须系铃人” – 使用Go module proxy

那么问题来了：大陆Gopher如何能在go module开启的状态下享受go module带来的福利呢？ “解铃还须系铃人”！答案就在go 1.11中。Go 1.11在引入go module的同时，还引入了Go module proxy(go help goproxy）的概念。

go get命令默认情况下，无论是在gopath mode还是module-aware mode，都是直接从vcs服务(比如github、gitlab等)下载module的。但是Go 1.11中，我们可以通过设置GOPROXY环境变量来做一些改变：让Go命令从其他地方下载module。比如：

export GOPROXY=https://goproxy.io

一旦如上面设置生效后，后续go命令会通过go module download protocol与proxy交互下载特定版本的module。聪明的小伙伴们一定想到了。如果我们在某个国外VPS上搭建一个go module proxy server的实现，我们将可以通过该proxy下载到类似golang.org/x下面的module。与此同时，一些诸如从github.com上get package慢等次要的问题可能也被一并fix掉了。

显然Go官方加入go proxy的初衷并非为了解决中国大陆地区的下载qiang外包的烦恼的。但不可否认的是，GOPROXY让gopher在versioned go的基础上，对module和package的获取行为上增加了一层控制和干预能力。

三. Go module proxy的实现之一：athens

至于proxy具体带来怎样的控制和干预能力、给gopher带来哪些好处，就要看我们选择了哪种go module proxy的具体实现了。

当前go module proxy的一个受关注度较高的实现是微软Azure开发人员Aaron Schlesinger主导开源的athens。athens项目的目标是致力于建设一个联合的、组织良好的go proxy网络（而不是单一的global go module proxy），以提升gopher使用module的体验。athens项目重点关注于：

• Go module代理服务器的实现，用于边缘部署
• 一个带身份验证的module proxy的协议
• 一个module公证服务器，用来验证module源代码
• 满足企业级需求，提供一种方案让企业可以指定包含/排除的Go外部module列表

athens项目从今年8月份宣布开源到现在依旧很年轻，截止至本文发布时，athens刚刚发布了第一个Beta版本v0.2.0，还尚未发布正式的1.0.0版本。

接下来，我们来试用一下athens，并对其主要功能进行一些验证。

1. 安装athens

athens的工作原理并不复杂，athens在收到用户请求的时候，会检查本地缓存是否有对应版本的module，如果有，则直接返回应答；如果没有。则会向upstream vcs请求下载对应的module。获取成功后cache到本地，并給请求端返回应答。athens强调”immutable(不变性)”的理念。这样即便upstream vcs的原始module对应的repo被删除了或被force push破坏了，只要module缓存在athens自己的存储上了，客户端的module请求就会得到满足，gopher的build不会因为repo被删除而受到破坏。

athens目前提供了基于docker和基于k8s的安装方式（物理binary安装目前尚未提供）。我们选择在一个国外的VPS上使用docker方式安装athens:

# docker run -d -v /root/athens-storage:/var/lib/athens  -e ATHENS_DISK_STORAGE_ROOT=/var/lib/athens -e ATHENS_STORAGE_TYPE=disk  --name athens-proxy  --restart always -p 3000:3000    gomods/athens:v0.2.0
30cdcc55028de0028eae910758a6ee08ecaf960ab0e79a25e8a1353b8e8ff57c

# docker ps
CONTAINER ID        IMAGE                  COMMAND                  CREATED             STATUS              PORTS                    NAMES
30cdcc55028d        gomods/athens:v0.2.0   "athens-proxy -con..."   12 seconds ago      Up 12 seconds       0.0.0.0:3000->3000/tcp   athens-proxy

# docker logs -f athens-proxy
buffalo: Unless you set SESSION_SECRET env variable, your session storage is not protected!
time="2018-11-26T09:59:09Z" level=info msg="Exporter not specified. Traces won't be exported"
buffalo: Starting application at :3000

我们使用local disk作为athens的存储方案。我们在本地建立/root/athens-storage目录，并将其挂载到容器的/var/lib/athens路径下，并设定ATHENS_DISK_STORAGE_ROOT=/var/lib/athens。从athens container的启动日志来看，容器已经启动成功了！

2. 通过athens下载public repo中的module

接下来我们来验证一下通过athens获取public module。我们还使用gocmpp这个代码，它依赖golang.org/x/text module下面的package。

我们首先clean一下$GOPATH/pkg/mod，然后设置一下GOPROXY环境变量：

export GOPROXY=YOUR_VPS_IP:3000

接下来，我们进入到gocmpp目录下，执行go build：

$go build
go: finding golang.org/x/text v0.3.0
go: downloading golang.org/x/text v0.3.0

我们看到go compiler顺利下载了golang.org/x/text module相关文件。再来看一下athens的日志：

# docker logs -f athens-proxy

handler: GET /golang.org/x/text/@v/v0.3.0.info [200]
handler: GET /golang.org/x/text/@v/v0.3.0.mod [200]
handler: GET /golang.org/x/text/@v/v0.3.0.zip [200]

如果此时我们再次尝试通过athens获取text module，由于text module已经cache到了athens上，所以后续的get速度会很快。并且由于download protocol中获取module是通过get zip包的方式，理论上也要比clone repo快许多。

3. 通过athens下载private repo中的module

athens这个go module proxy的实现为module get行为提供的额外控制力之一就包括可以用来获取private repo中的module，这也是一个企业级的需求。通常企业private repo都是有身份验证的，因此我们需要在athens中配置访问private repo的账号和凭证信息。目前athens官方文档中提供了通过.netrc方式访问带有身份验证的private repo的功能，这种方式的不足之处就是要将password明文形式存储在athens部署的host上。

我用bitbucket上的一个private repo来模拟私有git仓库：bitbucket.org/bigwhite/mydog。

为了让athens可以正常访问该private repo，我们需要为athens做一些额外配置：添加.netrc。

我们创建.netrc文件：

//.netrc

machine bitbucket.org
  login MY_USERNAME1
  password MY_PASSWORD1
machine gitlab.com
  login MY_USERNAME2
  password MY_PASSWORD2

我们在.netrc中配置了我们访问各大repo service的user和password。

接下来，我们需要重新创建一下athens container：

先停掉并删除当前athens-proxy container：

# docker ps
CONTAINER ID        IMAGE                  COMMAND                  CREATED             STATUS              PORTS                    NAMES
30cdcc55028d        gomods/athens:v0.2.0   "athens-proxy -con..."   3 hours ago         Up 3 hours          0.0.0.0:3000->3000/tcp   athens-proxy

# docker stop athens-proxy
athens-proxy

# docker rm athens-proxy
athens-proxy

重新创建athens container时，我们将前面创建的.netrc挂载到container中，并通过ATHENS_NETRC_PATH指定container内.netrc的位置：

# docker run -d -v $ATHENS_STORAGE:/var/lib/athens  -v /root/athens-install:/root  -e ATHENS_NETRC_PATH=/root/.netrc -e ATHENS_DISK_STORAGE_ROOT=/var/lib/athens    -e ATHENS_STORAGE_TYPE=disk    --name athens-proxy    --restart always    -p 3000:3000    gomods/athens:v0.2.0
751c88648fd4075aa22ff3a4cc62f6467b50d415b6fbf465af247fc6a3978c2e

接下来，我们就来编写一个“驱动”程序：testmydog

$tree ./testmydog
./testmydog
├── go.mod
└── main.go

0 directories, 2 files

main.go的内容如下：

package main

import (
    "fmt"

    "bitbucket.org/bigwhite/mydog"
)

func main() {
    fmt.Println(mydog.Add(1, 2))
}

我们来构建一下该程序：

$go build
go: finding bitbucket.org/bigwhite/mydog latest
go: downloading bitbucket.org/bigwhite/mydog v0.0.0-20181126081441-684c772f5624

go命令从athens成功下载了我的私有repo中的mydog module。我们再来看看athens的日志：

handler: GET /bitbucket.org/bigwhite/mydog/@v/list/ [200]
handler: GET /bitbucket.org/bigwhite/mydog/@latest/ [200]
handler: GET /bitbucket.org/bigwhite/mydog/@v/v0.0.0-20181126081441-684c772f5624.zip [200]
handler: GET /bitbucket.org/bigwhite/mydog/@v/v0.0.0-20181126081441-684c772f5624.mod [200]

4 athens的global proxy

athens还提供了一个试验性的global public proxy：athens.azurefd.net供全球gopher使用。不过在我这里通过联通网络是无法ping通该proxy的：

$ping athens.azurefd.net
PING standard.t-0001.t-msedge.net (13.107.246.10): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
^C
--- standard.t-0001.t-msedge.net ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss

但是在我国外的VPS上，与该global proxy的通信是正常的：

# ping athens.azurefd.net
PING standard.t-0001.t-msedge.net (13.107.246.10) 56(84) bytes of data.
64 bytes from 13.107.246.10: icmp_seq=1 ttl=122 time=1.94 ms
64 bytes from 13.107.246.10: icmp_seq=2 ttl=122 time=1.21 ms
64 bytes from 13.107.246.10: icmp_seq=3 ttl=122 time=1.30 ms

--- standard.t-0001.t-msedge.net ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 1.217/1.491/1.949/0.328 ms

如果你是国内gopher，那么建议该global proxy还是先不要用了。

四. 另外一个go module proxy的实现：goproxy

github上还有另外一个go module proxy的实现：goproxy。该项目目前看仅是一个public module proxy，并未提供对private repo中module获取的支持。

不过该项目提供的global proxy: https://goproxy.io/ 却是可以在国内使用的，并且速度还很快！Gopher们只需将该proxy配置到GOPROXY中即可：

export GOPROXY=https://goproxy.io

五. 小结

和goproxy项目相比，athens项目显然有更大的“野心”，也有Microsoft这个平台作为背后支撑。但athens毕竟开发时间较短，还有很长之路要走。待Go module在Go 1.12中成型并成熟时，希望那个时候的athens项目能给我们带来更多惊喜。

我的网课“Kubernetes实战：高可用集群搭建、配置、运维与应用”在慕课网上线了，感谢小伙伴们学习支持！

我爱发短信：企业级短信平台定制开发专家 https://51smspush.com/
smspush : 可部署在企业内部的定制化短信平台，三网覆盖，不惧大并发接入，可定制扩展； 短信内容你来定，不再受约束, 接口丰富，支持长短信，签名可选。

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

我的联系方式：

微博：https://weibo.com/bigwhite20xx
微信公众号：iamtonybai
博客：tonybai.com
github: https://github.com/bigwhite

微信赞赏：

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。

距离我的第一门网课《Kubernetes基础：开启云原生之门》上线已经过去5个多月了，我的实战课《Kubernetes实战：高可用集群搭建、配置、运维与应用》终于在9月27日正式上线了。

一. 课程介绍

《Kubernetes实战：高可用集群搭建、配置、运维与应用》的课程内容与最初课程设计时规划的内容大纲没有太多出入，基本就是根据我最初的想法拟定的内容，这也基本是我这两年学习k8s、积累的k8s实践的路线。整个课程基于kubernetes 1.10.2版本(docker 17.03.2ce)。课程内容大致分为七个部分（与课程主页的课程目录结构稍有差异，但课程内容是一致的）：

第一章 搭建你的第一个Kubernetes集群

本章介绍了一个使用kubeadm引导的Kubernetes集群的搭建和基本配置方法。

• 1-1: 导学
• 1-2: 安装准备
• 1-3: 初始化集群master节点
• 1-4: 向集群加入worker节点
• 1-5: 安装dashboard和heapster
• 1-6: 验证集群安装结果

第二章 Kubernetes集群探索

本章对kubeadm初始化集群的原理进行了讲解，并对已经建立的k8s集群中的各个组件进行详细介绍，包括功用、原理和配置等

• 2-1: kubeadm init流程揭秘
• 2-2: kubeadm join流程揭秘
• 2-3: kubernetes核心组件详解
• 2-4: kubectl详解

第三章 Kubernetes网络、安全与存储
本章讲解k8s集群的三个难点：网络、安全与存储的概念和运行原理。

3-1：kubernetes集群网络

• 3-1-1: kubernetes集群的“三个网络”
• 3-1-2: kubernetes网络的设计要求
• 3-1-3: kubernetes网络实现
• 3-1-4: pod网络实现原理
• 3-1-5: pod网络方案对比
• 3-1-6: service网络实现原理

3-2: kubernetes集群安全

• 3-2-1: kube-apiserver安全模型
• 3-2-2: 传输安全
• 3-2-3: 身份验证
• 3-2-4: 授权
• 3-2-5: 准入控制

3-3 kubernets集群存储

• 3-3-1: Volume
• 3-3-2: PV和PVC
• 3-3-3: StorageClass和动态PV供给
• 3-3-4: Kubernetes存储模型

第四章 高可用Kubernetes集群搭建方案
本章介绍了什么是高可用k8s集群，并给出了一个可行的高可用Kubernetes集群的搭建方案。

• 4-1: 什么是高可用Kubernetes集群
• 4-2: 高可用Kubernetes集群方案

第五章 Kubernetes集群常见运维操作

本章讲解了Kubernetes集群的基本运维操作，包括node管理、service、pod管理、日志查看等。并讲解了面对k8s集群问题时如何做troubleshooting。

• 5-1: 管理Node与Label
• 5-2: 管理Namespace、Service和Pod
• 5-3: 计算资源管理
• 5-4: 查看事件和容器日志
• 5-5: 常用TroubleShooting方法

第六章 Kubernetes支撑云原生应用开发案例
本章讲解了Kubernetes集群的应用：支撑云原生应用开发。并通过实际操作讲解了镜像仓库、集中日志以及云应用治理框架的搭建和使用。

• 6-1: Kubernetes与云原生应用
• 6-2: 高可用私有镜像仓库搭建
• 6-3: 基于ElasticSearch Stack搭建集群Logging设施
• 6-4: 基于istio service mesh实现服务治理

第七章 课程回顾与总结

二. 做网课目的与课程思路

当初接下慕课商务的这门课主要是出于两个目的：

• 通过这门课程对自己的k8s学习和实践做一个阶段性的系统总结
• 尝试一下网课这个“新鲜”事物

现在看来，当初这两个“目的”都实现了。但是录制网课的确是件很“辛苦”的事情，不知道多少的夜晚和周末都留给了“网课资料编写和录制”。尤其是Kubernetes这个主题，讲起来“顾虑”很多：

• 和编程语言课不同，Kubernetes平台是个复杂的平台，外延生态很庞大。k8s概念多，如果不把概念和原理交待清楚、讲透彻，直接就上手操作，那样学习后，对k8s的理解仍然不会很深刻，很多问题仍然无法自己去解决，尤其是中高级阶段。 这就导致很多小伙伴认为课程概念讲解“有些多”；

• 生产环境中k8s集群有大有小，使用目的也是大不相同，安装方式也是有很多种(官方就列了10多种)，所在的网络环境以及使用的pod网络插件也是区别很大，遇到的问题更是千差万别，这里在准备 课程时也是思来想去，无法覆盖所有生产环境的所有情况。最后决定使用kubeadm搭建一个4节点的集群(使用weave network plugin)，可能能更好的满足初学者的需求，学员们更容易获取搭建这样一个 k8s环境所需的资源。而关于课程中实际操作部分重点集中在前面的k8s搭建、集群探索以及后面的k8s对云应用支撑的环节。所以如果小伙伴们的环境与课程不同，可以在课程后提问，我会尽量第一时间、细致的回答各位的问题。

• 关于时长，我在课程里尽量做到没有”废话“。现在的网课多根据“时长”定价（虽然不赞同，但是目前也没有一个更好的量化课程质量的方法）：比如10个小时以上可能就会定到399元，但是不足10小时，可能就在199元这个价位。于是我努力地将课程做到了“199”这个价位上了。对于真正想学习k8s的小伙伴们，这也许是一个“好消息”:)。

三. 课程小结

Kubernetes还在快速不断地演进！我个人觉得学完本门课程也仅仅是“Kubernetes实践之路”的一个开始而已！应用上云的趋势已经不可逆转，对于云应用开发人员来说，了解和学习Kubernetes就像当年单机时代开发人员要去了解PC操作系统一样重要！希望本门课程能给更多的开发者带去帮助！

我爱发短信：企业级短信平台定制开发专家 https://51smspush.com/
smspush : 可部署在企业内部的定制化短信平台，三网覆盖，不惧大并发接入，可定制扩展； 短信内容你来定，不再受约束, 接口丰富，支持长短信，签名可选。

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

我的联系方式：

微博：https://weibo.com/bigwhite20xx
微信公众号：iamtonybai
博客：tonybai.com
github: https://github.com/bigwhite

微信赞赏：

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。