beego 默认无法直接绑定到 80 端口（因需 root 权限），推荐通过 apache 反向代理将 80 端口请求转发至 beego 的本地端口（如 8080），既安全又符合生产部署规范。

在 Linux 系统（如 Google Compute Engine 实例）中，端口号小于 1024（包括 80）属于特权端口，普通用户进程无权监听——这是内核强制的安全策略。因此，直接修改 Beego 的 conf/app.conf 中 httpport = 80 并以非 root 用户启动（如 bee run 或 ./myapp），将触发 ListenAndServe: permission denied 错误。

✅ 正确做法：保持 Beego 运行在非特权端口（如 8080），由 Apache 充当反向代理统一对外提供 80 端口服务。该方案无需提升应用权限、便于 SSL 终止、支持多站点共存，且符合云环境最佳实践。

一、配置 Beego 监听本地端口

确保 Beego 应用仅监听 127.0.0.1:8080（而非 0.0.0.0:8080），增强安全性：

# conf/app.conf
httpport = 8080
runmode = prod
autorender = false
copyrequestbody = true

构建并后台运行（禁用 bee run，改用编译后二进制）：

bee build -o myapp
nohup ./myapp > app.log 2>&1 &

二、配置 Apache 反向代理

启用必要模块（Ubuntu/Debian）：

sudo a2enmod proxy proxy_http proxy_balancer
sudo systemctl restart apache2

在虚拟主机配置中（如 /etc/apache2/sites-available/mybeego.conf）添加：

    ServerName your-domain.com
    ServerAlias www.your-domain.com

    # 静态资源可选：让 Apache 直接服务 public/ 下文件（提升性能）
    Alias /static /var/www/mybeego/static
    
        Require all granted
    

    # 反向代理核心配置
    ProxyPreserveHost On
    ProxyRequests Off
    ProxyPass /static !
    ProxyPass / http://127.0.0.1:8080/
    ProxyPassReverse / http://127.0.0.1:8080/

    # 可选：添加请求头，便于 Beego 识别真实客户端信息
    RequestHeader set X-Forwarded-Proto "http"

启用站点并重载：

sudo a2ensite mybeego.conf
sudo systemctl reload apache2

三、注意事项与加固建议

• ❌ 切勿使用 sudo ./myapp 启动 Beego：以 root 运行 Go 应用存在严重安全风险（如文件写入、系统调用越权）；
• ✅ 务必限制 Beego 绑定地址为 127.0.0.1（默认行为），避免外部直连内部端口；
• ? 若需 HTTPS，请在 Apache 层配置 Let’s Encrypt（certbot），Beego 无需改动；
• ? 生产环境建议配合 systemd 管理 Beego 进程（自动重启、日志轮转），而非 nohup；
• ⚠️ 检查防火墙（如 gcloud compute firewall-rules）是否放行 TCP 80 端口。

通过此架构，Apache 承担网络入口、负载均衡、SSL 终止等职责，Beego 专注业务逻辑，分工清晰、安全可控，是部署 Go Web 应用的标准范式。