Вот смотрю я Cloudflare Pages. Вроде и прикольная штука. Сделать статик сайтик на Gatsby.js или Next.js, и пихнуть в пейджес, но тогда нужно api держать на сабдомене. И тогда будут уродские урлы, аля api.domain.com/v1/auth
Из плюсов, есть быстрые ролбеки статики, api для работы через ci/cd, ну и статика на весь их эдж за секунду разливается.
Я фанбой systemd. Я помню те ужасные времена до systemd 😬😫, когда скрипты запуска нужно было писать самому, и каждый писал на свой манер. Сейчас же все унифицировано. 😙
Но я не об этом.
В своем проекте изначально я использовал докер и докер компоуз, что бы запускать свои Go сервисы и Nginx. Вначале было несколько сервисов, в контейнерах, и контейнер с Nginx, который раздавал статику, и проксировал запросы в контейнеры с Go.
Позже я отказался от множества сервисов в пользу одного. И запускать его в докере уже казалось оверхедом.
Дальше все было по классике - юзер, группа, и systemd unit, который запускает процесс от имени созданного под него юзера.
В дополнении ко всему, есть несколько инструкций, которые помогут обрести дополнительную изоляцию.
PrivateTmp=true поможет сделать темп доступен только этому процессу и никому больше. 😌
