HashiCorp Consul на офшорном VPS: service discovery и mesh без облака

Consul решает несколько задач, которые в монолитной архитектуре не возникают, но критичны для микросервисов:

• Service discovery: сервисы регистрируются в Consul и находят друг друга через DNS интерфейс или HTTP API, без хардкода IP адресов.
• Health checking: Consul пингует каждый сервис и удаляет нездоровые инстансы из ротации.
• KV store: распределённое хранилище конфигурации, простая альтернатива etcd или Zookeeper.
• Service mesh с Envoy: mTLS между сервисами, traffic shaping, observability.
• Multi-DC federation: один Consul кластер обслуживает несколько дата-центров с low-latency запросами в локальный DC.

Self-hosted Consul на офшорном VPS Anubiz Host даёт команде независимый service mesh без передачи данных HashiCorp Cloud или другому облачному провайдеру. Юрисдикция Исландии защищает конфигурацию сервисов от запросов иностранных регуляторов.

Consul использует Raft consensus, требует нечётное количество server нод (3 или 5). Минимальная архитектура:

• Тестовая инсталляция: 1 VPS S, 1 vCPU, 2 ГБ RAM, 40 ГБ NVMe. От $7/мес. Single-server режим только для dev.
• Production HA кластер 3 server: 3 VPS M по 2 vCPU и 4 ГБ RAM. От $36/мес. Tolerates loss of 1 server.
• Large production 5 server: 5 VPS L по 4 vCPU и 8 ГБ RAM. Около $100/мес. Tolerates loss of 2 server.
• Consul client agents: на каждой ноде приложения запускается consul agent в client mode, lightweight по ресурсам.
• Хранилище: Raft data растёт медленно, 20 ГБ хватает для кластера на 1000+ сервисов.

Anubiz Host выделяет VPS с гарантированным CPU и NVMe, что важно для Raft консенсуса. Открытые порты 8300-8302 (TCP+UDP) позволяют server gossip и Raft replication работать без NAT между нодами в разных дата-центрах.

Consul содержит описание всей инфраструктуры команды: список сервисов, их IP, ключи в KV store. Компрометация Consul означает разведку всей архитектуры. Базовый чеклист защиты на VPS Anubiz Host:

• TLS обязательно: между server и client, и для HTTP API. Сертификаты от Vault или внутреннего CA.
• Gossip encryption: consul keygen генерирует ключ, все ноды используют один и тот же. Без этого gossip трафик в plain text.
• ACL включён: default policy deny, токены с минимальными правами per service. Bootstrap токен хранится в Vault.
• Auto-encrypt для client: client agent получает свой TLS сертификат от server автоматически, не нужно raspilit вручную.
• WireGuard между server в разных DC: Raft replication через encrypted VPN снижает риск man-in-the-middle.
• Audit log: в Consul Enterprise встроенный, в OSS пишем через consul monitor в external syslog.
• Backup snapshot: ежедневно через consul snapshot save, шифруем gpg, выгружаем на офшорное S3.
• KV store не хранит секреты: чувствительные данные через Vault, в Consul KV только non-sensitive конфигурация.

Anubiz Host не имеет доступа к данным Consul кластера. Юрисдикция Исландии и оплата криптой защищают конфигурацию сервисов команды от запросов регуляторов.