Drone CI self-hosted на офшорном VPS: лёгкий CI/CD без облака

Drone CI задумывался как cloud-native альтернатива Jenkins с упором на простоту и контейнерные pipeline. Сравнение:

• Drone vs Jenkins: Drone использует YAML файл .drone.yml в репозитории, без громоздкого web UI для настройки job. Лёгкий single binary против Java-приложения с JVM heap.
• Drone vs GitLab CI: Drone работает с любым git сервером (GitLab, Gitea, GitHub, Bitbucket), GitLab CI привязан к своему GitLab серверу.
• Drone vs Tekton: Tekton мощнее для Kubernetes-native, но сложнее. Drone проще для команды до 50 человек.
• Ресурсы: Drone server потребляет ~256 МБ RAM, тогда как Jenkins начинает с 1-2 ГБ. Runner масштабируется по запросу.

Self-hosted Drone на офшорном VPS Anubiz Host даёт команде CI/CD платформу с минимальными требованиями к железу и максимальной приватностью pipeline и секретов.

Drone состоит из двух компонентов: drone-server (управляет job) и drone-runner (исполняет pipeline в Docker). Минимальные требования:

• Минимум для маленькой команды: 2 vCPU, 4 ГБ RAM, 50 ГБ NVMe. План VPS M от $12/мес. Server + Docker runner на одном VPS.
• Команда 10-20, активный CI: 4 vCPU, 8 ГБ RAM, 100 ГБ NVMe. План VPS L от $20/мес. Concurrent pipeline 4-6.
• Большая инсталляция: server на VPS M, runner на отдельных VPS L масштабируем по нагрузке.
• Docker storage: минимум 50 ГБ под /var/lib/docker. На активном CI образы быстро забивают диск.
• Резерв под кэш и артефакты: минимум 30 ГБ под промежуточные данные pipeline.

Anubiz Host выделяет KVM VPS с гарантированным CPU и NVMe, что критично для скорости Docker layer cache и git clone. Открытые порты позволяют webhook от внешних git серверов работать без NAT.

Drone имеет доступ к исходному коду, секретам и Docker daemon. Компрометация Drone означает компрометацию pipeline. Базовый чеклист защиты на VPS Anubiz Host:

• HTTPS обязательно: Drone сам поддерживает Let's Encrypt через DRONE_TLS_AUTOCERT=true или ставим Caddy перед server.
• Restricted user list: DRONE_USER_FILTER=username1,username2 запрещает чужим пользователям git сервера логиниться в Drone.
• Repository whitelist: DRONE_REPOSITORY_FILTER ограничивает список активируемых репозиториев.
• Secrets per repo и per organization: чувствительные данные не выводим в обычные env, используем drone secret add с маскированием в логах.
• Trusted pipeline только для main: privileged Docker и доступ к Host network включаем только в защищённых ветках.
• Rootless Docker runner: запускаем drone-runner-docker от непривилегированного пользователя или используем Kaniko для сборки образов без daemon.
• WireGuard для admin доступа: Drone UI только из закрытой VPN сети команды, на публичном IP отдаём только webhook endpoint.
• Audit log в external syslog: копия событий уходит на отдельный VPS.

Anubiz Host не имеет доступа к данным внутри VPS клиента и не хранит логи pipeline. Юрисдикция Исландии и оплата криптой дают команде защиту от запросов регуляторов и утечек через билинг.