GitLab self-hosted на офшорном VPS: полный контроль над репозиториями

Публичные платформы git удобны для open-source проектов, но для коммерческих и закрытых разработок выбор всё чаще падает на self-hosted GitLab на собственном VPS. Причины простые:

• Исходный код остаётся у вас: ни Microsoft, ни GitLab Inc не имеют доступа к репозиториям. Никаких sub poena от иностранных судов и никакого ML обучения на вашем коде.
• Никаких лимитов на CI/CD минуты: на собственном VPS вы запускаете runner столько, сколько влезает в железо. Бесплатные тарифы SaaS дают 400 минут в месяц, чего хватает на 2-3 серьёзных pipeline.
• Контроль над registry: Docker образы лежат на вашем сервере, не качаются через интернет на каждый деплой и не зависят от тарифа облака.
• Юрисдикция вне Five Eyes: Anubiz Host размещает VPS в Исландии и Румынии, обе страны не входят в разведывательные альянсы FVEY и Nine Eyes.
• Открытые порты для webhook: вы свободно настраиваете integration с Slack, Mattermost, Telegram, Jenkins без NAT и без обходных туннелей.

GitLab CE распространяется по открытой лицензии MIT-совместимой, и вы платите только за VPS. Anubiz Host принимает Bitcoin, Monero и USDT, регистрация только по email без подтверждения личности.

GitLab известен как тяжёлое приложение: внутри Omnibus пакета крутится PostgreSQL, Redis, Sidekiq, Puma, Gitaly, Workhorse и Nginx. Минимальные требования официальной документации:

• До 5 пользователей, личный проект: 4 vCPU, 8 ГБ RAM, 80 ГБ NVMe. План VPS L от $20/мес. Хватает на небольшую команду без интенсивного CI.
• 10-20 пользователей, активные pipeline: 6-8 vCPU, 16 ГБ RAM, 160 ГБ NVMe. План VPS XL от $35/мес. Сюда же выносим Container Registry.
• 30-50 пользователей, монорепозиторий: выделенный сервер от $90/мес с 32 ГБ RAM и ECC, плюс отдельный VPS для runner.
• SWAP обязателен: минимум 4 ГБ swap файл, иначе Sidekiq и Puma убиваются OOM killer при пиковых сборках.

Anubiz Host выделяет KVM VPS с гарантированными ресурсами и NVMe дисками. Это критично для Gitaly, который читает миллионы мелких файлов при операциях git clone и pull. На медленных SATA операции CI пайплайна замедляются в 3-5 раз.

GitLab сервер с исходным кодом коммерческого проекта это самая ценная цель для атакующего. Базовый чеклист защиты, который применяем на всех VPS Anubiz Host:

• HTTPS через Let's Encrypt: Omnibus умеет автоматически выписывать сертификат, ставим external_url 'https://gitlab.example.com' и letsencrypt['enable'] = true.
• Закрытая регистрация: в Admin Settings отключаем sign-up, пользователей создаём вручную или через SAML/LDAP интеграцию.
• 2FA обязательный для admin: Settings - Sign-in restrictions - Two-factor authentication required for administrators.
• Cloudflare Zero Trust или WireGuard: панель GitLab доступна только из закрытой VPN сети команды. Открытый GitLab на белом IP получает сканы и попытки CVE эксплойтов каждые несколько минут.
• Регулярный backup gitlab-rake gitlab:backup:create: ежедневно через cron, шифруем gpg и выгружаем на офшорное S3.
• Аудит интеграций и webhook: раз в квартал проверяем personal access token и удаляем неиспользуемые.
• SSH ключи только Ed25519: RSA меньше 4096 бит блокируем на уровне sshd_config GitLab Shell.

Anubiz Host не имеет доступа к данным внутри VPS клиента, не хранит логи git операций и не отвечает на запросы без официальной процедуры MLAT в Исландии. Это даёт командам максимальную защиту от случайных и целевых утечек.