K3s кластер на офшорных VPS: production Kubernetes без сложности

Kubernetes имеет несколько дистрибутивов с разной сложностью. Сравнение K3s с альтернативами:

• K3s vs полный Kubernetes (kubeadm): K3s один binary меньше 100 МБ, kubeadm 10+ компонентов и сложная настройка. K3s ставится за 5 минут, kubeadm за час+.
• K3s vs k0s: оба легковесные, K3s популярнее и имеет больше community, k0s немного быстрее на больших кластерах.
• K3s vs MicroK8s: MicroK8s от Canonical, добавляет lot of addons, тяжелее по RAM. K3s минималистичнее.
• K3s vs managed EKS/AKS/GKE: managed решения убирают complexity, но требуют KYC и привязки карты. K3s self-hosted даёт полный контроль и приватность.
• Compatibility: K3s сертифицирован CNCF, kubectl и Helm работают идентично с полным k8s. Большинство приложений мигрируется без изменений.

Self-hosted K3s кластер на офшорных VPS Anubiz Host даёт команде production Kubernetes с юрисдикцией Исландии и без подписочной модели. Идеально для команд 5-50 человек с приватными workload.

K3s поддерживает single-server и multi-server режимы. Минимальные архитектуры:

• Single-node для разработки: 1 VPS M, 2 vCPU, 4 ГБ RAM, 80 ГБ NVMe. От $12/мес. Server и agent на одной ноде, SQLite backend.
• Single-server + 2 worker: 1 VPS M под server, 2 VPS L под worker. От $52/мес за весь кластер. Достаточно для команды 5-15 человек.
• HA control plane 3 server: 3 VPS M по 2 vCPU и 4 ГБ RAM с embedded etcd. От $36/мес за control plane plus отдельные worker.
• Production команда 30+: 3 VPS L под control plane plus 5+ VPS L под worker. Около $140/мес за весь кластер.
• Хранилище: local-path storage по умолчанию, для production выносим Longhorn или Ceph на отдельные ноды.

Anubiz Host выделяет VPS с гарантированным CPU, NVMe и гарантированной полосой 1 Gbps. Открытые порты 6443, 2379-2380, 10250 для k8s API, etcd и kubelet работают между нодами без NAT. Полный root для начальной установки.

Kubernetes кластер с production workload это критическая инфраструктура. Базовый чеклист защиты K3s на VPS Anubiz Host:

• Disable default Traefik ingress: ставим --disable=traefik и устанавливаем свой ingress controller (nginx, Traefik 3, или Cloudflare Tunnel) с тонкой настройкой.
• Restrict kubeconfig: /etc/rancher/k3s/k3s.yaml с правами 600 и доступом только root.
• NetworkPolicy включён: default deny между namespace, разрешаем только нужные подключения.
• Pod Security Standards: в каждом namespace label pod-security.kubernetes.io/enforce: restricted блокирует privileged контейнеры.
• RBAC по namespace: разные команды имеют доступ только к своим namespace через ServiceAccount и Role.
• Encrypt secrets at rest: --secrets-encryption=true и регулярная ротация encryption key.
• WireGuard между нодами: control plane traffic через encrypted VPN, особенно для multi-DC кластеров.
• Audit log: --audit-log-path и --audit-policy-file, копия логов в external syslog на отдельный VPS.
• Регулярный backup etcd: k3s etcd-snapshot save ежедневно, шифрование gpg, выгрузка на офшорное S3.
• Image policy: только signed образы из своего Harbor registry через cosign verify.

Anubiz Host не имеет доступа к workload внутри K3s кластера клиента и не хранит логи k8s API. Юрисдикция Исландии и оплата криптой защищают кластер от запросов регуляторов и утечек через билинг.