Nexus Repository на офшорном VPS: универсальный хостинг артефактов

Sonatype Nexus Repository OSS это бесплатная open-source версия с поддержкой Maven, npm, Docker, PyPI, NuGet, RubyGems, Helm, Yum, Apt и других форматов. Сравнение с альтернативами:

• Nexus OSS vs Artifactory: Artifactory мощнее по функциям, но Pro начинается от $98/мес/пользователь. Nexus OSS бесплатно покрывает 90% задач команды до 50 человек.
• Nexus vs Verdaccio: Verdaccio только npm, Nexus поддерживает 15+ форматов под одной крышей.
• Nexus vs прямой pull из Maven Central: npm/PyPI/Maven Central переживают периодические outages. Nexus как proxy с кэшем продолжает работать локально.
• Nexus vs GitHub Packages: GitHub Packages привязывает артефакты к GitHub аккаунту с бесплатными лимитами 500 МБ. Nexus на собственном VPS лимиты ставите вы.

Self-hosted Nexus на офшорном VPS Anubiz Host даёт команде локальный кэш всех зависимостей, что ускоряет CI в 3-5 раз и снижает риски supply chain атак через подмену библиотек в публичных registry.

Nexus написан на Java и требует JVM. Расход памяти зависит от количества репозиториев и интенсивности использования:

• Минимум для маленькой команды: 2 vCPU, 4 ГБ RAM, 80 ГБ NVMe. План VPS M от $12/мес. Heap 2 ГБ.
• Команда 10-30, активный CI: 4 vCPU, 8 ГБ RAM, 200 ГБ NVMe. План VPS L от $20/мес. Heap 4 ГБ.
• Большая инсталляция, 100+ репозиториев: 8 vCPU, 16 ГБ RAM, 500 ГБ NVMe. План VPS XL от $35/мес. Heap 8 ГБ.
• Хранилище под артефакты: Maven и Docker репозитории быстро растут. Резервируем минимум 200 ГБ под /opt/sonatype-work.
• SWAP важен: минимум 4 ГБ swap файл, защищает от OOM kill при пиковых загрузках.

Anubiz Host выделяет KVM VPS с гарантированным CPU и NVMe дисками, что критично для скорости отдачи артефактов в CI кластеры. Гарантированная полоса 1 Gbps снимает узкие места при параллельном pull десятков мегабайтных JAR файлов.

Nexus Repository это критическая часть supply chain команды. Компрометация Nexus позволяет атакующему подменить зависимости и заразить весь build процесс. Базовый чеклист защиты на VPS Anubiz Host:

• HTTPS обязательно: Nginx или Caddy с Let's Encrypt перед Nexus на порту 443. Прямой доступ к 8081 закрыт iptables.
• Закрытая регистрация: в Security - Realms оставляем только Local Authentication и LDAP/SAML. Анонимный pull опционально для внутренней сети.
• 2FA для admin: через external LDAP/SAML провайдер с TOTP.
• Cleanup policy: удаляем старые snapshot версии, ограничиваем количество хранимых версий per artifact.
• Routing rules для блокировки suspicious пакетов: блокируем package names с typosquatting рисками (lod ash вместо lodash).
• Integrity check: SHA-512 проверка для всех загруженных артефактов, особенно npm и PyPI где встречаются malicious пакеты.
• Audit log в external syslog: копия событий security уходит на отдельный VPS.
• Регулярный backup blobstore и БД: ежедневно через cron, шифруем gpg и выгружаем на офшорное S3.

Anubiz Host не имеет доступа к данным внутри VPS клиента и не хранит логи pull/push операций. Юрисдикция Исландии и оплата криптой дают команде защиту от запросов регуляторов и утечек через билинг.