Terraform self-hosted на офшорном VPS: альтернатива Terraform Cloud

Terraform Cloud free tier ограничен 500 ресурсами и базовыми возможностями. Платные тарифы стоят от $20/пользователь/месяц и требуют KYC при оплате картой. Self-hosted решение на офшорном VPS снимает эти ограничения:

• State файлы остаются у вас: S3 backend на офшорном объектном хранилище или просто PostgreSQL backend на том же VPS. Никаких state в чужом облаке.
• API ключи провайдеров под контролем: AWS access key, GCP service account, DigitalOcean token хранятся в Vault или sops, а не в Terraform Cloud workspace.
• OpenTofu вместо Terraform: форк под лицензией MPL 2.0 полностью совместим с Terraform 1.5, но без BSL ограничений HashiCorp.
• Atlantis для PR-driven workflow: запускаем atlantis server на VPS, он подхватывает webhook от GitLab или Gitea и автоматически делает terraform plan на каждый PR.
• Юрисдикция Исландии: state файлы с описанием всей инфраструктуры это лакомая цель для атак. Хранение в стране вне FVEY/Nine Eyes снижает риски юридических запросов.
• Оплата криптой: Bitcoin, Monero, USDT TRC20 без привязки карты к команде DevOps.

Anubiz Host выделяет VPS под Atlantis или TFC-like решения с гарантированным CPU, NVMe и открытыми портами для webhook. Регистрация только по email без подтверждения личности.

Минимальная боевая архитектура для команды 5-15 человек выглядит так:

• VPS S под Atlantis: 2 vCPU, 4 ГБ RAM, 40 ГБ NVMe. Atlantis сам по себе лёгкий, нагрузка приходит при terraform plan/apply.
• VPS M под backend state: 2 vCPU, 4 ГБ RAM, 80 ГБ NVMe с PostgreSQL или MinIO S3 backend. Шифрование на уровне БД и регулярный backup.
• VPS под Vault: 2 vCPU, 4 ГБ RAM, 40 ГБ NVMe. HashiCorp Vault или OpenBao для хранения секретов провайдеров. Доступ только через WireGuard.
• Кэш провайдеров и модулей: ~/.terraform.d/plugin-cache на отдельном томе минимум 20 ГБ. Ускоряет terraform init с минут до секунд.
• Reverse proxy Caddy или Nginx: публичный HTTPS endpoint только для webhook GitLab/Gitea. Admin панель Atlantis за WireGuard.

Все VPS Anubiz Host оснащены NVMe и гарантированными ресурсами CPU. Открытые порты позволяют webhook от внешних git серверов работать без NAT. Полный root даёт право поставить любые версии Terraform, OpenTofu, Atlantis и Vault.

Terraform state содержит полное описание инфраструктуры, включая публичные IP, имена пользователей и иногда секреты, которые не были помечены sensitive. Базовый чеклист защиты на VPS Anubiz Host:

• Шифрование state at rest: sops с GPG ключами или Vault transit secrets engine для шифрования tfstate перед записью в backend.
• State locking: PostgreSQL с advisory lock или DynamoDB-совместимый сервис на MinIO. Без lock параллельные terraform apply могут привести к corrupted state.
• Версионирование state: minio versioning или git репозиторий с шифрованным state. Откат после ошибочного apply критичен.
• Принцип наименьших прав: IAM политики провайдеров дают Atlantis только те permission, которые нужны для конкретного workspace.
• Audit log Atlantis: логируем каждый plan/apply в отдельный файл с ротацией. Хранение не дольше 90 дней.
• Защита webhook secret: Atlantis проверяет HMAC подпись от GitLab/Gitea, чтобы случайный POST с интернета не запустил terraform apply.
• 2FA и WireGuard для admin доступа: Atlantis UI только из закрытой VPN сети команды.

Anubiz Host не имеет доступа к state файлам или API ключам клиента. Юрисдикция Исландии и оплата криптой защищают команду DevOps от запросов иностранных регуляторов и утечек через билинг.