Как настроить SberCloud: пошаговая инструкция за один день

Развертывание инфраструктуры в облаке часто кажется долгим и сложным процессом, особенно для тех, кто только начинает работать с SberCloud. Однако при четком плане базовую, готовую к работе среду можно поднять буквально за один рабочий день. Эта инструкция проведет вас через ключевые этапы: от регистрации до развертывания тестового веб-приложения, с фокусом на лучшие практики безопасности и экономии.

Шаг 1: Регистрация и начальная настройка аккаунта (1 час). Первым делом зарегистрируйтесь на портале SberCloud. После подтверждения email и заполнения данных вам будет предоставлен доступ в личный кабинет. Немедленно настройте двухфакторную аутентификацию (2FA) для корневой учетной записи — это основа безопасности. Затем создайте первую организацию (если это необходимо для структурирования) и, что критически важно, создайте отдельного пользователя IAM (Identity and Access Management) с правами администратора для повседневной работы. Никогда не используйте учетную запись root для операционных задач. Назначьте этому пользователю сложный пароль и также включите для него 2FA. Сохраните доступы в надежном менеджере паролей.

Шаг 2: Создание проекта и настройка сети (2 часа). Внутри организации создайте новый проект, например, `prod-infra` или `dev-test`. Все ресурсы будут создаваться внутри проекта, что упрощает биллинг и управление. Перейдите в сервис Virtual Private Cloud (VPC). Создайте новую VPC, выбрав регион, близкий к вашим пользователям (например, Москва). Внутри VPC создайте как минимум две подсети: приватную и публичную. Для приватной подсети выберите диапазон CIDR, например, `10.0.1.0/24`. Для публичной — `10.0.2.0/24`. Это разделение — основа безопасной архитектуры. Серверы баз данных и внутренние сервисы будут размещены в приватной сети, а балансировщики нагрузки и bastion-хост — в публичной. Настройте таблицу маршрутизации для публичной подсети, указав шлюз интернета (Internet Gateway). Создайте группу безопасности (Security Group) для веб-серверов с правилами: входящий доступ по HTTP (80), HTTPS (443) и SSH (22) только с вашего IP-адреса. Создайте отдельную группу безопасности для баз данных, разрешающую входящий трафик только из группы веб-серверов на порт 5432 (PostgreSQL) или 3306 (MySQL).

Шаг 3: Развертывание вычислительных ресурсов (2 часа). Перейдите в сервис Elastic Cloud Server (ECS). Запустите создание новой виртуальной машины. Выберите образ операционной системы (Ubuntu 22.04 LTS или AlmaLinux 8 — стабильные варианты). Подберите конфигурацию vCPU и RAM в зависимости от задач. Для тестового веб-сервера достаточно `s2.medium` (2 vCPU, 4 GB RAM). Ключевой момент — выбор сети. Назначьте виртуальной машине адрес из вашей публичной подсети и автоматически назначьте ей плавающий IP-адрес (Elastic IP) для доступа из интернета. На этапе конфигурации диска выберите системный диск SSD на 40-50 ГБ и опцию шифрования диска. В разделе «Группа безопасности» выберите созданную ранее группу для веб-серверов. Важно: загрузите или создайте новую пару SSH-ключей. Никогда не используйте доступ по паролю. Сохраните приватный ключ в безопасное место. Запустите инстанс.

Шаг 4: Настройка балансировщика нагрузки и группы автомасштабирования (1.5 часа). Для отказоустойчивости одного инстанса недостаточно. Перейдите в сервис Elastic Load Balance (ELB). Создайте балансировщик типа «Приложение» (Application Load Balancer). Назначьте его в вашу публичную подсеть. Настройте прослушиватель (listener) на порту 80 с перенаправлением на 443 для HTTPS. Позже вы сможете добавить SSL-сертификат. Теперь создайте группу автомасштабирования (Auto Scaling Group). В качестве шаблона конфигурации (Launch Configuration) укажите параметры только что созданного ECS-инстанса (образ, тип, диск, ключ, группы безопасности). В настройках группы укажите минимальное количество инстансов — 2, желательное — 2, максимальное — 4. Настройте триггеры масштабирования, например, увеличение количества инстансов при средней загрузке CPU выше 70% в течение 5 минут. Привяжите группу автомасштабирования к созданному балансировщику нагрузки.

Шаг 5: Развертывание управляемой базы данных (1.5 часа). Отказ от self-managed БД на виртуальных машинах в пользу управляемого сервиса — залог надежности и экономии времени. В каталоге сервисов выберите «Управляемые базы данных». Создайте инстанс, например, PostgreSQL 14. Выберите класс производительности, начиная с `db.s2.medium`. Ключевой этап — сетевая настройка. Разместите инстанс БД в вашей приватной подсети. Это автоматически изолирует ее от прямого доступа из интернета. На этапе конфигурации безопасности выберите созданную ранее группу безопасности для баз данных. Задайте мастер-пароль и запишите его. После запуска инстанса найдите в его параметрах внутренний IP-адрес (например, `10.0.1.5`). Он понадобится для подключения веб-серверов.

Шаг 6: Базовая настройка сервера и деплой приложения (2 часа). Подключитесь по SSH к вашему первому ECS-инстансу, используя приватный ключ и плавающий IP. Первым делом обновите систему: `sudo apt update && sudo apt upgrade -y`. Установите базовый стек для веб-приложения, например, Nginx и Node.js. Настройте Nginx как обратный прокси для вашего Node.js-приложения. Отредактируйте конфигурацию безопасности: настройте брандмауэр `ufw`, разрешив только порты 22, 80, 443. Настройте подключение вашего приложения к управляемой БД, используя внутренний IP-адрес из приватной сети. Протестируйте работу. После успешной настройки создайте образ (snapshot) этого инстанса через консоль SberCloud. Обновите шаблон конфигурации вашей группы автомасштабирования, указав этот новый, «золотой» образ. Группа автомасштабирования автоматически пересоздаст инстансы на его основе.

Шаг 7: Настройка мониторинга и алертинга (1 час). Перейдите в сервис Cloud Eye. Включите сбор метрик для ваших ECS-инстансов, балансировщика и базы данных. Создайте простые правила алертинга: уведомление в Telegram или email при недоступности балансировщика (статус-код 5xx) или при нехватке свободного места на диске инстанса выше 85%. Это базовый мониторинг, который предупредит вас о проблемах.

К концу дня у вас будет работающая, отказоустойчивая инфраструктура в SberCloud: балансировщик нагрузки, группа из двух веб-серверов за ним, управляемая база данных в изолированной приватной сети и базовый мониторинг. Это надежный фундамент для дальнейшего развития вашего проекта.