50 пунктов•~60 мин

Подготовка сервера к продакшну

Пошаговый чеклист настройки Ubuntu VPS для production: безопасность, Docker, Nginx, SSL, бэкапы, мониторинг.

serverproductionubuntusecuritydockernginxssl

0/50

Вы арендовали VPS, получили доступ по SSH. Просто залить код и запустить Docker? Нет. Production-сервер — это экосистема из безопасности, мониторинга, резервных копий и оптимизации. Этот чеклист проведёт вас через каждый шаг.

Требования к серверу

Убедитесь, что ваш VPS соответствует минимальным требованиям.

0/5

Ubuntu 22.04 LTS установлена

LTS = 5 лет поддержки и обновлений безопасности. Большинство гайдов и инструкций написаны для Ubuntu.

RAM ≥ 4 GB

Для стека NestJS + React + PostgreSQL + Redis нужно минимум 4 GB.

CPU ≥ 2 cores

Disk ≥ 50 GB SSD

Статический IP-адрес получен

Первый вход и обновление системы

Подключение к серверу и установка базовых утилит.

0/3

Подключиться к серверу по SSH

ssh root@YOUR_SERVER_IP

Обновить систему

apt update && apt upgrade -y

Установить базовые утилиты

apt install -y curl wget git vim htop ufw

Настройка Firewall (UFW)

Настраивать firewall нужно ДО того, как вы его включите. Иначе рискуете заблокировать себе доступ.

0/6

Установить политику по умолчанию

sudo ufw default deny incoming
sudo ufw default allow outgoing

⚠️Разрешить SSH ДО включения firewall

Если включить UFW без этого правила — вы потеряете доступ к серверу.

sudo ufw allow 22/tcp comment 'SSH'

Разрешить HTTP и HTTPS

sudo ufw allow 80/tcp comment 'HTTP'
sudo ufw allow 443/tcp comment 'HTTPS'

Включить firewall

sudo ufw enable

Проверить статус и правила

sudo ufw status numbered

⚠️Убедиться что порты БД закрыты (5432, 6379)

НЕ открывайте PostgreSQL (5432), Redis (6379), pgAdmin (8082) для внешнего доступа. Используйте SSH-туннель.

Безопасный доступ по SSH

Создание пользователя, настройка SSH-ключей и отключение root.

0/5

Создать нового пользователя

Работать от root — плохая практика. Создайте отдельного пользователя.

adduser username
usermod -aG sudo username

Настроить SSH-ключи

SSH-ключи безопаснее паролей. Скопируйте публичный ключ с локальной машины.

ssh-copy-id username@YOUR_SERVER_IP

⚠️Проверить подключение нового пользователя

В НОВОМ терминале проверьте: ssh username@YOUR_SERVER_IP. Не закрывайте текущую сессию!

Отключить root-доступ и вход по паролю

# /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no

Перезапустить SSH-сервис

sudo systemctl restart sshd

Установка Docker

0/6

Удалить старые версии Docker

sudo apt remove docker docker-engine docker.io containerd runc

Установить зависимости

sudo apt install -y ca-certificates curl gnupg lsb-release

Добавить GPG-ключ и репозиторий Docker

sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

Установить Docker Engine и Compose

sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

Добавить пользователя в группу docker

sudo usermod -aG docker $USER
newgrp docker

Проверить установку

docker --version
docker compose version

Установка и настройка Nginx

0/4

Установить Nginx

sudo apt install -y nginx

Проверить статус

sudo systemctl status nginx

Создать директории для конфигов

sudo mkdir -p /etc/nginx/sites-available /etc/nginx/sites-enabled /etc/nginx/conf.d

Проверить конфигурацию и перезапустить

sudo nginx -t
sudo systemctl restart nginx

SSL-сертификаты (Let's Encrypt)

Перед получением SSL убедитесь, что DNS записи настроены и домен указывает на сервер.

0/5

⚠️DNS-записи настроены (A-запись → IP сервера)

Let's Encrypt проверяет DNS при выдаче сертификата.

Установить Certbot

sudo apt install -y certbot python3-certbot-nginx

Получить сертификаты

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

Проверить таймер автообновления

sudo systemctl status certbot.timer

Тест обновления (dry run)

sudo certbot renew --dry-run

Мониторинг и логирование

0/4

Установить htop для мониторинга

sudo apt install -y htop

Проверить доступность логов Nginx

sudo tail -f /var/log/nginx/access.log
sudo tail -f /var/log/nginx/error.log

Проверить логи Docker-контейнеров

docker logs -f container_name

Проверить системные логи

sudo journalctl -u nginx -f
sudo journalctl -u docker -f

Резервное копирование

0/3

Создать скрипт автоматического бэкапа PostgreSQL

#!/bin/bash
BACKUP_DIR="/backups/postgres"
DATE=$(date +%Y%m%d_%H%M%S)
mkdir -p $BACKUP_DIR

docker exec postgres pg_dump -U your_user your_db | gzip > $BACKUP_DIR/backup_$DATE.sql.gz

# Удалить бэкапы старше 7 дней
find $BACKUP_DIR -name "backup_*.sql.gz" -mtime +7 -delete

Сделать скрипт исполняемым

sudo chmod +x /usr/local/bin/backup-db.sh

Добавить в cron (ежедневно в 3:00)

sudo crontab -e
# Добавить: 0 3 * * * /usr/local/bin/backup-db.sh

Финальная проверка

Убедитесь, что всё работает перед запуском приложения.

0/9

UFW включен и настроен

sudo ufw status

SSH работает только через ключи

Root-доступ отключен

Docker установлен и работает

docker --version

Nginx установлен и отвечает

SSL-сертификаты получены

Автообновление сертификатов настроено

Резервное копирование БД настроено

Логи доступны и пишутся

Подробный гайд по этой теме:

Читать полную статью →