EU-команды разработки и комплаенса ведут CI на Mac mini M4 LeanVPS во Франкфурте, а ВМ и объектное хранилище держат в Hetzner Cloud или Scaleway EU. Ниже — раздельные таблицы p95, маршруты резидентности и маскирования логов, матрица аренды 16/24 ГБ, рекомендации по SSH и приёмке OpenClaw doctor. Цифры — инженерные эвристики, не SLA вендоров и не юридическая консультация.

Главная, узел Германия, тарифы. См. также AWS eu-central-1 через Франкфурт, коридор Дублин—Лондон, EU egress и маскирование логов. Зафиксируйте скрипты проб до подписания заказа узла Германия.

8–18
мс TLS p95 DE Mac → api.hetzner.cloud
200
HTTPS-проб на вендора до закупки
6 мс
дрейф p95 неделя к неделе → тикет маршрута
  • Ограничение 1: задержку SSH из APAC смешивают с p95 EU API — аудитор не видит границ ответственности.
  • Скрытая стоимость 2: Hetzner и Scaleway кладут на один слайд, хотя TLS-цепочки и окна обслуживания различаются.
  • Стабильность 3: аренду 16 ГБ меняют во время Terraform, когда жёлтые строки API винят сеть, а не RAM.

Франкфурт → Hetzner и Scaleway: пороги p95 для типовых EU API

Замеры выполняйте на выделенном Mac LeanVPS Германия, не с ноутбука в Сингапуре. Object storage и registry держите на отдельных строках — таблица ниже для REST control plane.

Endpoint (с DE Mac) Зелёный p95 TTFB Жёлтый Красное действие
api.hetzner.cloud 8–18 мс 19–42 мс ×3 дня DNS, PAC, запись токенов на диск
api.scaleway.com 10–22 мс 23–48 мс Разделить curl tcp / tls / ttfb
registry.scw.cloud (smoke pull) +12–35 мс к API >2× p95 API Зеркало или региональный проект registry
APAC → SSH (сегмент A) <220 мс интерактив >400 мс Не смешивать с EU API

Резидентность данных и маршрут маскирования логов

Низкий RTT не доказывает резидентность. Направляйте state и бэкапы в EU-проект/регион из DPA; Mac — поверхность сборки и оркестрации.

Класс трафика Предпочтительный путь Правило лога
API жизненного цикла ВМ DE Mac → коридор Франкфурт → EU API вендора Маскировать токены; только request id
Object storage Тот же регион, что bucket (fsn1, par, ams) Без pre-signed URL в syslog
Экспорт диагностики EU SIEM из allowlist Retention 30/90 дней по тикету политики

Свяжите маршрут с разделением admin и runtime, чтобы egress оставался deny-first.

Mac mini M4: 16/24 ГБ и расширение диска — матрица сроков аренды

Память и диск фиксируются при заказе. Привязывайте срок к RSS и кэшу образов, а не только к цене листа.

Профиль 16 ГБ + 512 ГБ 24 ГБ + 1 ТБ Срок
Лёгкий CLI + curl-патруль Пилот 2–4 недели Опционально Помесячно до стабильного p95
Xcode + два контейнер-агента Жёлтый при параллельных pull Квартал или год Диск, если слои registry >120 ГБ
OpenClaw + hcloud CLI Один runtime Предпочтительно для doctor CI RAM в том же bundle, что egress

SSH-вход и рекомендации по совместным сессиям

  • Один основной SSH-вход на хост Германии; bastion vs direct — в том же change bundle, что API-пробы.
  • tmux или screen для длинных Terraform-планов — обрыв APAC не должен оставлять lock state на Hetzner.
  • Раздельные ключи для людей и автоматизации; ротация в такт токенам облака.
  • VNC только для GUI-приёмки; API-автоматизация остаётся на SSH с аудируемыми сессиями.

OpenClaw: EU egress allowlist и приёмка doctor

Default-deny egress перечисляет api.hetzner.cloud, api.scaleway.com и нужные registry-хосты — версионируйте YAML рядом с runbook логов. На практике комплаенс-команда сверяет FQDN из egress с фактическими tcpdump-снимками во время пилота: любой неучтённый хост — повод остановить продление аренды, пока doctor не станет зелёным на staging.

Для Terraform и hcloud держите state в EU bucket того же вендора, что и ВМ; Mac во Франкфурте не должен становиться долгосрочным хранилищем tfstate с секретами — это отдельный риск от сетевого p95.

  1. Метки сегментов: префиксы SEG-A-SSH и SEG-B-EU-API в логах перед еженедельным CSV.
  2. Hetzner curl: curl -sS -o /dev/null -w 'tcp:%{time_connect} tls:%{time_appconnect} ttfb:%{time_starttransfer}\n' https://api.hetzner.cloud/v1/servers — двести проб; жёлтый при p95 ttfb >42 мс.
  3. Scaleway curl: тот же шаблон к https://api.scaleway.com/ — отдельный CSV, не смешивать с Hetzner.
  4. Registry smoke: pull небольшого манифеста; красный, если p95 pull >2× control plane три дня подряд.
  5. openclaw config validate и openclaw doctor --non-interactive — стоп релиза при падении doctor при зелёных API.
  6. Хук аренды: пути CSV и выбранный tier RAM в change record до продления на тарифах.

Цитируемые пороги

  • 200 HTTPS-проб на endpoint вендора до подписания закупки.
  • 6 мс дрейф p95 неделя к неделе → тикет маршрута раньше апгрейда RAM.
  • 42 мс жёлтый потолок p95 TTFB Hetzner API (настраивается арендатором).
  • 400 мс красная линия интерактивного SSH из APAC — не в таблицы EU API.

FAQ

Одна таблица на обоих вендоров? Нет — отдельные CSV; сводите только в executive summary со сносками.
Когда покупать: две недели зелёного SEG-B при болезненном SEG-A — узел Германия, RAM по матрице выше.
Заметки LeanVPS о связности — не поддержка Hetzner/Scaleway, не гарантии резидентности, не юрсовет.
Узел Германия · Hetzner · Scaleway EU API

Зафиксируйте пробы SEG-B, затем арендуйте M4

Когда строки EU API зелёные, сравните AWS eu-central-1 или коридор Дублин при работе с гиперскейлерами — затем оформите узел LeanVPS Германия и проверьте SSH в помощи.

Купить узел Германия Тарифы