Server bereitstellen, Snapshots erstellen, in Kryptowährung aufladen, Ping von jeder Bastion ausführen. Jede Panel-Aktion hat einen REST-Endpunkt und vier SDKs. Dieselbe Identitätsgrundlage wie das Panel: eine E-Mail und ein Passwort, nichts mehr.
Email + password, no KYC. Returns a 24-hour access token straight away — no email confirmation step.
curl -sS https://nordbastion.com/v1/auth/register \
-H "Content-Type: application/json" \
-d '{"email":"[email protected]","password":"••••••••••••"}'Open a per-coin invoice. The response carries a deposit address, QR code and expiry timestamp.
amount_usd muss zwischen $30 und $10,000 liegen (serverseitig erzwungen). Niedrigere Werte geben HTTP 422 amount_too_low zurück, höhere geben amount_too_high zurück.
curl -sS https://nordbastion.com/v1/billing/topups \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"amount_usd":50,"coin":"xmr"}'Pick a tier (service_code), a bastion and an image. Server is booted with SSH in about ninety seconds.
curl -sS https://nordbastion.com/v1/servers \
-H "Authorization: Bearer $TOKEN" \
-d '{"service_code":"NB-V3","bastion":"STO","image":"debian-12"}'Jedes SDK ist MIT-lizenziert, quelloffen, semver-stabil ab v1.0. Alle teilen dieselbe authentifizierte Client-Schnittstelle — Server auflisten, in jeder Sprache.
These SDKs are planned for v1.1. The REST API at /v1/* is fully usable from any HTTP client today — see the agents page for cURL and MCP examples.
pip install nordbastion
from nordbastion import Client
nb = Client(api_key="nb_live_••••")
for s in nb.servers.list():
print(s.id, s.name, s.status)npm i @nordbastion/api
import { NordBastion } from '@nordbastion/api';
const nb = new NordBastion({ apiKey: 'nb_live_••••' });
const servers = await nb.servers.list();
servers.forEach(s => console.log(s.id, s.name, s.status));go get go.nordbastion.com/api
import nb "go.nordbastion.com/api"
c := nb.New(nb.WithAPIKey("nb_live_••••"))
servers, _ := c.Servers.List(ctx)
for _, s := range servers {
fmt.Println(s.ID, s.Name, s.Status)
}cargo add nordbastion
use nordbastion::Client;
let nb = Client::builder()
.api_key("nb_live_••••").build()?;
for s in nb.servers().list().await? {
println!("{} {} {}", s.id, s.name, s.status);
}curl -sSL https://get.nordbastion.com | sh
nb auth login --api-key nb_live_••••
nb servers list
nb servers create --tier NB-V3 --bastion STO
nb servers snap NB-srv-1234 --name pre-upgradeDie REST API funktioniert mit jedem HTTP-Client. JSON-Anfrage- und Antwort-Bodies, JWT-Bearer oder bereichsbeschränkter API-Schlüssel, signierte Webhook-Payloads. Kein SDK-Lock-in.
curl -H "Authorization: Bearer nb_live_••••" https://nordbastion.com/v1/servers
| POST | /v1/auth/register LIVE | |
| POST | /v1/auth/login LIVE | |
| POST | /v1/auth/login/totp LIVE | |
| POST | /v1/auth/token/refresh LIVE | |
| POST | /v1/auth/recover LIVE | |
| GET | /v1/auth/sessions LIVE | |
| DELETE | /v1/auth/sessions/{token_id} LIVE | |
| POST | /v1/auth/totp/setup LIVE | |
| POST | /v1/auth/totp/enable LIVE | |
| POST | /v1/auth/totp/disable LIVE | |
| POST | /v1/auth/password LIVE | |
| POST | /v1/auth/api-keys LIVE | |
| GET | /v1/auth/api-keys LIVE | |
| DELETE | /v1/auth/api-keys/{key_id} LIVE |
| GET | /v1/account LIVE | |
| PATCH | /v1/account LIVE | |
| GET | /v1/account/balance LIVE | |
| GET | /v1/account/usage LIVE | |
| GET | /v1/account/audit-log LIVE |
| POST | /v1/billing/topups LIVE | |
| GET | /v1/billing/topups LIVE | |
| GET | /v1/billing/topups/{order_number} LIVE | |
| POST | /v1/billing/topups/{order_number}/cancel LIVE | |
| GET | /v1/billing/bonus-tiers LIVE | |
| GET | /v1/billing/coins LIVE | |
| GET | /v1/billing/invoices PLANNED | roadmap |
| GET | /v1/billing/invoices/{id} PLANNED | roadmap |
| GET | /v1/catalog LIVE | |
| GET | /v1/catalog/vps LIVE | |
| GET | /v1/catalog/dedicated LIVE | |
| GET | /v1/catalog/bastions LIVE | |
| GET | /v1/catalog/images LIVE | |
| GET | /v1/catalog/{code} LIVE | |
| GET | /v1/catalog/iso PLANNED | roadmap |
| POST | /v1/servers LIVE | |
| GET | /v1/servers LIVE | |
| GET | /v1/servers/{order_number} LIVE | |
| PATCH | /v1/servers/{order_number} LIVE | |
| DELETE | /v1/servers/{order_number} LIVE | |
| POST | /v1/servers/{id}/power PLANNED | roadmap |
| POST | /v1/servers/{id}/reinstall PLANNED | roadmap |
| POST | /v1/servers/{id}/rescue PLANNED | roadmap |
| POST | /v1/servers/{id}/resize PLANNED | roadmap |
| POST | /v1/servers/{id}/migrate PLANNED | roadmap |
| POST | /v1/servers/{id}/password-reset PLANNED | roadmap |
| GET | /v1/servers/{id}/metrics PLANNED | roadmap |
| GET | /v1/servers/{id}/console PLANNED | roadmap |
| GET | /v1/servers/{id}/serial PLANNED | roadmap |
| POST | /v1/servers/{id}/snapshots PLANNED | roadmap |
| GET | /v1/servers/{id}/snapshots PLANNED | roadmap |
| POST | /v1/servers/{id}/snapshots/{snapId}/restore PLANNED | roadmap |
| DELETE | /v1/servers/{id}/snapshots/{snapId} PLANNED | roadmap |
| POST | /v1/servers/{id}/snapshots/{snapId}/export PLANNED | roadmap |
| POST | /v1/ssh-keys LIVE | |
| GET | /v1/ssh-keys LIVE | |
| GET | /v1/ssh-keys/{id} LIVE | |
| DELETE | /v1/ssh-keys/{id} LIVE |
| GET | /v1/networking/ips PLANNED | roadmap |
| POST | /v1/networking/ips/floating PLANNED | roadmap |
| POST | /v1/networking/rdns PLANNED | roadmap |
| POST | /v1/networking/firewall PLANNED | roadmap |
| GET | /v1/networking/firewall PLANNED | roadmap |
| POST | /v1/networking/private-network PLANNED | roadmap |
| POST | /v1/networking/byoip PLANNED | roadmap |
| POST | /v1/networking/lookingglass PLANNED | roadmap |
| POST | /v1/storage/volumes PLANNED | roadmap |
| GET | /v1/storage/volumes PLANNED | roadmap |
| POST | /v1/storage/volumes/{id}/attach PLANNED | roadmap |
| POST | /v1/storage/volumes/{id}/detach PLANNED | roadmap |
| POST | /v1/storage/volumes/{id}/resize PLANNED | roadmap |
| POST | /v1/images/iso/upload PLANNED | roadmap |
| POST | /v1/images/templates PLANNED | roadmap |
| GET | /v1/images/templates PLANNED | roadmap |
| POST | /v1/webhooks LIVE | |
| GET | /v1/webhooks LIVE | |
| DELETE | /v1/webhooks/{id} LIVE | |
| POST | /v1/webhooks/{id}/test LIVE |
| GET | /v1/transparency/canary LIVE | |
| GET | /v1/transparency/peering LIVE | |
| GET | /v1/transparency/status LIVE | |
| GET | /v1/transparency/incidents PLANNED | roadmap |
| GET | /v1/agents/directory LIVE | |
| POST | /v1/agents/directory LIVE |
| POST | /v1/oauth/register LIVE | |
| POST | /v1/oauth/token LIVE | |
| POST | /v1/oauth/revoke LIVE | |
| GET | /v1/oauth/introspect LIVE |
Alle Endpunkte folgen JSON ein / JSON aus, Paginierung durch ?page= & ?per_page=, Filterung durch ?filter[field]= und Feldauswahl durch ?fields=. Jede Anfrage kann einen Idempotency-Key-Header tragen.
Kurzlebiges JWT, ausgestellt durch POST /v1/auth/login. Enthält Scope-Claims und eine Sitzungs-Revokations-ID. Über /v1/auth/token/refresh für 30 Tage erneuerbar.
Authorization: Bearer eyJhbGciOi••••
Bereiche: read-only, billing-read, billing-write, servers-read, servers-write, full. Optionale IP-Allowlist (CIDR), optionales Ablaufdatum. Empfohlen für CI- und Infrastruktur-Skripte.
Authorization: Bearer nb_live_3f9c2a••••
Ein mTLS-Client-Zertifikat an einen API-Schlüssel anheften. Anfragen, die das falsche Client-Zertifikat präsentieren, werden auf der TLS-Schicht abgelehnt, bevor Anwendungslogik ausgeführt wird. Auf Anfrage über das Panel verfügbar.
curl --cert client.pem --key client.key https://nordbastion.com/v1/servers
X-NB-Sign: 1 bei jeder Anfrage setzen. Der Antwort-Body wird mit einer losgelösten PGP-Klartextsignatur unter Verwendung des NordBastion-Schlüssels verpackt (Fingerabdruck unter /pgp/). Wird von Compliance-Pipelines verwendet, die der TLS-Kette allein misstrauen.
curl -H "X-NB-Sign: 1" -H "Authorization: Bearer ..." https://nordbastion.com/v1/transparency/canary
NordBastion erfasst bei der Registrierung keine Identität, und die API ändert diese Grundlage nicht. Es gibt keinen SMS-Verifizierungs-Webhook, keinen E-Mail-Bestätigungsfluss, keinen Endpunkt zum Hochladen von Identitätsdokumenten. Die API exponiert Geld, Maschinen und Metadaten — das ist die gesamte Oberfläche.
Jede Antwort trägt X-RateLimit-Limit, X-RateLimit-Remaining, X-RateLimit-Reset. Höhere Stufen sind auf Anfrage über das Panel verfügbar.
Endpunkte sind URL-versioniert unter /v1/. Breaking Changes werden nur in einer neuen Hauptversion veröffentlicht. Die vorherige Hauptversion wird mindestens zwölf Monate unterstützt. Veraltete Endpunkte tragen Sunset- und Deprecation-Antwort-Header.
Sunset: Wed, 01 Jul 2027 00:00:00 GMT
Deprecation: true
{
"error": {
"type": "invalid_request",
"code": "invalid_bastion",
"message": "Unknown bastion 'mxp'.",
"request_id": "req_2VqK8e...",
"doc_url": "https://nordbastion.com/api/#errors"
}
}Jede Event-Nutzlast ist HMAC-signiert mit Ihrem Webhook-Geheimnis. Drei Wiederholungsversuche mit exponentiellem Backoff über eine Stunde, dann verworfen. Testlieferungen verfügbar über POST /v1/webhooks/{id}/test.
Balance dropped below the configured threshold.
Crypto top-up address generated, waiting for first confirmation.
Top-up settled on-chain. Balance credited.
Top-up address expired without confirmation.
Monthly invoice issued. PDF + PGP-signed PDF available.
Provisioning started — image being written.
Server is booted and reachable on SSH.
Server powered on (manual or scheduled).
Server powered off (manual or scheduled).
OS reinstalled. Root password rotated.
VPS tier changed. Applied on the next reboot.
Server moved to another bastion via snapshot redeploy.
Server terminated. Pro-rated credit returned.
Snapshot completed and is downloadable.
Snapshot restored in place.
Snapshot removed.
Block volume attached to a server.
Block volume detached.
Firewall ruleset applied to one or more servers.
Warrant canary reaffirmed (first of every month).
Operational incident opened on a bastion or shared service.
Operational incident closed.
AS213232 peering or prefix announcement updated.
Die meisten Cloud-APIs exponieren Produkte und Abrechnung. NordBastion exponiert auch seine eigene Transparenzoberfläche — programmatisch. Derselbe Warrant Canary, der unter /warrant-canary/ veröffentlicht ist, ist als signierte JSON-Nutzlast unter /v1/transparency/canary verfügbar. Dieselbe Incident-Geschichte, die /status/ antreibt, ist unter /v1/transparency/incidents. Derselbe Peering-Eintrag, der unter /peering/ lebt, ist unter /v1/transparency/peering. Dieselben AS213232-Präfixankündigungen sind in Echtzeit abfragbar.
Den canary.updated-Webhook abonnieren und Sie erhalten am ersten Tag jedes Monats eine Push-Benachrichtigung — wenn er aufhört zu feuern, ist der Canary gebrochen, und Sie wissen es ohne Polling. Den Alert selbst aufbauen, in Ihrer eigenen Infrastruktur, mit der kryptographischen Signatur, die Sie offline gegen den veröffentlichten PGP-Schlüssel verifizieren können.
Das ist der Teil der API, den keine kommerzielle Cloud hat, weil keine kommerzielle Cloud die Doktrin hat, ihn zu untermauern.
Die Fragen, die ein Entwickler stellt, bevor er Infrastruktur der API eines Hosts anvertraut.
Ja — jede Aktion, die Sie im Kontrollpanel durchführen können, hat heute oder auf der veröffentlichten Roadmap ein API-Äquivalent, und die API selbst ist durch dasselbe authentifizierte Panel-Konto geschützt: eine E-Mail-Adresse und ein Passwort. Für den Erhalt oder die Verwendung von API-Zugangsdaten ist keine Identitätsverifizierung erforderlich.
Vier offizielle SDKs und eine CLI. Python (pip install nordbastion), TypeScript / Node (npm install @nordbastion/api), Go (go install go.nordbastion.com/cli/nb@latest), Rust (cargo add nordbastion) und eine Single-Binary plattformübergreifende CLI (nb) installierbar via curl. Alle SDKs sind MIT-lizenziert und quelloffen.
Ja. POST /v1/billing/topups erstellt eine Auflade-Absicht und gibt eine münzenspezifische Zieladresse, einen QR-Code und einen Ablaufzeitstempel zurück. Wenn das Netzwerk die Zahlung bestätigt, wird Ihr Prepaid-Guthaben automatisch gutgeschrieben und ein topup.confirmed-Webhook feuert. Zwölf Kryptowährungen werden unterstützt, aufgelistet unter /v1/billing/coins.
Der Clearnet-Endpunkt api.nordbastion.com ist heute Tor-freundlich ohne spezielle Ratenlimits oder Anti-Tor-Blockierung. Ein v3-Onion-Mirror der API-Oberfläche steht auf der Panel-Roadmap und wird bei der Auslieferung dasselbe TLS-zertifizierte Material über Onion-Location-Antwort-Header teilen.
Sie können Ihren API-Schlüssel für PGP-signierte Antwort-Bodies aktivieren. Jede JSON-Antwort wird mit einer losgelösten Klartext-PGP-Signatur unter Verwendung des NordBastion-Schlüssels verpackt (Fingerabdruck unter /pgp/). Die Verpackung ist offline verifizierbar und nützlich für Compliance und Quell-Attestierung in Umgebungen, die der TLS-Kette allein misstrauen.
Pro API-Schlüssel. Die veröffentlichte Basislinie ist 1000 Leseanfragen pro Minute und 100 Schreibanfragen pro Minute, plus 10 Anfragen pro Minute an auth-sensiblen Endpunkten (Anmeldung, Passwort-Zurücksetzung, Schlüsselerstellung). Jede Antwort trägt X-RateLimit-Limit-, X-RateLimit-Remaining- und X-RateLimit-Reset-Header; 429-Antworten enthalten einen Retry-After-Header. Verifizierte Entwicklerkonten können höhere Stufen vom Panel anfordern.
Endpunkte sind URL-versioniert unter /v1/. Breaking Changes werden nur in einer neuen Hauptversion (/v2/, /v3/) veröffentlicht, und die vorherige Hauptversion wird mindestens zwölf Monate nach der Veröffentlichung der nächsten unterstützt. Veraltete Endpunkte tragen einen Sunset-Header mit dem Abschaltzeitpunkt und einen Deprecation: true-Header bei jeder Antwort.
Weil die NordBastion-Doktrin besagt, dass wir nur das protokollieren, was wir müssen. Operative Anfragemetriken leben für das rollende Fenster, das der Rate-Limiter benötigt, und verfallen dann; ein pro-Kunden-Audit-Log von API-Aktionen sind mehr Daten als wir zum Betrieb der Plattform benötigen, daher ist es standardmäßig deaktiviert. Kunden, die es wollen, können /v1/account/audit-log aktivieren; einmal aktiviert, deckt es Panel + API gleichermaßen ab und kann exportiert werden.