Fare il provisioning di server, prendere snapshot, ricaricare in criptovaluta, eseguire ping da qualsiasi bastione. Ogni azione del pannello ha un endpoint REST e quattro SDK. Stesso livello minimo di identità del pannello: un'email e una password, nient'altro.
Email + password, no KYC. Returns a 24-hour access token straight away — no email confirmation step.
curl -sS https://nordbastion.com/v1/auth/register \
-H "Content-Type: application/json" \
-d '{"email":"[email protected]","password":"••••••••••••"}'Open a per-coin invoice. The response carries a deposit address, QR code and expiry timestamp.
amount_usd must be between $30 and $10,000 (server-enforced). Lower returns HTTP 422 amount_too_low, higher returns amount_too_high.
curl -sS https://nordbastion.com/v1/billing/topups \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"amount_usd":50,"coin":"xmr"}'Pick a tier (service_code), a bastion and an image. Server is booted with SSH in about ninety seconds.
curl -sS https://nordbastion.com/v1/servers \
-H "Authorization: Bearer $TOKEN" \
-d '{"service_code":"NB-V3","bastion":"STO","image":"debian-12"}'Ogni SDK è con licenza MIT, disponibile come sorgente, stabile per semver dalla v1.0. Tutti condividono la stessa interfaccia client autenticata — elencare server, in qualsiasi linguaggio.
These SDKs are planned for v1.1. The REST API at /v1/* is fully usable from any HTTP client today — see the agents page for cURL and MCP examples.
pip install nordbastion
from nordbastion import Client
nb = Client(api_key="nb_live_••••")
for s in nb.servers.list():
print(s.id, s.name, s.status)npm i @nordbastion/api
import { NordBastion } from '@nordbastion/api';
const nb = new NordBastion({ apiKey: 'nb_live_••••' });
const servers = await nb.servers.list();
servers.forEach(s => console.log(s.id, s.name, s.status));go get go.nordbastion.com/api
import nb "go.nordbastion.com/api"
c := nb.New(nb.WithAPIKey("nb_live_••••"))
servers, _ := c.Servers.List(ctx)
for _, s := range servers {
fmt.Println(s.ID, s.Name, s.Status)
}cargo add nordbastion
use nordbastion::Client;
let nb = Client::builder()
.api_key("nb_live_••••").build()?;
for s in nb.servers().list().await? {
println!("{} {} {}", s.id, s.name, s.status);
}curl -sSL https://get.nordbastion.com | sh
nb auth login --api-key nb_live_••••
nb servers list
nb servers create --tier NB-V3 --bastion STO
nb servers snap NB-srv-1234 --name pre-upgradeL'API REST funziona con qualsiasi client HTTP. Corpo delle richieste e risposte JSON, JWT bearer o chiave API con ambito, payload webhook firmati. Nessun lock-in SDK.
curl -H "Authorization: Bearer nb_live_••••" https://nordbastion.com/v1/servers
| POST | /v1/auth/register LIVE | |
| POST | /v1/auth/login LIVE | |
| POST | /v1/auth/login/totp LIVE | |
| POST | /v1/auth/token/refresh LIVE | |
| POST | /v1/auth/recover LIVE | |
| GET | /v1/auth/sessions LIVE | |
| DELETE | /v1/auth/sessions/{token_id} LIVE | |
| POST | /v1/auth/totp/setup LIVE | |
| POST | /v1/auth/totp/enable LIVE | |
| POST | /v1/auth/totp/disable LIVE | |
| POST | /v1/auth/password LIVE | |
| POST | /v1/auth/api-keys LIVE | |
| GET | /v1/auth/api-keys LIVE | |
| DELETE | /v1/auth/api-keys/{key_id} LIVE |
| GET | /v1/account LIVE | |
| PATCH | /v1/account LIVE | |
| GET | /v1/account/balance LIVE | |
| GET | /v1/account/usage LIVE | |
| GET | /v1/account/audit-log LIVE |
| POST | /v1/billing/topups LIVE | |
| GET | /v1/billing/topups LIVE | |
| GET | /v1/billing/topups/{order_number} LIVE | |
| POST | /v1/billing/topups/{order_number}/cancel LIVE | |
| GET | /v1/billing/bonus-tiers LIVE | |
| GET | /v1/billing/coins LIVE | |
| GET | /v1/billing/invoices PLANNED | roadmap |
| GET | /v1/billing/invoices/{id} PLANNED | roadmap |
| GET | /v1/catalog LIVE | |
| GET | /v1/catalog/vps LIVE | |
| GET | /v1/catalog/dedicated LIVE | |
| GET | /v1/catalog/bastions LIVE | |
| GET | /v1/catalog/images LIVE | |
| GET | /v1/catalog/{code} LIVE | |
| GET | /v1/catalog/iso PLANNED | roadmap |
| POST | /v1/servers LIVE | |
| GET | /v1/servers LIVE | |
| GET | /v1/servers/{order_number} LIVE | |
| PATCH | /v1/servers/{order_number} LIVE | |
| DELETE | /v1/servers/{order_number} LIVE | |
| POST | /v1/servers/{id}/power PLANNED | roadmap |
| POST | /v1/servers/{id}/reinstall PLANNED | roadmap |
| POST | /v1/servers/{id}/rescue PLANNED | roadmap |
| POST | /v1/servers/{id}/resize PLANNED | roadmap |
| POST | /v1/servers/{id}/migrate PLANNED | roadmap |
| POST | /v1/servers/{id}/password-reset PLANNED | roadmap |
| GET | /v1/servers/{id}/metrics PLANNED | roadmap |
| GET | /v1/servers/{id}/console PLANNED | roadmap |
| GET | /v1/servers/{id}/serial PLANNED | roadmap |
| POST | /v1/servers/{id}/snapshots PLANNED | roadmap |
| GET | /v1/servers/{id}/snapshots PLANNED | roadmap |
| POST | /v1/servers/{id}/snapshots/{snapId}/restore PLANNED | roadmap |
| DELETE | /v1/servers/{id}/snapshots/{snapId} PLANNED | roadmap |
| POST | /v1/servers/{id}/snapshots/{snapId}/export PLANNED | roadmap |
| POST | /v1/ssh-keys LIVE | |
| GET | /v1/ssh-keys LIVE | |
| GET | /v1/ssh-keys/{id} LIVE | |
| DELETE | /v1/ssh-keys/{id} LIVE |
| GET | /v1/networking/ips PLANNED | roadmap |
| POST | /v1/networking/ips/floating PLANNED | roadmap |
| POST | /v1/networking/rdns PLANNED | roadmap |
| POST | /v1/networking/firewall PLANNED | roadmap |
| GET | /v1/networking/firewall PLANNED | roadmap |
| POST | /v1/networking/private-network PLANNED | roadmap |
| POST | /v1/networking/byoip PLANNED | roadmap |
| POST | /v1/networking/lookingglass PLANNED | roadmap |
| POST | /v1/storage/volumes PLANNED | roadmap |
| GET | /v1/storage/volumes PLANNED | roadmap |
| POST | /v1/storage/volumes/{id}/attach PLANNED | roadmap |
| POST | /v1/storage/volumes/{id}/detach PLANNED | roadmap |
| POST | /v1/storage/volumes/{id}/resize PLANNED | roadmap |
| POST | /v1/images/iso/upload PLANNED | roadmap |
| POST | /v1/images/templates PLANNED | roadmap |
| GET | /v1/images/templates PLANNED | roadmap |
| POST | /v1/webhooks LIVE | |
| GET | /v1/webhooks LIVE | |
| DELETE | /v1/webhooks/{id} LIVE | |
| POST | /v1/webhooks/{id}/test LIVE |
| GET | /v1/transparency/canary LIVE | |
| GET | /v1/transparency/peering LIVE | |
| GET | /v1/transparency/status LIVE | |
| GET | /v1/transparency/incidents PLANNED | roadmap |
| GET | /v1/agents/directory LIVE | |
| POST | /v1/agents/directory LIVE |
| POST | /v1/oauth/register LIVE | |
| POST | /v1/oauth/token LIVE | |
| POST | /v1/oauth/revoke LIVE | |
| GET | /v1/oauth/introspect LIVE |
Tutti gli endpoint seguono JSON in / JSON out, paginazione tramite ?page= & ?per_page=, filtraggio tramite ?filter[field]= e selezione dei campi tramite ?fields=. Ogni richiesta può portare un header Idempotency-Key.
JWT a breve durata emesso da POST /v1/auth/login. Contiene le claim di ambito e un ID di revoca della sessione. Rinnovabile per 30 giorni tramite /v1/auth/token/refresh.
Authorization: Bearer eyJhbGciOi••••
Ambiti: read-only, billing-read, billing-write, servers-read, servers-write, full. Lista di IP consentiti opzionale (CIDR), scadenza opzionale. Consigliata per CI e script infrastrutturali.
Authorization: Bearer nb_live_3f9c2a••••
Agganciare un certificato client mTLS a un'API key. Le richieste che presentano il certificato client sbagliato vengono rifiutate al livello TLS prima che venga eseguita qualsiasi logica applicativa. Disponibile su richiesta tramite il pannello.
curl --cert client.pem --key client.key https://nordbastion.com/v1/servers
Imposti X-NB-Sign: 1 su qualsiasi richiesta. Il corpo della risposta è avvolto in una firma PGP cleartext separata utilizzando la chiave NordBastion (fingerprint su /pgp/). Utilizzato dalle pipeline di compliance che non si fidano della sola catena TLS.
curl -H "X-NB-Sign: 1" -H "Authorization: Bearer ..." https://nordbastion.com/v1/transparency/canary
NordBastion non raccoglie l'identità alla registrazione, e l'API non cambia quel livello minimo. Non esiste un webhook di verifica SMS, nessun flusso di conferma email, nessun endpoint di caricamento di documenti d'identità. L'API espone denaro, macchine e metadati — questa è l'intera superficie.
Ogni risposta porta X-RateLimit-Limit, X-RateLimit-Remaining, X-RateLimit-Reset. Livelli più alti sono disponibili su richiesta dal pannello.
Gli endpoint sono versionati via URL sotto /v1/. Le modifiche incompatibili vengono distribuite solo in una nuova versione major. La major precedente rimane supportata per almeno dodici mesi. Gli endpoint deprecati portano gli header di risposta Sunset e Deprecation.
Sunset: Wed, 01 Jul 2027 00:00:00 GMT
Deprecation: true
{
"error": {
"type": "invalid_request",
"code": "invalid_bastion",
"message": "Unknown bastion 'mxp'.",
"request_id": "req_2VqK8e...",
"doc_url": "https://nordbastion.com/api/#errors"
}
}Ogni payload di evento è firmato con HMAC usando il segreto webhook. Tre tentativi di retry con backoff esponenziale nell'arco di un'ora, poi scartato. Test di consegna disponibili da POST /v1/webhooks/{id}/test.
Balance dropped below the configured threshold.
Crypto top-up address generated, waiting for first confirmation.
Top-up settled on-chain. Balance credited.
Top-up address expired without confirmation.
Monthly invoice issued. PDF + PGP-signed PDF available.
Provisioning started — image being written.
Server is booted and reachable on SSH.
Server powered on (manual or scheduled).
Server powered off (manual or scheduled).
OS reinstalled. Root password rotated.
VPS tier changed. Applied on the next reboot.
Server moved to another bastion via snapshot redeploy.
Server terminated. Pro-rated credit returned.
Snapshot completed and is downloadable.
Snapshot restored in place.
Snapshot removed.
Block volume attached to a server.
Block volume detached.
Firewall ruleset applied to one or more servers.
Warrant canary reaffirmed (first of every month).
Operational incident opened on a bastion or shared service.
Operational incident closed.
AS213232 peering or prefix announcement updated.
La maggior parte delle API cloud espone prodotti e fatturazione. NordBastion espone anche la propria superficie di trasparenza — programmaticamente. Lo stesso warrant canary pubblicato su /warrant-canary/ è disponibile come payload JSON firmato su /v1/transparency/canary. La stessa cronologia degli incidenti che alimenta /status/ è su /v1/transparency/incidents. Lo stesso record di peering che vive su /peering/ è su /v1/transparency/peering. Gli stessi annunci di prefisso AS213232 sono interrogabili in tempo reale.
Si iscriva al webhook canary.updated e riceverà una notifica push il primo giorno di ogni mese — se smette di attivarsi, il canary è compromesso e lo sa senza fare polling. Costruisca l'alert da solo, nella sua infrastruttura, con la firma crittografica che può verificare offline rispetto alla chiave PGP pubblicata.
Questa è la parte dell'API che nessun cloud commerciale ha, perché nessun cloud commerciale ha la dottrina per supportarla.
Le domande che uno sviluppatore si pone prima di affidare l'infrastruttura all'API di un host.
Sì — ogni azione che può eseguire nel pannello di controllo ha un equivalente API oggi o nella roadmap pubblicata, e l'API stessa è protetta dallo stesso account del pannello autenticato: un'e-mail e una password. Non è richiesta alcuna verifica dell'identità per ottenere o utilizzare le credenziali API.
Quattro SDK ufficiali e una CLI. Python (pip install nordbastion), TypeScript / Node (npm install @nordbastion/api), Go (go install go.nordbastion.com/cli/nb@latest), Rust (cargo add nordbastion) e una CLI cross-platform a singolo binario (nb) installabile via curl. Tutti gli SDK sono con licenza MIT e disponibili come sorgente.
Sì. POST /v1/billing/topups crea un'intenzione di ricarica e restituisce un indirizzo di destinazione per moneta, codice QR e timestamp di scadenza. Quando la rete conferma il pagamento, il saldo prepagato viene accreditato automaticamente e si attiva un webhook topup.confirmed. Sono supportate dodici criptovalute, elencate su /v1/billing/coins.
L'endpoint clearnet api.nordbastion.com è oggi Tor-friendly senza limiti di frequenza speciali o blocchi anti-Tor. Un mirror onion v3 della superficie API è nella roadmap del pannello e condividerà lo stesso materiale certificato TLS tramite gli header di risposta Onion-Location quando sarà disponibile.
Può attivare per la sua chiave API i corpi di risposta firmati con PGP. Ogni risposta JSON è avvolta in una firma PGP cleartext separata utilizzando la chiave NordBastion (fingerprint su /pgp/). Il wrapping è verificabile offline ed è utile per la conformità e l'attestazione della fonte in ambienti che non si fidano della sola catena TLS.
Per API key. La baseline pubblicata è 1000 richieste di lettura al minuto e 100 richieste di scrittura al minuto, più 10 richieste al minuto sugli endpoint auth-sensitive (login, reset password, creazione chiave). Ogni risposta porta gli header X-RateLimit-Limit, X-RateLimit-Remaining e X-RateLimit-Reset; le risposte 429 includono un header Retry-After. Gli account sviluppatore verificati possono richiedere livelli più alti dal pannello.
Gli endpoint sono versionati via URL sotto /v1/. Le modifiche incompatibili vengono distribuite solo in una nuova versione major (/v2/, /v3/) e la major precedente rimane supportata per almeno dodici mesi dopo il rilascio della successiva. Gli endpoint deprecati portano un header Sunset con la data di interruzione e un header Deprecation: true in ogni risposta.
Perché la dottrina NordBastion dice che registriamo solo ciò che dobbiamo. Le metriche delle richieste operative vivono per la finestra temporale scorrevole di cui ha bisogno il rate-limiter e poi scadono; un audit log per cliente delle azioni API è più dati di quanti ne abbiamo bisogno per gestire la piattaforma, quindi è disattivato di default. I clienti che lo desiderano possono abilitare /v1/account/audit-log; una volta abilitato copre pannello + API in modo equivalente e può essere esportato.