Маскот-полярный медведь NordBastion сидит за тактическим рабочим местом управления миссией с парящими голографическими терминальными мониторами, показывающими cyan-код, механической клавиатурой с cyan-подсвеченными клавишами и cyan-N щитом, опирающимся рядом с ним, внутри открытой Nordic-каменной консольной комнаты с окном в северное сияние

API.v1 · REST · 70+ эндпоинтов · 5 SDK

Управляйте NordBastion из кода.
KYC-free, оплата криптовалютой, полностью скриптуемый.

Провизионируйте серверы, делайте снимки, пополняйте в криптовалюте, запускайте ping из любого бастиона. Каждое действие панели имеет REST-эндпоинт и четыре SDK. Тот же минимум идентификации, что и в панели: email и пароль — ничего больше.

Быстрый старт Все эндпоинты

Версия: v1
Эндпоинты: 70+
SDK: 4 + CLI
Бастионы: 4 Nordic
Лимит запросов: 1000/min read
KYC: Нет

Быстрый старт

Три шага от зарегистрированного аккаунта до запущенного сервера в коде.

01 Create an account

POST /v1/auth/register

Email + password, no KYC. Returns a 24-hour access token straight away — no email confirmation step.

curl -sS https://nordbastion.com/v1/auth/register \
  -H "Content-Type: application/json" \
  -d '{"email":"[email protected]","password":"••••••••••••"}'

02 Пополнение в криптовалюте

POST /v1/billing/topups

Open a per-coin invoice. The response carries a deposit address, QR code and expiry timestamp.

amount_usd must be between $30 and $10,000 (server-enforced). Lower returns HTTP 422 amount_too_low, higher returns amount_too_high.

curl -sS https://nordbastion.com/v1/billing/topups \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"amount_usd":50,"coin":"xmr"}'

03 Провизионировать сервер

POST /v1/servers

Pick a tier (service_code), a bastion and an image. Server is booted with SSH in about ninety seconds.

curl -sS https://nordbastion.com/v1/servers \
  -H "Authorization: Bearer $TOKEN" \
  -d '{"service_code":"NB-V3","bastion":"STO","image":"debian-12"}'

SDK и CLI

Четыре языка — один бинарный файл.

Каждый SDK распространяется под лицензией MIT, с открытым исходным кодом, semver-стабилен начиная с v1.0. Все используют одинаковый аутентифицированный клиентский интерфейс — перечисление серверов на любом языке.

Planned for v1.1

These SDKs are planned for v1.1. The REST API at /v1/* is fully usable from any HTTP client today — see the agents page for cURL and MCP examples.

Python

pip

pip install nordbastion

from nordbastion import Client
nb = Client(api_key="nb_live_••••")

for s in nb.servers.list():
    print(s.id, s.name, s.status)

TypeScript

npm

npm i @nordbastion/api

import { NordBastion } from '@nordbastion/api';
const nb = new NordBastion({ apiKey: 'nb_live_••••' });

const servers = await nb.servers.list();
servers.forEach(s => console.log(s.id, s.name, s.status));

Go

go install

go get go.nordbastion.com/api

import nb "go.nordbastion.com/api"

c := nb.New(nb.WithAPIKey("nb_live_••••"))
servers, _ := c.Servers.List(ctx)
for _, s := range servers {
    fmt.Println(s.ID, s.Name, s.Status)
}

Rust

cargo

cargo add nordbastion

use nordbastion::Client;
let nb = Client::builder()
    .api_key("nb_live_••••").build()?;

for s in nb.servers().list().await? {
    println!("{} {} {}", s.id, s.name, s.status);
}

CLI · nb

Planned for v1.1

curl -sSL https://get.nordbastion.com | sh

nb auth login --api-key nb_live_••••
nb servers list
nb servers create --tier NB-V3 --bastion STO
nb servers snap NB-srv-1234 --name pre-upgrade

Curl в приоритете

REST API работает с любым HTTP-клиентом. Тела запросов и ответов в JSON, JWT bearer или API-ключ с ограниченной областью, подписанные полезные нагрузки вебхуков. Никакой привязки к SDK.

curl -H "Authorization: Bearer nb_live_••••" https://nordbastion.com/v1/servers

Справочник эндпоинтов

70+ эндпоинтов в составе двенадцати групп ресурсов.

Authentication · 14 endpoints

POST	/v1/auth/register LIVE	Create a NordBastion account from email + password (no KYC).
POST	/v1/auth/login LIVE	Exchange email + password for a bearer token. Returns 24-hour JWT.
POST	/v1/auth/login/totp LIVE	Second step when the account has TOTP 2FA enabled.
POST	/v1/auth/token/refresh LIVE	Rotate a bearer token without re-entering credentials.
POST	/v1/auth/recover LIVE	Initiate account recovery (PGP-based, stubbed in v1.0).
GET	/v1/auth/sessions LIVE	List active sessions for the current account.
DELETE	/v1/auth/sessions/{token_id} LIVE	Revoke a session by token ID (logout-everywhere).
POST	/v1/auth/totp/setup LIVE	Begin TOTP enrollment — returns the provisioning URI.
POST	/v1/auth/totp/enable LIVE	Confirm a TOTP code and enable 2FA.
POST	/v1/auth/totp/disable LIVE	Disable 2FA with a current TOTP code.
POST	/v1/auth/password LIVE	Change the account password.
POST	/v1/auth/api-keys LIVE	Create a scoped, long-lived API key (read · billing · servers · full).
GET	/v1/auth/api-keys LIVE	List API keys for the current account (last-used + scopes).
DELETE	/v1/auth/api-keys/{key_id} LIVE	Revoke an API key immediately.

Account · 5 endpoints

GET	/v1/account LIVE	Get the authenticated account (email, status, locale, 2FA state).
PATCH	/v1/account LIVE	Update email, password, locale, default bastion preference.
GET	/v1/account/balance LIVE	Current prepaid balance in USD.
GET	/v1/account/usage LIVE	Trailing-30-day API usage totals.
GET	/v1/account/audit-log LIVE	Recent authenticated requests for this account.

Billing & crypto top-ups · 8 endpoints

POST	/v1/billing/topups LIVE	Create a top-up intent. Returns a per-coin address + QR + expiry.
GET	/v1/billing/topups LIVE	List pending and confirmed crypto top-ups.
GET	/v1/billing/topups/{order_number} LIVE	Status of a single top-up (confirmations, settle status).
POST	/v1/billing/topups/{order_number}/cancel LIVE	Cancel a still-open top-up.
GET	/v1/billing/bonus-tiers LIVE	Public top-up bonus tier ladder.
GET	/v1/billing/coins LIVE	12 supported cryptocurrencies + current settle threshold per coin.
GET	/v1/billing/invoices PLANNED	List invoices (monthly statements).	roadmap
GET	/v1/billing/invoices/{id} PLANNED	Single invoice. Format: JSON · PDF · PGP-signed PDF.	roadmap

Catalogue · 7 endpoints

GET	/v1/catalog LIVE	Bundle of all catalog resources in one call.
GET	/v1/catalog/vps LIVE	Five VPS tiers — Sentinel · Garrison · Ravelin · Bulwark · Citadel.
GET	/v1/catalog/dedicated LIVE	Five dedicated tiers — Bastion-Lite to Bastion-Hyperion.
GET	/v1/catalog/bastions LIVE	Four Nordic bastions — STO · HEL · OSL · RKV with live status.
GET	/v1/catalog/images LIVE	Default OS images — Debian · Ubuntu · Alpine · Arch · FreeBSD · Win.
GET	/v1/catalog/{code} LIVE	Lookup a single tier by service_code.
GET	/v1/catalog/iso PLANNED	Library of bootable ISO images for custom installs.	roadmap

Servers · 14 endpoints

POST	/v1/servers LIVE	Provision a new VPS or dedicated server. Returns 202 + order_number.
GET	/v1/servers LIVE	List servers — supports filter, sort, paginate, field selection.
GET	/v1/servers/{order_number} LIVE	Single server with full configuration + current status.
PATCH	/v1/servers/{order_number} LIVE	Mutate a server (hostname only in v1.0).
DELETE	/v1/servers/{order_number} LIVE	Cancel / decommission a server. Pro-rated credit returned.
POST	/v1/servers/{id}/power PLANNED	Start · stop · restart · poweroff · acpi-shutdown.	roadmap
POST	/v1/servers/{id}/reinstall PLANNED	Reinstall OS from any catalogue image or custom template.	roadmap
POST	/v1/servers/{id}/rescue PLANNED	Reboot into rescue mode (Alpine ramdisk · 1 hour timeout).	roadmap
POST	/v1/servers/{id}/resize PLANNED	Move a VPS up or down between tiers. Applies on next reboot.	roadmap
POST	/v1/servers/{id}/migrate PLANNED	Redeploy a snapshot to another bastion. Pin to STO · HEL · OSL · RKV.	roadmap
POST	/v1/servers/{id}/password-reset PLANNED	Reset root password. Returned once, never stored.	roadmap
GET	/v1/servers/{id}/metrics PLANNED	Per-minute CPU · RAM · disk · network for the last 90 days.	roadmap
GET	/v1/servers/{id}/console PLANNED	One-time URL to the web VNC/SPICE console (expires 5 min).	roadmap
GET	/v1/servers/{id}/serial PLANNED	One-time URL to the web serial console (expires 5 min).	roadmap

Snapshots · 5 endpoints

POST	/v1/servers/{id}/snapshots PLANNED	Create a live or quiesced snapshot (off-host, encrypted).	roadmap
GET	/v1/servers/{id}/snapshots PLANNED	List snapshots for a server (size, age, source).	roadmap
POST	/v1/servers/{id}/snapshots/{snapId}/restore PLANNED	Restore in place — server reboots into the snapshot.	roadmap
DELETE	/v1/servers/{id}/snapshots/{snapId} PLANNED	Delete a snapshot.	roadmap
POST	/v1/servers/{id}/snapshots/{snapId}/export PLANNED	Export a snapshot as a .qcow2 download. PGP-signed manifest.	roadmap

SSH keys · 4 endpoints

POST	/v1/ssh-keys LIVE	Register a new SSH public key. SHA-256 fingerprint indexed.
GET	/v1/ssh-keys LIVE	List SSH keys on the account.
GET	/v1/ssh-keys/{id} LIVE	A single SSH public key.
DELETE	/v1/ssh-keys/{id} LIVE	Remove a key (does not change any existing server's installed keys).

Networking · 8 endpoints

GET	/v1/networking/ips PLANNED	List IPv4 + IPv6 addresses assigned to your servers.	roadmap
POST	/v1/networking/ips/floating PLANNED	Request additional IPv4 or a /64 IPv6 block. Bastion-scoped.	roadmap
POST	/v1/networking/rdns PLANNED	Set reverse-DNS PTR. IPv4 + IPv6 supported.	roadmap
POST	/v1/networking/firewall PLANNED	Create or replace a firewall ruleset for one or more servers.	roadmap
GET	/v1/networking/firewall PLANNED	List firewall rulesets and their bindings.	roadmap
POST	/v1/networking/private-network PLANNED	Create a VPC-style private network between your own servers.	roadmap
POST	/v1/networking/byoip PLANNED	Announce your own /24 (IPv4) or /48 (IPv6). RPKI-verified.	roadmap
POST	/v1/networking/lookingglass PLANNED	Run ping · traceroute · MTR from any of the four bastions.	roadmap

Storage · 5 endpoints

POST	/v1/storage/volumes PLANNED	Provision an additional NVMe volume — 10 GB to 16 TB, bastion-scoped.	roadmap
GET	/v1/storage/volumes PLANNED	List volumes on the account.	roadmap
POST	/v1/storage/volumes/{id}/attach PLANNED	Attach a volume to a running or stopped server.	roadmap
POST	/v1/storage/volumes/{id}/detach PLANNED	Detach a volume (requires the server to be stopped).	roadmap
POST	/v1/storage/volumes/{id}/resize PLANNED	Grow a volume. Shrink not supported.	roadmap

Images & templates · 3 endpoints

POST	/v1/images/iso/upload PLANNED	Upload a custom .iso (≤ 4 GB) bootable from any server's rescue path.	roadmap
POST	/v1/images/templates PLANNED	Register a custom OS template from an existing snapshot.	roadmap
GET	/v1/images/templates PLANNED	List your custom templates.	roadmap

Webhooks · 4 endpoints

POST	/v1/webhooks LIVE	Subscribe a URL to one or more event types. HMAC-signed payloads.
GET	/v1/webhooks LIVE	List webhook subscriptions on the account.
DELETE	/v1/webhooks/{id} LIVE	Remove a webhook subscription.
POST	/v1/webhooks/{id}/test LIVE	Send a synthetic test event to a webhook URL.

Transparency · 4 endpoints

GET	/v1/transparency/canary LIVE	Current warrant canary, PGP-signed payload. Same content as /warrant-canary/.
GET	/v1/transparency/peering LIVE	AS213232 peering announcements + current prefix list.
GET	/v1/transparency/status LIVE	Live operational status of every bastion + shared services.
GET	/v1/transparency/incidents PLANNED	Operational incidents (last 12 months, rolling).	roadmap

Agents directory · 2 endpoints

GET	/v1/agents/directory LIVE	Public listing of agents using NordBastion.
POST	/v1/agents/directory LIVE	Submit this account's agent for the public directory.

OAuth 2.1 / DCR · 4 endpoints

POST	/v1/oauth/register LIVE	RFC 7591 Dynamic Client Registration.
POST	/v1/oauth/token LIVE	Token endpoint — client_credentials, password, refresh_token.
POST	/v1/oauth/revoke LIVE	Revoke an access or refresh token.
GET	/v1/oauth/introspect LIVE	Introspect a token (RFC 7662, basic info only).

Все эндпоинты работают по схеме JSON in / JSON out, пагинация через ?page= & ?per_page=, фильтрация через ?filter[field]=, выбор полей через ?fields=. Каждый запрос может содержать заголовок Idempotency-Key.

Аутентификация

Три вида учётных данных, два режима конфиденциальности.

Bearer-токен LIVE

Email + пароль · JWT · истечение через 24 часа

Краткосрочный JWT, выдаваемый через POST /v1/auth/login. Содержит заявки области действия и идентификатор отзыва сессии. Можно обновлять в течение 30 дней через /v1/auth/token/refresh.

Authorization: Bearer eyJhbGciOi••••

API-ключ с ограниченной областью действия LIVE

Долгоживущий · с областью действия · отзываемый

Области: read-only, billing-read, billing-write, servers-read, servers-write, full. Опциональный белый список IP (CIDR), опциональный срок действия. Рекомендуется для CI и инфраструктурных скриптов.

Authorization: Bearer nb_live_3f9c2a••••

Взаимный TLS Planned v1.1

Клиентский сертификат · enterprise / compliance

Привяжите клиентский сертификат mTLS к API-ключу. Запросы с неправильным клиентским сертификатом отклоняются на уровне TLS до запуска любой логики приложения. Доступно по запросу через панель.

curl --cert client.pem --key client.key https://nordbastion.com/v1/servers

Ответы с подписью PGP Planned v1.1

Отдельная подпись по выбору · проверяема офлайн

Установите X-NB-Sign: 1 в любом запросе. Тело ответа будет обёрнуто в отделённую PGP-подпись открытым текстом с использованием ключа NordBastion (отпечаток на /pgp/). Используется конвейерами соответствия, которые не доверяют только TLS-цепочке.

curl -H "X-NB-Sign: 1" -H "Authorization: Bearer ..." https://nordbastion.com/v1/transparency/canary

NordBastion не собирает персональные данные при регистрации, и API не изменяет этот минимум. Нет webhook-а верификации SMS, нет потока подтверждения email, нет эндпоинта загрузки удостоверения личности. API предоставляет доступ к деньгам, машинам и метаданным — вот и вся поверхность.

Лимиты запросов

На ключ, опубликовано в минуту

Эндпоинты чтения: 1000 / min
Эндпоинты записи: 100 / min
Чувствительно к аутентификации: 10 / min
Повтор при 429: Retry-After

Каждый ответ содержит X-RateLimit-Limit, X-RateLimit-Remaining, X-RateLimit-Reset. Более высокие уровни доступны по запросу через панель.

Версионирование

Минимальный срок устаревания — двенадцать месяцев

Эндпоинты версионируются по URL в /v1/. Обратно несовместимые изменения появляются только в новой мажорной версии. Предыдущая мажорная версия поддерживается не менее двенадцати месяцев. Устаревшие эндпоинты содержат заголовки ответа Sunset и Deprecation.

Sunset: Wed, 01 Jul 2027 00:00:00 GMT
Deprecation: true

Формат ошибок

Стабильный конверт, машиночитаемый код

{
  "error": {
    "type":    "invalid_request",
    "code":    "invalid_bastion",
    "message": "Unknown bastion 'mxp'.",
    "request_id": "req_2VqK8e...",
    "doc_url": "https://nordbastion.com/api/#errors"
  }
}

Вебхуки

Подписанные события, повторяются с экспоненциальной задержкой.

Каждая полезная нагрузка события подписывается HMAC с вашим webhook-секретом. Три попытки повтора с экспоненциальной задержкой в течение часа, затем отбрасывается. Тестовые доставки доступны через POST /v1/webhooks/{id}/test.

account.balance.low

Balance dropped below the configured threshold.

topup.created

Crypto top-up address generated, waiting for first confirmation.

topup.confirmed

Top-up settled on-chain. Balance credited.

topup.failed

Top-up address expired without confirmation.

invoice.issued

Monthly invoice issued. PDF + PGP-signed PDF available.

server.provisioning

Provisioning started — image being written.

server.provisioned

Server is booted and reachable on SSH.

server.power.on

Server powered on (manual or scheduled).

server.power.off

Server powered off (manual or scheduled).

server.reinstalled

OS reinstalled. Root password rotated.

server.resized

VPS tier changed. Applied on the next reboot.

server.migrated

Server moved to another bastion via snapshot redeploy.

server.deleted

Server terminated. Pro-rated credit returned.

snapshot.created

Snapshot completed and is downloadable.

snapshot.restored

Snapshot restored in place.

snapshot.deleted

Snapshot removed.

volume.attached

Block volume attached to a server.

volume.detached

Block volume detached.

firewall.changed

Firewall ruleset applied to one or more servers.

canary.updated

Warrant canary reaffirmed (first of every month).

incident.opened

Operational incident opened on a bastion or shared service.

incident.resolved

Operational incident closed.

peering.changed

AS213232 peering or prefix announcement updated.

Эндпоинты прозрачности

Программный доступ к канарейке — журналу инцидентов, записи пиринга.

Большинство облачных API предоставляют продукты и биллинг. NordBastion также предоставляет собственную поверхность прозрачности — программно. Та же канарейка-ордер, опубликованная по адресу /warrant-canary/, доступна как подписанная JSON-полезная нагрузка по адресу /v1/transparency/canary. Та же история инцидентов, движущая /status/, находится по адресу /v1/transparency/incidents. Та же запись пиринга, живущая на /peering/, — по адресу /v1/transparency/peering. Те же объявления префиксов AS213232 запрашиваются в реальном времени.

Подпишитесь на вебхук canary.updated и получайте push-уведомление в первый день каждого месяца — если он перестанет срабатывать, канарейка сломана, и вы узнаете об этом без опроса. Создайте оповещение самостоятельно, в своей инфраструктуре, с криптографической подписью, которую можно верифицировать офлайн по опубликованному PGP-ключу.

Это та часть API, которой нет ни у одного коммерческого облака, потому что ни одно коммерческое облако не располагает доктриной для её поддержки.

Пример · GET /v1/transparency/canary

{
  "as_of": "2026-05-01T00:00:00Z",
  "statement": "NordBastion has received no...",
  "signature": "-----BEGIN PGP SIGNATURE-----...",
  "key_fingerprint": "B9BB 3413 6FDC C3DA 8356 50C8 1A32 1442 3855 B282",
  "next_reaffirmation": "2026-06-01T00:00:00Z"
}

Читать страницу канарейки Читать отчёт о прозрачности PGP-ключ

FAQ · API

Вопросы разработчика — с ответами.

Вопросы, которые разработчик задаёт перед тем, как доверить инфраструктуру API хостинга.

Действительно ли есть API и является ли он KYC-free?

Да — каждое действие, доступное в панели управления, сегодня или в опубликованной дорожной карте имеет эквивалент в API, а сам API защищён тем же аутентифицированным аккаунтом панели: email и паролем. Верификация личности не требуется для получения или использования API-учётных данных.

Для каких языков программирования есть официальные SDK?

Четыре официальных SDK и один CLI. Python (pip install nordbastion), TypeScript / Node (npm install @nordbastion/api), Go (go install go.nordbastion.com/cli/nb@latest), Rust (cargo add nordbastion) и однобинарный кросс-платформенный CLI (nb), устанавливаемый через curl. Все SDK распространяются под лицензией MIT с открытым исходным кодом.

Могу ли я пополнить баланс из кода в криптовалюте?

Да. POST /v1/billing/topups создаёт намерение пополнения и возвращает целевой адрес для каждой монеты, QR-код и метку времени истечения срока. Когда сеть подтверждает платёж, ваш предоплаченный баланс автоматически пополняется и срабатывает вебхук topup.confirmed. Поддерживается двенадцать криптовалют, перечисленных на /v1/billing/coins.

Доступны ли API-эндпоинты через Tor?

Clearnet-эндпоинт api.nordbastion.com сегодня Tor-совместим — без специальных лимитов запросов или блокировки Tor. v3 onion-зеркало API в дорожной карте панели и будет разделять те же TLS-сертифицированные материалы через заголовки ответа Onion-Location при его запуске.

Что означает «ответы с PGP-подписью»?

Вы можете включить для своего API-ключа тела ответов с PGP-подписью. Каждый JSON-ответ обёртывается в отделённую PGP-подпись открытым текстом с использованием ключа NordBastion (отпечаток на /pgp/). Обёртка верифицируется офлайн и полезна для соответствия требованиям и аттестации источника в средах, которые не доверяют только TLS-цепочке.

Как применяются ограничения скорости?

На API-ключ. Опубликованный базовый уровень: 1000 запросов на чтение в минуту и 100 запросов на запись в минуту, плюс 10 запросов в минуту на чувствительных к аутентификации эндпоинтах (вход, сброс пароля, создание ключа). Каждый ответ содержит заголовки X-RateLimit-Limit, X-RateLimit-Remaining и X-RateLimit-Reset; ответы 429 включают заголовок Retry-After. Верифицированные аккаунты разработчиков могут запрашивать более высокие уровни через панель.

Как работает версионирование?

Эндпоинты версионируются по URL в /v1/. Обратно несовместимые изменения появляются только в новой мажорной версии (/v2/, /v3/), предыдущая мажорная версия поддерживается не менее двенадцати месяцев после выпуска следующей. Устаревшие эндпоинты содержат заголовок Sunset с датой отключения и заголовок Deprecation: true в каждом ответе.

Почему журнал аудита включается добровольно?

Потому что доктрина NordBastion предписывает: мы логируем только то, что необходимо. Операционные метрики запросов живут в скользящем окне, нужном rate-limiter'у, и затем истекают; журнал аудита API-действий на каждого клиента — это больше данных, чем нам нужно для работы платформы, поэтому по умолчанию он отключён. Клиенты, которым это нужно, могут включить /v1/account/audit-log; после включения он охватывает панель + API в равной мере и может быть экспортирован.

Готово к автоматизации

Получите API-ключ в панели.

Тот же минимум регистрации — email и пароль. Без проверки личности. Оплата криптовалютой. Запуск сервера в Stockholm, Helsinki, Oslo или Reykjavík — примерно за девяносто секунд.

Получить API-ключ Смотреть каталог VPS Читать доктрину

Базовый URL · https://nordbastion.com/v1/ · Статус · статус работы в реальном времени · Сетевой монитор · запустить ping/MTR в реальном времени