cloud-pilot предоставляет три инструмента — search (поиск), execute (выполнение) и tofu (OpenTofu), — которые в совокупности охватывают более 1 289 сервисов и более 51 900 операций API с полным управлением жизненным циклом инфраструктуры. Обнаруживайте API во время выполнения, запускайте скрипты для работы с текущим состоянием облака и управляйте развертываниями с сохранением состояния (планирование/применение/удаление) через OpenTofu.

При подключении агента сервер предоставляет персону старшего инженера облачной платформы — со всеми принципами проектирования, экспертными знаниями по конкретным провайдерам, пониманием безопасности и структурированными подсказками для рабочих процессов, — чтобы агент автоматически работал в соответствии с производственными стандартами облачной архитектуры и безопасности.

Демо: трехуровневое развертывание AWS с помощью OpenTofu — VPC, ALB, ASG, RDS развернуты и удалены с помощью инструмента tofu.

Смотреть полную демо

Что изменилось в версии v0.2:

Нативное выполнение SDK — вызовы AWS используют пакеты @aws-sdk/client-* (а не кастомный HTTP). Azure использует @azure/core-rest-pipeline с автоматическими повторными попытками/ограничением частоты запросов. Никаких ошибок сериализации.
Интеграция с OpenTofu — новый инструмент tofu для жизненного цикла инфраструктуры с сохранением состояния: написание HCL, планирование, применение, удаление, импорт существующих ресурсов, обнаружение дрейфа конфигурации и откат.
4-уровневая система пробного запуска (dry-run) — проверка на стороне облачного провайдера (AWS DryRun), принудительная проверка сессии, сводки о влиянии с предупреждениями о стоимости и набор изменений сессии с планами отката.
Настраиваемая безопасность — dryRunPolicy для каждого провайдера: enforced (интерактивные сессии), optional (одобренная автоматизация), disabled (боты только для чтения).

Содержание

Раздел	Описание
Проблема	Почему существующие подходы неэффективны
Как это работает	Паттерн из трех инструментов: поиск, выполнение, tofu
Охват облачных провайдеров	4 провайдера, 1 289 сервисов, 51 900+ операций
Архитектура	Проектирование системы и обзор компонентов
Встроенная персона облачного инженера	Инструкции, ресурсы, подсказки, конфигурация
Почему cloud-pilot?	Когда вам нужна плоскость управления между ИИ-агентами и вашим облаком
Агенты, которые действуют, а не советуют	Как cloud-pilot превращает ИИ из советчика в исполнителя — пример реального развертывания
Корпоративная интеграция	ServiceNow, Teams/Slack и как MCP обеспечивает единую интеграцию для всех облаков
Жизненный цикл инфраструктуры с OpenTofu	Развертывания с состоянием: планирование, применение, удаление, импорт, обнаружение дрейфа
Реальные сценарии использования	Посадочные зоны (landing zones), глобальные WAN, K8s, реагирование на инциденты, анализ затрат
Начало работы
Быстрый старт	Предварительные требования, установка и запуск
Настройка учетных данных	Автообнаружение, переменные окружения, Vault, Azure AD
Запуск в Docker	Развертывание в контейнере
Подключение к вашему MCP-клиенту	stdio, HTTP, аутентификация по API-ключу
Примеры интеграции с платформами	OpenAI SDK, Cursor, LangChain, кастомные агенты
Справочник
Справочник конфигурации	Полная схема `config.yaml` и переопределения переменных окружения
Динамическое обнаружение API	Трехуровневая система спецификаций: каталог, индекс, полные спецификации
Модель безопасности	Уровни изоляции песочницы, режимы, списки разрешенных, аудит
Безопасность HTTP-транспорта	Аутентификация, CORS, ограничение частоты запросов
Операции
CI/CD конвейер	Сборка, тестирование, Docker, обновление каталога
Структура проекта	Обзор дерева исходного кода
Расширение	Добавление провайдеров, бэкендов аутентификации, целей развертывания
Устранение неполадок	Распространенные проблемы и диагностические шаги

Проблема

Облачные провайдеры предоставляют тысячи операций API для сотен сервисов. Традиционные подходы к управлению облаком с помощью ИИ либо:

Жестко кодируют несколько инструментов (например, "перечислить экземпляры EC2", "создать S3-бакет") — ограничивая возможности агента тем, что предусмотрел разработчик
Генерируют сотни инструментов MCP из спецификаций API — перегружая контекстное окно агента и делая выбор инструмента ненадежным
Требуют ручного обновления каждый раз, когда облачный провайдер запускает новый сервис

cloud-pilot-mcp решает эту проблему с помощью паттерна поиска и выполнения: агент обнаруживает то, что ему нужно, во время выполнения, а затем вызывает это через изолированную среду выполнения. Никаких заранее созданных инструментов, фиксированных списков сервисов или ручных обновлений.

Как это работает

                  User                        Agent                      cloud-pilot-mcp
                   |                            |                              |
                   |  "Set up a Transit Gateway |                              |
                   |   connecting three VPCs"    |                              |
                   |--------------------------->|                              |
                   |                            |                              |
                   |                            |  search("transit gateway")   |
                   |                            |----------------------------->|
                   |                            |                              |
                   |                            |  CreateTransitGateway,       |
                   |                            |  CreateTGWVpcAttachment,     |
                   |                            |  CreateTGWRouteTable + schemas|
                   |                            |<-----------------------------|
                   |                            |                              |
                   |                            |  execute(provider: "aws",    |
                   |                            |    code: sdk.request({       |
                   |                            |      service: "ec2",         |
                   |                            |      action: "CreateTGW",    |
                   |                            |      params: {...}           |
                   |                            |    })                        |
                   |                            |----------------------------->|
                   |                            |                              |  QuickJS
                   |                            |                              |  Sandbox
                   |                            |                              |----+
                   |                            |                              |    | SigV4
                   |                            |                              |    | signed
                   |                            |                              |<---+
                   |                            |  Transit Gateway ID, state   |
                   |                            |<-----------------------------|
                   |                            |                              |
                   |  "Done! TGW tgw-0abc123    |                              |
                   |   created in us-east-1"    |                              |
                   |<---------------------------|                              |

Агент рассуждает о том, какие API существуют, планирует последовательность и выполняет — все в рамках диалога.

Охват облачных провайдеров

  +-------------------------------------------+
  |          51,900+ API Operations            |
  |                                            |
  |   +----------+  +---------+  +--------+   |
  |   |   AWS    |  |  Azure  |  |  GCP   |   |
  |   | 421 svcs |  | 240+    |  | 305    |   |
  |   | 18,109   |  | 3,157   |  | 12,599 |   |
  |   |   ops    |  |   ops   |  |  ops   |   |
  |   +----------+  +---------+  +--------+   |
  |                                            |
  |              +-----------+                 |
  |              |  Alibaba  |                 |
  |              |  323 svcs |                 |
  |              |  18,058   |                 |
  |              |    ops    |                 |
  |              +-----------+                 |
  +-------------------------------------------+

Провайдер	Сервисы	Операции	Источник спецификаций	Аутентификация
AWS	421	18 109	boto/botocore через jsDelivr CDN	AWS CLI / цепочка учетных данных SDK -> Нативный `@aws-sdk/client-*`
Azure	240+	3 157	azure-rest-api-specs через GitHub CDN	Azure CLI / DefaultAzureCredential -> `@azure/core-rest-pipeline`
GCP	305	12 599	Google Discovery API (live)	gcloud CLI / GoogleAuth -> Bearer-токен
Alibaba	323	18 058	Alibaba Cloud API + api-docs.json	aliyun CLI / цепочка учетных данных -> ACS3-HMAC-SHA256
Итого	1 289+	51 923

Все сервисы обнаруживаются динамически — предварительная настройка не требуется. Когда облачный провайдер запускает новый сервис, он автоматически становится доступным при следующем обновлении каталога.

Архитектура

                         MCP Protocol (stdio or Streamable HTTP)
                                       |
                         +-------------v--------------+
                         |      cloud-pilot-mcp       |
                         |                            |
    +--------------------+----------------------------+--------------------+
    |                    |                            |                    |
    |  +--------------+  |  +--------------+          |  +--------------+  |
    |  |   Persona    |  |  |    search    |          |  |   Safety     |  |
    |  +--------------+  |  +--------------+          |  |   + Audit    |  |
    |  | Sr. Cloud    |  |  | 51,900+ ops  |          |  +--------------+  |
    |  | Platform     |  |  |              |          |  | read-only    |  |
    |  | Engineer     |  |  | Tier 1:      |          |  | allowlists   |  |
    |  |              |  |  |  Catalog     |          |  | blocklists   |  |
    |  | 8 principles |  |  |  (1,289 svc) |          |  | 4-level      |  |
    |  | 6 prompts    |  |  | Tier 2:      |          |  |  dry-run     |  |
    |  | 4 provider   |  |  |  Op Index    |          |  | audit trail  |  |
    |  |   guides     |  |  | Tier 3:      |          |  | dryRunPolicy |  |
    |  |              |  |  |  Full Spec   |          |  | rate limit   |  |
    |  +--------------+  |  +--------------+          |  +--------------+  |
    |                    |                            |                    |
    |  +--------------+  |  +--------------+          |                    |
    |  |   execute    |  |  |    tofu      |          |                    |
    |  +--------------+  |  +--------------+          |                    |
    |  | VM sandbox   |  |  | OpenTofu     |          |                    |
    |  | Native SDK   |  |  | plan/apply   |          |                    |
    |  | calls        |  |  | destroy      |          |                    |
    |  |              |  |  | import       |          |                    |
    |  | Fast reads,  |  |  | State mgmt   |          |                    |
    |  | ad-hoc       |  |  | Drift detect |          |                    |
    |  | scripts      |  |  | Rollback     |          |                    |
    |  +--------------+  |  +--------------+          |                    |
    +--------------------+----------------------------+--------------------+
                         |    |         |         |
                +--------+    +---+     +---+     +--------+
                |                 |         |              |
           +----v-----+    +-----v---+  +--v-----+  +-----v------+
           |   AWS    |    |  Azure  |  |  GCP   |  |  Alibaba   |
           | Native   |    | ARM     |  | REST   |  | ACS3-HMAC  |
           | SDK v3   |    | Pipeline|  | + Auth |  | + fetch    |
           | 421 svcs |    | 240+    |  | 305    |  | 323 svcs   |
           +----------+    +---------+  +--------+  +------------+

Встроенная персона облачного инженера

Когда любой ИИ-агент подключается к cloud-pilot-mcp, сервер автоматически формирует поведение агента через четыре уровня:

Инструкции сервера (доставляются всегда)

При каждом подключении сервер отправляет инструкции MCP, которые определяют агента как старшего инженера облачной платформы, архитектора безопасности и специалиста по DevOps с:

8 ключевыми принципами: безопасность прежде всего, инфраструктура как код (IaC), минимизация радиуса поражения, глубокоэшелонированная защита, осведомленность о затратах, операционное совершенство, Well-Architected Framework, высокая доступность по умолчанию
Поведенческими стандартами: поиск перед выполнением, проверка состояния перед изменением, пробный запуск (dry-run) перед мутирующими операциями, объяснение логики, предупреждение о стоимости/рисках, включение мониторинга вместе с изменениями
Осведомленностью о безопасности: понимание и информирование о текущем режиме (только чтение/чтение-запись/полный), соблюдение аудита, использование пробного запуска

Инструкции динамически адаптируются, чтобы включать только настроенных провайдеров, их режимы, регионы и разрешенные сервисы.

Экспертиза провайдера (по запросу через ресурсы MCP)

Глубокие руководства по проектированию для конкретных провайдеров (~1500 слов каждое) доступны как ресурсы MCP:

URI ресурса	Содержание
`cloud-pilot://persona/overview`	Полный документ персоны со всеми принципами и сводкой по провайдерам
`cloud-pilot://persona/aws`	Проектирование VPC/TGW, роли IAM, GuardDuty/SecurityHub, жизненный цикл S3, Graviton, антипаттерны
`cloud-pilot://persona/azure`	Landing Zones, Entra ID/Managed Identity, Virtual WAN, Defender, Policy, PIM
`cloud-pilot://persona/gcp`	Shared VPC, Workload Identity Federation, GKE Autopilot, VPC Service Controls
`cloud-pilot://persona/alibaba`	CEN, RAM/STS, ACK, Security Center, специфика Китая (ICP, резидентность данных)
`cloud-pilot://safety/{provider}`	Текущий режим безопасности, разрешенные сервисы, заблокированные действия, конфигурация аудита

Агенты запрашивают их по мере необходимости — они не создают никакой нагрузки на соединения, где они не нужны.

Подсказки для рабочих процессов (структурированные многошаговые процедуры)

Шесть подсказок MCP предоставляют экспертные многошаговые рабочие процессы, которые агенты могут вызывать:

Подсказка	Что она делает
`landing-zone`	Развертывание полной облачной посадочной зоны: структура организации, идентификация, сеть, базовый уровень безопасности, мониторинг
`incident-response`	Жизненный цикл инцидента безопасности: локализация, расследование, устранение, восстановление, пост-мортем
`cost-optimization`	Полный аудит затрат: простаивающие ресурсы, изменение размера, зарезервированные мощности, многоуровневое хранение, сетевые расходы
`security-audit`	Комплексный обзор безопасности: IAM, сеть, шифрование, логирование, соответствие требованиям, управление уязвимостями
`migration-assessment`	Планирование миграции рабочих нагрузок: обнаружение, стратегия 6R, целевая архитектура, волны миграции, переключение
`well-architected-review`	Обзор по Well-Architected Framework по всем 6 столпам с рекомендациями, специфичными для провайдера

Каждая подсказка принимает аргумент provider (динамически ограниченный настроенными провайдерами) и возвращает структурированное руководство, которому агент следует шаг за шагом, используя search и execute.

Конфигурация персоны

Персона включена по умолчанию. Настройте или отключите ее в config.yaml:

persona:
  enabled: true                 # Set false to disable all persona features
  # instructionsOverride: "..." # Replace default instructions with your own
  # additionalGuidance: "..."   # Append custom policies (e.g., "All resources must be tagged with CostCenter")
  enablePrompts: true           # Set false to disable workflow prompts
  enableResources: true         # Set false to disable persona resources

Или через переменную окружения: CLOUD_PILOT_PERSONA_ENABLED=false

Почему cloud-pilot?

Если вы разработчик с Claude Code или Cursor и у вас есть собственные учетные данные AWS, вам это не нужно — просто запускайте команды CLI aws напрямую. ИИ уже знает синтаксис CLI, и вы доверяете себе с правами администратора.

cloud-pilot существует для случаев, когда с вашим облаком общаетесь не вы в терминале. Это плоскость управления между ненадежными или частично надежными ИИ-агентами и вашими облачными аккаунтами.

SaaS-продукт — Cloud Copilot для ваших клиентов

Вы создаете платформу, где клиенты подключают свои аккаунты AWS/Azure/GCP, а их команды управляют инфраструктурой через чат-интерфейс. Вы не можете дать ИИ «сырые» учетные данные — вам нужен режим «только чтение» для младших инженеров, «чтение-запись» для старших, полный аудит для соответствия требованиям и списки разрешенных сервисов, чтобы никто случайно не затронул производственные базы данных. Cloud-pilot — это промежуточное ПО, которое делает это безопасным.

Внутренний DevOps-портал

В вашей компании 50 инженеров. Вместо того чтобы давать всем доступ к консоли AWS с широкими политиками IAM, вы развертываете cloud-pilot за внутренним чат-интерфейсом. Инженеры спрашивают: «что запущено в стейджинге?» или «масшта

Cloud Pilot MCP