GCP deploy setup для мінісервісів — інструкція + бюджет

Автор: Claude (VPS) · Дата: 2026-04-23 · Для: Сергій

---

Частина 1. Як видати мені ключ (15 хв твого часу)

Крок 1. Створити / вибрати GCP-проект

1. Зайди в https://console.cloud.google.com
2. Зверху ліворуч — селектор проектів → NEW PROJECT
3. Project name: deltamedical-apps
4. Organization: якщо є — Deltamedical, якщо ні — без організації
5. Location: No organization (ок)
6. Натисни CREATE · почекай ~30 сек

Якщо такий проект вже існує з попередніх деплоїв — просто вибери його, новий не створюй.

Крок 2. Підключити білінг

1. Лівий бургер → Billing
2. Якщо картки ще нема — LINK A BILLING ACCOUNT → додай ту саму картку, що для Google Ads/Gemini
3. Якщо акаунт є — просто Link billing account до deltamedical-apps

Без білінгу Cloud Run не працюватиме. Google дає $300 free credit для нових акаунтів (90 днів).

Крок 3. Увімкнути потрібні API

Бургер → APIs & Services → Library. Знайди і натисни ENABLE для кожного:

• Cloud Run Admin API
• Cloud Build API
• Artifact Registry API
• Secret Manager API
• Cloud Resource Manager API
• IAM Service Account Credentials API

(~2 хв — клацаєш по черзі).

Крок 4. Створити Service Account для мене

1. Бургер → IAM & Admin → Service Accounts → + CREATE SERVICE ACCOUNT
2. Service account name: claude-deployer
3. Service account ID: claude-deployer (auto)
4. Description: Claude VPS deploys mini-apps via Cloud Run
5. CREATE AND CONTINUE

Крок 5. Видати ролі (Grant this service account access to project)

Додай по одній через + ADD ANOTHER ROLE:

Роль	Для чого
Cloud Run Admin	деплой/рестарт/видалити сервіси
Artifact Registry Writer	пушити docker-імеджі
Cloud Build Editor	запускати білди
Service Account User	runtime SA для Cloud Run
Secret Manager Secret Accessor	читати секрети під час деплою
Storage Object Admin	Cloud Build artifacts

Натисни CONTINUE → DONE (3-й крок — Grant users access — пропусти).

Крок 6. Згенерувати JSON-ключ

1. У списку SA-ів клікни щойно створений claude-deployer@deltamedical-apps.iam.gserviceaccount.com
2. Таб KEYS → ADD KEY → Create new key
3. Key type: JSON
4. CREATE — файл автоматично завантажиться (deltamedical-apps-xxxxx.json)

Крок 7. Передати ключ мені

Варіант A (швидко, безпечно): прикріпи JSON-файл у Telegram → після прийому я збережу в /srv/passepartout/google/gcp-deltamedical-apps-deployer.json, видалю з inbox, додам .meta (створено, ротація 2027-04-23).

Варіант B: зайди на VPS і сам поклади:

scp deltamedical-apps-xxxxx.json root@31.131.26.203:/srv/passepartout/google/gcp-deltamedical-apps-deployer.json
chmod 600 /srv/passepartout/google/gcp-deltamedical-apps-deployer.json

Крок 8. Перевірити (я зроблю)

Коли отримаю ключ — одразу прожену:

gcloud auth activate-service-account --key-file=/srv/passepartout/google/gcp-deltamedical-apps-deployer.json
gcloud projects describe deltamedical-apps
gcloud run services list --region=europe-west1

Якщо все OK — відзвітую і починаємо пілотний деплой Med Detective.

---

Частина 2. Бюджет для Med Detective на Cloud Run — тест 2000 лікарів

Припущення

• 2000 унікальних лікарів за період квізу
• 1 сесія ~15-20 хв, ~30 LLM-запитів (інтент + пацієнт паралельно)
• Трафік нерівномірний (піки в обід + вечір будні)
• Поточний stack: FastAPI + Redis + Replicate (Llama-3-8B)

Breakdown помісячно

Компонент	Що це	Розрахунок	Вартість
Cloud Run (бекенд)	FastAPI, 512 MiB, 1 vCPU, scale-to-zero	~60K requests, ~40 instance-hours	$3-5
Replicate (Llama-3-8B)	intent + patient reply	2000 × 30 виклики × ~1 сек = 60K сек × $0.000225	$13-15
Redis — 2 варіанти ↓
└ Cloud Memorystore (Basic, 1 GB)	GCP-native, always-on	720 год × $0.049	$35
└ Upstash Redis (serverless)	pay-per-request	~200K commands	$2-5 ✅
Artifact Registry	docker-імеджі	~500 MB × $0.10/GB	$0.05
Cloud Build	деплой	~20 builds × 3 хв	$0.50
Secret Manager	.env, ключі	5 secrets × 10K access	$0.30
Egress	трафік до юзерів	~2 GB	$0.24
Cloud Logging	перші 50 GB/мо безкоштовно	2 GB логів	$0

Підсумок

Варіант A — Cloud Run + Upstash Redis (рекомендований):

• Активний місяць з 2000 користувачами: ~$22-30
• Idle місяць (без трафіку): ~$0-2

Варіант B — Cloud Run + Memorystore (GCP-native):

• Активний місяць: ~$55-65
• Idle місяць: ~$35 (Memorystore always-on)

Порівняння з VPS

Поточний HOSTiQ kVPS70 — €8/мо (~$8.50) фіксовано, без лімітів на кількість юзерів. Тримає всі проекти разом (Med Detective, BioGaia, browser, n8n, reports, claude-bot, watchdog).

Коли переходити на Cloud Run:

• 🟢 Виходимо на продакшн, лікарі з бренд-реклами — треба SLA, auto-scale, уникаємо "лягло всю ніч"
• 🟢 Очікуємо піки трафіку (запустили Meta Ads → 500 користувачів одночасно)
• 🟢 Окрема ізоляція за проектом (щось впало — інші живі)

Коли лишатися на VPS:

• 🔴 Внутрішні інструменти, prototype, low-traffic (fine with VPS)
• 🔴 Важливий постійний state (Redis, SQLite) — serverless менш зручний

Моя рекомендація

Med Detective (бренд-тест з 2000 лікарів) → Cloud Run + Upstash Redis. Бюджет $22-30 місяць — прийнятно, auto-scale захищає від спайків, zero-maintenance. Якщо квіз "вистрелить" — не треба ресайзити VPS.

Інші мінісервіси (BioGaia story, reports hub, browser, n8n) → лишити на VPS. Не варті overhead.

---

Що далі

1. Ти робиш кроки 1-7 (~15 хв) — я чекаю JSON-файл.
2. Я перевіряю доступ (Крок 8) — 2 хв.
3. Паралельно підготую Dockerfile + cloudbuild.yaml для Med Detective (приблизно 1 год).
4. Перший деплой на med-detective-staging.run.app для smoke-тесту — ти тестуєш, я правлю.
5. Custom domain quiz.medizine.eu або med-detective.deltamedical.com.ua → SSL auto.
6. Одразу solve proxy whitelist питання — через Cloud Run з outbound egress API.

---

Безпека ключа

• SA scoped тільки до проекту deltamedical-apps — якщо компромет, нічого поза проектом не зачепить.
• Ключ лежить у /srv/passepartout/google/ з chmod 600, root-only.
• Ротація: щороку (next: 2027-04-23) — нагадування поставлю.
• Якщо колись запідозриш leak — з консолі disabе-ключа → видалиш → робимо новий за 5 хв.