Coolify vs Dokploy: какой self-hosted PaaS выбрать для VPS?
Сравнение Coolify и Dokploy с реальными цифрами потребления ресурсов, анализом лицензий и фреймворком принятия решений на основе размера VPS.
Coolify и Dokploy обещают Heroku-подобный опыт на твоем собственном сервере. Оба поддерживают деплой через git push, автоматический SSL и провижининг баз данных. Но они существенно различаются по потреблению ресурсов, истории безопасности, лицензионным условиям и архитектуре. Это руководство разбирает, где каждый из них силен и когда лучше не использовать ни один.
Что дает self-hosted PaaS по сравнению с Docker Compose?
Self-hosted PaaS добавляет веб-панель, автоматическое управление SSL-сертификатами, деплой через git push, провижининг баз данных через интерфейс и откат деплоев поверх Docker. Он заменяет ручную работу по написанию Compose-файлов, настройке reverse proxy и конфигурации Let's Encrypt.
Если у тебя уже есть рабочий docker-compose.yml и reverse proxy вроде Traefik или Caddy, PaaS может добавить оверхед без реальной пользы. PaaS-инструменты имеют смысл, когда ты часто деплоишь несколько приложений, нужна панель для нетехнических пользователей или хочешь установки в один клик из каталога.
Компромисс всегда в потреблении ресурсов. И Coolify, и Dokploy запускают собственные контейнеры (веб-интерфейс, база данных, прокси, воркеры), которые потребляют RAM и CPU еще до деплоя твоего первого приложения.
Traefik vs Caddy vs Nginx: сравнение Docker reverse proxy
Сколько RAM потребляют Coolify и Dokploy на VPS?
Оверхед платформы Coolify в простое составляет от 500 МБ до 1,2 ГБ RAM, в зависимости от того, включен ли мониторинг. Dokploy потребляет около 350 МБ в простое. На VPS с 4 ГБ эта разница определяет, сколько приложений ты реально сможешь запустить.
Вот что остается для твоих приложений после того, как каждая платформа забрала свою долю:
| RAM VPS | Оверхед Coolify | Доступно для приложений | Оверхед Dokploy | Доступно для приложений | Без PaaS (Compose + Traefik) |
|---|---|---|---|---|---|
| 4 ГБ | ~750 МБ-1,2 ГБ | 2,8-3,2 ГБ | ~350 МБ | 3,6 ГБ | ~3,8 ГБ |
| 8 ГБ | ~750 МБ-1,2 ГБ | 6,8-7,2 ГБ | ~350 МБ | 7,6 ГБ | ~7,8 ГБ |
| 16 ГБ | ~750 МБ-1,2 ГБ | 14,8-15,2 ГБ | ~350 МБ | 15,6 ГБ | ~15,8 ГБ |
Потребление CPU следует похожей картине. Dokploy в простое занимает 0,8-1,5% CPU. Coolify в простое занимает 5-7%, с пиками до 25% при работе встроенного сбора метрик. На 4-ядерном VPS базовая нагрузка Coolify эквивалентна половине ядра, которое ничего полезного не делает.
Эти цифры взяты из нескольких независимых бенчмарков. Твои результаты будут отличаться в зависимости от количества развернутых сервисов, включенных функций и использования стека мониторинга Coolify.
Лимиты ресурсов, healthcheck-проверки и политики перезапуска в Docker Compose
Coolify: возможности и компромиссы
Coolify (v4.0.0-beta.468 на март 2026) — более зрелый проект с 51 000+ звездами на GitHub. Он предоставляет полнофункциональную платформу деплоя с большим каталогом приложений в один клик (280+ сервисов).
Что Coolify делает хорошо:
- Каталог в один клик. Разворачивай базы данных, стеки мониторинга, CMS-платформы и другое из каталога. Полезно для инди-хакеров, которые хотят Plausible, Umami или Ghost за считанные минуты.
- Управление несколькими серверами. Подключи несколько VPS-инстансов к одной панели Coolify. Каждый сервер управляется независимо (без кластеризации).
- Интеграция с Cloudflare Tunnel. Встроенная поддержка для проброса сервисов через Cloudflare без открытия портов.
- Каналы уведомлений. Оповещения через Discord, Telegram, Slack и email о событиях деплоя.
- Полная лицензия Apache 2.0. Никаких функциональных ограничений по лицензии. Весь код в репозитории — open source.
Где Coolify проседает:
- Аппетит к ресурсам. Оверхед в 500 МБ — 1,2 ГБ RAM ощутим на небольших VPS. Включение метрик ситуацию ухудшает.
- Сложная архитектура. Coolify запускает несколько контейнеров (приложение Laravel, PostgreSQL, Redis, websocket-сервер Soketi, воркеры). Больше движущихся частей — больше потенциальных точек отказа.
- История безопасности. См. следующий раздел.
Какие уязвимости безопасности были у Coolify?
В январе 2026 года исследователи раскрыли 11 уязвимостей безопасности в Coolify. Три имели оценку CVSS 10.0 — максимально возможную степень серьезности. Это самый значительный инцидент безопасности в пространстве self-hosted PaaS на сегодняшний день.
Уязвимости были обнаружены в рамках двух независимых исследований:
Первая партия (исправлена в v4.0.0-beta.374):
- CVE-2025-22612 (CVSS 10.0): любой аутентифицированный пользователь мог получить приватные ключи в открытом виде, что позволяло удаленное выполнение кода на управляемых серверах.
- CVE-2025-22609 (CVSS 10.0): любой аутентифицированный пользователь мог привязать существующие приватные ключи к своей конфигурации сервера и затем выполнять произвольные команды на серверах-жертвах через функцию Terminal.
- CVE-2025-22611 (CVSS 9.9): эскалация привилегий до полного административного контроля.
Вторая партия (обнаружена Aikido Security, 7 CVE, включая):
- CVE-2025-64419: инъекция команд через конфигурацию Docker Compose.
- CVE-2025-64424: инъекция команд через конфигурацию Git.
- CVE-2025-64420: раскрытие root SSH-ключа пользователям с низкими привилегиями.
Censys сообщил о примерно 52 000 открытых инстансов Coolify на момент раскрытия. Большинство находились в Германии (15 000), США (9 800) и Франции (8 000).
Все уязвимости исправлены. Если ты используешь Coolify, обнови как минимум до v4.0.0-beta.374 и ограничь доступ к панели доверенными сетями. Не выставляй интерфейс Coolify в публичный интернет без IP-вайтлиста или VPN.
Что это значит для твоего решения: архитектура Coolify сложнее, что увеличивает поверхность атаки. Уязвимости затрагивали ключевые функции (бэкапы баз данных, управление SSH-ключами, обработка Docker Compose), а не периферийные. Более простая архитектура Dokploy не имела сопоставимых раскрытий, хотя отсутствие известных CVE не доказывает отсутствие уязвимостей.
Dokploy: возможности и компромиссы
Dokploy (v0.28.8 на март 2026) — более новый проект с 31 000+ звездами на GitHub и самым быстрым темпом роста в пространстве self-hosted PaaS.
Что Dokploy делает хорошо:
- Низкое потребление ресурсов. ~350 МБ RAM и менее 1% CPU в простое. На VPS с 4 ГБ это оставляет заметно больше запаса для реальных нагрузок.
- Docker-нативная архитектура. Dokploy работает с Docker Compose нативно. Если у тебя уже есть Compose-файлы, Dokploy деплоит их как есть, а не оборачивает в собственную абстракцию.
- Мульти-сервер через Docker Swarm. Нативная интеграция со Swarm для кластеризации между нодами с автоматическим балансированием нагрузки. Это настоящая оркестрация, а не просто управление независимыми серверами из одной панели.
- Интеграция с Traefik. Поставляется с Traefik для маршрутизации и автоматического SSL. Поддерживает Traefik v3.5.0 начиная с v0.25.0.
- REST API и CLI. Первоклассная интеграция с CI/CD для автоматизированных деплоев.
Где Dokploy проседает:
- Меньший каталог приложений. Меньше шаблонов в один клик по сравнению с каталогом Coolify на 280+ позиций.
- Более молодой проект. Меньше обкатан в продакшене. Меньше ресурсов сообщества и туториалов.
- Сложность лицензирования. См. ниже.
В чем различия лицензий Coolify и Dokploy?
Coolify использует простую лицензию Apache 2.0 для всей кодовой базы. Можно использовать, модифицировать и распространять коммерчески без ограничений.
Лицензирование Dokploy сложнее. Основная кодовая база под Apache 2.0, но содержимое каталогов /proprietary подпадает под отдельную проприетарную лицензию. Коммерческое распространение Dokploy ограничено без отдельного соглашения с Dokploy Technology, Inc.
Сообщество выразило обеспокоенность по поводу этой смешанной модели. Команда Dokploy признала путаницу и объявила о планах перейти на более понятную модель open-core или двойного лицензирования с «Dokploy Source Available License».
Что это значит для тебя:
- Личные проекты и внутренние инструменты: оба подходят. Различие в лицензиях редко имеет значение, если ты деплоишь свои приложения на своем сервере.
- Построение хостинг-бизнеса: Apache 2.0 от Coolify дает четкую юридическую основу. Условия Dokploy запрещают коммерческое распространение без отдельного соглашения.
- Контрибьюция кода: оба принимают вклады, но код, внесенный в проприетарные каталоги Dokploy, может подпадать под другие условия.
Если ясность лицензирования важна для твоей организации, Coolify — более безопасный выбор сегодня.
Сравнение бок о бок
| Характеристика | Coolify | Dokploy |
|---|---|---|
| RAM в простое | 500 МБ-1,2 ГБ | ~350 МБ |
| CPU в простое | 5-7% | 0,8-1,5% |
| Источники деплоя | Git (GitHub, GitLab, Bitbucket), Docker-образы, Compose | Git (GitHub, GitLab, Bitbucket, Gitea и др.), Docker-образы, Compose |
| Приложения в один клик | Каталог 280+ | Каталог поменьше |
| Автоматизация SSL | Let's Encrypt через встроенный прокси | Let's Encrypt через Traefik |
| Поддержка БД | PostgreSQL, MySQL, MariaDB, MongoDB, Redis, ClickHouse, KeyDB | PostgreSQL, MySQL, MariaDB, MongoDB, Redis |
| Плановые бэкапы | Да, S3-совместимые назначения | Да, внешнее хранилище |
| Мульти-сервер | Панель управляет независимыми серверами | Docker Swarm-кластеризация с балансировкой нагрузки |
| Мониторинг | Встроенный (высокая нагрузка на CPU) | Встроенный с интеграцией Gotify |
| Уведомления | Discord, Telegram, Slack, email | Discord, Telegram, Slack, email |
| Лицензия | Apache 2.0 (полная) | Apache 2.0 + проприетарные каталоги |
| Известные CVE (2025-2026) | 11 (3x CVSS 10.0) | Публично не раскрыто |
| Звезды GitHub | 51 000+ | 31 000+ |
| Текущая версия | v4.0.0-beta.468 | v0.28.8 |
Поддерживает ли Dokploy мульти-серверные деплои?
Да. Dokploy нативно использует Docker Swarm для мульти-серверных деплоев. Ты добавляешь воркер-ноды в Swarm, а Dokploy автоматически управляет планированием сервисов, балансировкой нагрузки и сетевым взаимодействием между нодами.
Coolify тоже поддерживает мульти-серверные конфигурации, но архитектура другая. Coolify управляет каждым сервером независимо из центральной панели. Нет кластеризации и автоматической балансировки нагрузки между серверами. Маршрутизацию настраиваешь вручную через Nginx или Traefik.
Для команд, которые масштабируются за пределы одного VPS, интеграция Dokploy со Swarm операционно проще. Получаешь автоматический фейловер и распределение нагрузки без дополнительной настройки. Подход Coolify дает больше контроля, но требует больше ручной работы.
Какой self-hosted PaaS лучше для маленького VPS на 4 ГБ?
На VPS с 4 ГБ Dokploy — лучший выбор. Его оверхед около 350 МБ оставляет 3,6 ГБ для приложений. Оверхед Coolify в 750 МБ — 1,2 ГБ оставляет только 2,8-3,2 ГБ, и становится тесно, как только запускаешь базу данных и два-три контейнера с приложениями.
Вот фреймворк принятия решений в зависимости от твоей ситуации:
Используй Dokploy, когда:
- У тебя VPS с 4-8 ГБ RAM и каждый мегабайт на счету
- Ты уже работаешь с Docker Compose и хочешь сохранить этот рабочий процесс
- Тебе нужна настоящая мульти-серверная кластеризация через Docker Swarm
- Ты хочешь минимально возможное потребление ресурсов в простое
- Ты деплоишь свои приложения (а не строишь хостинг-бизнес)
Используй Coolify, когда:
- У тебя VPS с 8 ГБ+ RAM и оверхед незначителен
- Тебе нужен каталог из 280+ приложений в один клик
- Тебе нужна интеграция с Cloudflare Tunnel
- Тебе важна полная лицензия Apache 2.0 без проприетарных компонентов
- Твоя команда выигрывает от организационной модели (Teams > Projects > Environments)
Не используй ни один (Docker Compose + reverse proxy), когда:
- Ты запускаешь 1-3 приложения, которые редко меняются
- У тебя уже есть рабочие Compose-файлы
- Ты комфортно работаешь в терминале и не нуждаешься в веб-интерфейсе
- Ты хочешь абсолютно минимальный оверхед ресурсов
- У тебя VPS с 2-4 ГБ RAM, и нечего выделять под платформенный слой
Docker в продакшене на VPS: что ломается и как это починить
Когда стоит пропустить PaaS и использовать Docker Compose?
Если твой стек — один docker-compose.yml с веб-приложением, базой данных и, может быть, кешем, PaaS тебе не нужен. Reverse proxy вроде Traefik или Caddy автоматически обрабатывает SSL. Watchtower или cron job обрабатывает обновления образов. Это три контейнера вместо 6-10, которые Coolify или Dokploy запускают внутри себя.
Ценность PaaS проявляется, когда:
- Ты деплоишь новые сервисы еженедельно или чаще
- Нескольким людям нужно запускать деплои без SSH-доступа
- Ты управляешь более чем одним сервером из единого интерфейса
- Тебе нужен провижининг баз данных и планирование бэкапов через интерфейс
Если ничего из этого не подходит, PaaS добавляет сложность и оверхед ресурсов с минимальной пользой. Начни с Docker Compose и добавь PaaS позже, если перерастешь ручной рабочий процесс.
Traefik vs Caddy vs Nginx: сравнение Docker reverse proxy
А что насчет CapRover, Dokku и Kamal?
Их стоит упомянуть, но они занимают другие ниши:
- CapRover (14 000+ звезд) использует Docker Swarm и существует с 2017 года. Разработка замедлилась. Потребление ресурсов умеренное (~300-400 МБ RAM). Ограниченная поддержка Docker Compose делает его менее гибким для сложных стеков.
- Dokku — ближе всего к настоящему клону Heroku с поддержкой buildpack. Только один сервер. Лучше всего подходит разработчикам, которым нужен деплой через
git pushи больше ничего. - Kamal использует принципиально другой подход: запускается на твоем ноутбуке или CI-раннере, а не на сервере. Нулевой оверхед на стороне сервера. Требует знакомства с YAML-конфигурацией и занимается только деплоем (нет интерфейса для провижининга баз данных, нет панели). Разработан командой Rails в 37signals.
Ни один из этих инструментов не дотягивает до Coolify или Dokploy по сочетанию веб-интерфейса, управления базами данных и деплоя нескольких приложений на VPS.
Итог
Dokploy выигрывает по эффективности ресурсов, Docker-нативному рабочему процессу и мульти-серверной кластеризации. Coolify выигрывает по широте каталога, ясности лицензирования и глубине функционала. У обоих есть компромиссы, которые имеют значение.
Если безопасность весит много в твоем решении, 11 CVE Coolify в январе 2026 года — это факт, а не повод отказаться. Уязвимости исправлены. Но паттерн (инъекция команд в ключевых функциях, раскрытие приватных ключей) отражает архитектурную сложность, которую более простые инструменты обходят. Держи Coolify обновленным и никогда не выставляй его панель в публичный интернет.
Если начинаешь с нуля на маленьком VPS — выбирай Dokploy. Если нужен каталог или важна чистота лицензии — бери Coolify на более крупном инстансе. Если твой рабочий процесс деплоя уже работает с Compose и reverse proxy — пропусти оба.
Селф-хостинг приложений на VPS: архитектура, потребление RAM и с чего начать
Готовы попробовать?
Разверните свой сервер за секунды. Linux, Windows или FreeBSD. →