Светлана

Эм... Ну типа... Если люди будут писать ping, а бот без всяческих проверок будет отвечать pong, то 256мб 1х1ггц хватит...

Тут видите в чем проблема, Вы не указали нужна ли вам база данных (а она нужна), не указали что бот вообще будет делать (быть может Вы захотите на своем вдс обрабатывать фотографии пользователей тяжелейшими фильтрами и отсылать их обратно).

Тут не о впс нужно думать, а о том что по всем законам вонтакте api 10 000 запросов Вы будете обрабатывать 133 секунды и не меньше (формула x/25/3, где х = количество запросов). Ну и пока мы обрабатываем 10тыщ запросов, к нам приходит еще 133х10000 запросов, хмм...

На деле же такие пики разгребаются вполне успешно, следил за подобными скачками во время активной рекламы (в топ паблике).

VDS 2гб 2x2.4ггц, установлен nginx, php, node, mongodb. Бот на ноде, вспомогательные скрипты на php. Хватает боту (и еще один такой-же влезет), который получает ~2 миллиона сообщений в сутки, ~20к комментариев в довесок, все подписки отписки (в общей сумме ~4-6к), при этом каждый запрос к боту генерирует 1-10 запросов к базе данных и запросы к сторонним api.

Роль играют ровно ту же, что в более привычном вам HTTP URL (вроде http://ya.ru), где они отделяют имя схемы URI (в данном примере - http) от доменного имени. Просто в вашем случае имя схемы, служащее также названием протокола (HTTP или HTTPS) соединения, опущено, что позволяет browser-у (user agent-у в общем случае) использовать для обращения по такой ссылке тот протокол, который использовался для получения страницы, на которой эта ссылка находится. Если бы в URL протокол был указан явно, то обращение происходило бы по нему независимо от того, по какому получена сама страница. Скажем, к странице вы обратились по HTTPS, а в коде вбит URL с http:, так что дальше произойдет откат на небезопасное соединение. И наоборот.

Наиболее правильно сделать всё, что сказали выше +
1. выключить авторизацию по паролю(только через сертификат)
2. в iptables поставить доступ к ssh только с определённых ip
3. в ssh продублировать доступ с определённых ip
4. Для nginx скрыть версию, для php тоже, для системы тоже почитать как она скрывается
5. настроить fail2ban для всех открытых сервисов с авторизацией
6. на всех сервисах ограничить количество одновременных соединений, тут везде по-разному. limits и прочее

Для параноиков всегда можно сделать на сервере openvpn на 443 порту, разрешить совместное использование оного с nginx, сбацать себе сертификат неэкспортируемый, передать его сложным путём через дробленный архив с паролем, затем импортировать используя пароль в закрытое хранилище устройства и сидеть с него в ssh на сервер.