Hosting
Oracle Cloud
Führen Sie auf der ARM-Stufe Always Free von Oracle Cloud dauerhaft einen OpenClaw Gateway aus (bis zu 4 OCPUs, 24 GB RAM und 200 GB Speicherplatz) – kostenlos.
Voraussetzungen
- Oracle-Cloud-Konto (Registrierung) – bei Problemen siehe Registrierungsleitfaden der Community
- Tailscale-Konto (kostenlos unter tailscale.com)
- Ein SSH-Schlüsselpaar
- Etwa 30 Minuten Zeit
Einrichtung
OCI-Instanz erstellen
- Melden Sie sich bei der Oracle Cloud Console an.
- Navigieren Sie zu Compute > Instances > Create Instance.
- Konfigurieren Sie Folgendes:
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2 (oder bis zu 4)
- Memory: 12 GB (oder bis zu 24 GB)
- Boot volume: 50 GB (bis zu 200 GB kostenlos)
- SSH key: Fügen Sie Ihren öffentlichen Schlüssel hinzu
- Name:
- Klicken Sie auf Create und notieren Sie sich die öffentliche IP-Adresse.
Verbindung herstellen und System aktualisieren
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essentialbuild-essential wird benötigt, um einige Abhängigkeiten für ARM zu kompilieren.
Benutzer und Hostnamen konfigurieren
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntuDurch die Aktivierung von Linger werden Benutzerdienste nach der Abmeldung weiter ausgeführt.
Tailscale installieren
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclawStellen Sie die Verbindung ab jetzt über Tailscale her: ssh ubuntu@openclaw.
OpenClaw installieren
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrcWenn Sie gefragt werden „How do you want to hatch your bot?“, wählen Sie Do this later aus.
Gateway konfigurieren
Verwenden Sie die Token-Authentifizierung mit Tailscale Serve für einen sicheren Remote-Zugriff.
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.servicegateway.trustedProxies=["127.0.0.1"] gilt hier ausschließlich für die Verarbeitung weitergeleiteter IP-Adressen und lokaler Clients durch den lokalen Tailscale-Serve-Proxy. Es handelt sich nicht um gateway.auth.mode: "trusted-proxy". Routen des Diff-Betrachters behalten bei dieser Einrichtung ihr geschlossenes Fehlerverhalten bei: Direkte Betrachteranfragen an 127.0.0.1 ohne weitergeleitete Proxy-Header geben Diff not found zurück. Verwenden Sie mode=file / mode=both für Anhänge oder aktivieren Sie bewusst Remote-Betrachter und legen Sie plugins.entries.diffs.config.viewerBaseUrl fest (oder übergeben Sie dem Proxy eine baseUrl), wenn Sie teilbare Betrachterlinks benötigen.
VCN-Sicherheit verschärfen
Blockieren Sie am Netzwerkrand sämtlichen Datenverkehr außer Tailscale:
- Öffnen Sie in der OCI Console Networking > Virtual Cloud Networks.
- Klicken Sie auf Ihr VCN und anschließend auf Security Lists > Default Security List.
- Entfernen Sie alle Eingangsregeln mit Ausnahme von
0.0.0.0/0 UDP 41641(Tailscale). - Behalten Sie die standardmäßigen Ausgangsregeln bei (gesamten ausgehenden Datenverkehr zulassen).
Dadurch werden SSH auf Port 22, HTTP, HTTPS und sämtlicher sonstiger Datenverkehr am Netzwerkrand blockiert. Ab diesem Zeitpunkt können Sie nur noch über Tailscale eine Verbindung herstellen.
Überprüfen
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789Greifen Sie von einem beliebigen Gerät in Ihrem Tailnet auf die Bedienoberfläche zu:
https://openclaw.<tailnet-name>.ts.net/Ersetzen Sie <tailnet-name> durch den Namen Ihres Tailnets (sichtbar in tailscale status).
Sicherheitskonfiguration überprüfen
Wenn das VCN abgesichert ist (nur UDP 41641 ist geöffnet) und der Gateway an local loopback gebunden ist, wird öffentlicher Datenverkehr am Netzwerkrand blockiert und der Administratorzugriff ist ausschließlich über das Tailnet möglich. Dadurch entfallen mehrere herkömmliche Schritte zur Absicherung eines VPS:
| Herkömmlicher Schritt | Erforderlich? | Warum |
|---|---|---|
| UFW-Firewall | Nein | Das VCN blockiert den Datenverkehr, bevor er die Instanz erreicht. |
| fail2ban | Nein | Port 22 wird am VCN blockiert; es gibt keine Angriffsfläche für Brute-Force-Angriffe. |
| Absicherung von sshd | Nein | Tailscale SSH verwendet sshd nicht. |
| Root-Anmeldung deaktivieren | Nein | Tailscale authentifiziert anhand der Tailnet-Identität, nicht anhand von Systembenutzern. |
| Nur SSH-Schlüssel zulassen | Nein | Ebenso – die Tailnet-Identität ersetzt die SSH-Schlüssel des Systems. |
| IPv6-Absicherung | Normalerweise nicht | Hängt von den VCN-/Subnetzeinstellungen ab; prüfen Sie, was tatsächlich zugewiesen und zugänglich ist. |
Weiterhin empfohlen:
chmod 700 ~/.openclaw, um den Zugriff auf Dateien mit Anmeldedaten einzuschränken.openclaw security auditfür eine OpenClaw-spezifische Überprüfung der Sicherheitskonfiguration.- Regelmäßiges Ausführen von
sudo apt update && sudo apt upgrade, um Betriebssystem-Patches einzuspielen. - Überprüfen Sie regelmäßig die Geräte in der Tailscale-Administrationskonsole.
Befehle zur schnellen Überprüfung:
# Bestätigen, dass keine öffentlichen Ports Verbindungen annehmensudo ss -tlnp | grep -v '127.0.0.1\|::1' # Überprüfen, ob Tailscale SSH aktiv isttailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # Optional: sshd vollständig deaktivieren, sobald die Funktion von Tailscale SSH bestätigt wurdesudo systemctl disable --now sshHinweise zu ARM
Die Stufe Always Free verwendet ARM (aarch64). Die meisten Funktionen von OpenClaw funktionieren problemlos; einige wenige native Binärdateien benötigen ARM-Builds:
- Node.js, Telegram, WhatsApp (Baileys): reines JavaScript, keine Probleme.
- Die meisten npm-Pakete mit nativem Code: Vorgefertigte
linux-arm64-Artefakte sind verfügbar. - Optionale CLI-Hilfsprogramme (z. B. mit Skills ausgelieferte Go-/Rust-Binärdateien): Prüfen Sie vor der Installation, ob eine Version für
aarch64/linux-arm64verfügbar ist.
Überprüfen Sie die Architektur mit uname -m (die Ausgabe sollte aarch64 lauten). Installieren Sie Binärdateien ohne ARM-Build aus dem Quellcode oder verzichten Sie auf sie.
Persistenz und Sicherungen
Der Zustand von OpenClaw befindet sich unter:
~/.openclaw/–openclaw.json, agentenspezifischeauth-profiles.json, Kanal-/Provider-Zustand und Sitzungsdaten.~/.openclaw/workspace/– der Arbeitsbereich des Agenten (SOUL.md, Speicher, Artefakte).
Diese Daten bleiben bei Neustarts erhalten. So erstellen Sie einen portablen Snapshot:
openclaw backup createAusweichlösung: SSH-Tunnel
Falls Tailscale Serve nicht funktioniert, verwenden Sie von Ihrem lokalen Rechner aus einen SSH-Tunnel:
ssh -L 18789:127.0.0.1:18789 ubuntu@openclawÖffnen Sie anschließend http://localhost:18789.
Fehlerbehebung
Die Instanzerstellung schlägt fehl („Out of capacity“) – ARM-Instanzen der kostenlosen Stufe sind sehr beliebt. Versuchen Sie es mit einer anderen Verfügbarkeitsdomäne oder außerhalb der Hauptnutzungszeiten erneut.
Tailscale stellt keine Verbindung her – Führen Sie sudo tailscale up --ssh --hostname=openclaw --reset aus, um die Authentifizierung erneut durchzuführen.
Der Gateway startet nicht – Führen Sie openclaw doctor --non-interactive aus und prüfen Sie die Protokolle mit journalctl --user -u openclaw-gateway.service -n 50.
Probleme mit ARM-Binärdateien – Die meisten npm-Pakete funktionieren unter ARM64. Suchen Sie für native Binärdateien nach Versionen für linux-arm64 oder aarch64. Überprüfen Sie die Architektur mit uname -m.
Nächste Schritte
- Kanäle – Telegram, WhatsApp, Discord und weitere Dienste verbinden
- Gateway-Konfiguration – alle Konfigurationsoptionen
- Aktualisierung – OpenClaw auf dem aktuellen Stand halten