Hosting

Oracle Cloud

Führen Sie auf der ARM-Stufe Always Free von Oracle Cloud dauerhaft einen OpenClaw Gateway aus (bis zu 4 OCPUs, 24 GB RAM und 200 GB Speicherplatz) – kostenlos.

Voraussetzungen

Einrichtung

  • OCI-Instanz erstellen

    1. Melden Sie sich bei der Oracle Cloud Console an.
    2. Navigieren Sie zu Compute > Instances > Create Instance.
    3. Konfigurieren Sie Folgendes:
      • Name: openclaw
      • Image: Ubuntu 24.04 (aarch64)
      • Shape: VM.Standard.A1.Flex (Ampere ARM)
      • OCPUs: 2 (oder bis zu 4)
      • Memory: 12 GB (oder bis zu 24 GB)
      • Boot volume: 50 GB (bis zu 200 GB kostenlos)
      • SSH key: Fügen Sie Ihren öffentlichen Schlüssel hinzu
    4. Klicken Sie auf Create und notieren Sie sich die öffentliche IP-Adresse.
  • Verbindung herstellen und System aktualisieren

    bash
    ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essential

    build-essential wird benötigt, um einige Abhängigkeiten für ARM zu kompilieren.

  • Benutzer und Hostnamen konfigurieren

    bash
    sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntu

    Durch die Aktivierung von Linger werden Benutzerdienste nach der Abmeldung weiter ausgeführt.

  • Tailscale installieren

    bash
    curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclaw

    Stellen Sie die Verbindung ab jetzt über Tailscale her: ssh ubuntu@openclaw.

  • OpenClaw installieren

    bash
    curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrc

    Wenn Sie gefragt werden „How do you want to hatch your bot?“, wählen Sie Do this later aus.

  • Gateway konfigurieren

    Verwenden Sie die Token-Authentifizierung mit Tailscale Serve für einen sicheren Remote-Zugriff.

    bash
    openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.service

    gateway.trustedProxies=["127.0.0.1"] gilt hier ausschließlich für die Verarbeitung weitergeleiteter IP-Adressen und lokaler Clients durch den lokalen Tailscale-Serve-Proxy. Es handelt sich nicht um gateway.auth.mode: "trusted-proxy". Routen des Diff-Betrachters behalten bei dieser Einrichtung ihr geschlossenes Fehlerverhalten bei: Direkte Betrachteranfragen an 127.0.0.1 ohne weitergeleitete Proxy-Header geben Diff not found zurück. Verwenden Sie mode=file / mode=both für Anhänge oder aktivieren Sie bewusst Remote-Betrachter und legen Sie plugins.entries.diffs.config.viewerBaseUrl fest (oder übergeben Sie dem Proxy eine baseUrl), wenn Sie teilbare Betrachterlinks benötigen.

  • VCN-Sicherheit verschärfen

    Blockieren Sie am Netzwerkrand sämtlichen Datenverkehr außer Tailscale:

    1. Öffnen Sie in der OCI Console Networking > Virtual Cloud Networks.
    2. Klicken Sie auf Ihr VCN und anschließend auf Security Lists > Default Security List.
    3. Entfernen Sie alle Eingangsregeln mit Ausnahme von 0.0.0.0/0 UDP 41641 (Tailscale).
    4. Behalten Sie die standardmäßigen Ausgangsregeln bei (gesamten ausgehenden Datenverkehr zulassen).

    Dadurch werden SSH auf Port 22, HTTP, HTTPS und sämtlicher sonstiger Datenverkehr am Netzwerkrand blockiert. Ab diesem Zeitpunkt können Sie nur noch über Tailscale eine Verbindung herstellen.

  • Überprüfen

    bash
    openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789

    Greifen Sie von einem beliebigen Gerät in Ihrem Tailnet auf die Bedienoberfläche zu:

    Code
    https://openclaw.<tailnet-name>.ts.net/

    Ersetzen Sie <tailnet-name> durch den Namen Ihres Tailnets (sichtbar in tailscale status).

  • Sicherheitskonfiguration überprüfen

    Wenn das VCN abgesichert ist (nur UDP 41641 ist geöffnet) und der Gateway an local loopback gebunden ist, wird öffentlicher Datenverkehr am Netzwerkrand blockiert und der Administratorzugriff ist ausschließlich über das Tailnet möglich. Dadurch entfallen mehrere herkömmliche Schritte zur Absicherung eines VPS:

    Herkömmlicher Schritt Erforderlich? Warum
    UFW-Firewall Nein Das VCN blockiert den Datenverkehr, bevor er die Instanz erreicht.
    fail2ban Nein Port 22 wird am VCN blockiert; es gibt keine Angriffsfläche für Brute-Force-Angriffe.
    Absicherung von sshd Nein Tailscale SSH verwendet sshd nicht.
    Root-Anmeldung deaktivieren Nein Tailscale authentifiziert anhand der Tailnet-Identität, nicht anhand von Systembenutzern.
    Nur SSH-Schlüssel zulassen Nein Ebenso – die Tailnet-Identität ersetzt die SSH-Schlüssel des Systems.
    IPv6-Absicherung Normalerweise nicht Hängt von den VCN-/Subnetzeinstellungen ab; prüfen Sie, was tatsächlich zugewiesen und zugänglich ist.

    Weiterhin empfohlen:

    • chmod 700 ~/.openclaw, um den Zugriff auf Dateien mit Anmeldedaten einzuschränken.
    • openclaw security audit für eine OpenClaw-spezifische Überprüfung der Sicherheitskonfiguration.
    • Regelmäßiges Ausführen von sudo apt update && sudo apt upgrade, um Betriebssystem-Patches einzuspielen.
    • Überprüfen Sie regelmäßig die Geräte in der Tailscale-Administrationskonsole.

    Befehle zur schnellen Überprüfung:

    bash
    # Bestätigen, dass keine öffentlichen Ports Verbindungen annehmensudo ss -tlnp | grep -v '127.0.0.1\|::1' # Überprüfen, ob Tailscale SSH aktiv isttailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # Optional: sshd vollständig deaktivieren, sobald die Funktion von Tailscale SSH bestätigt wurdesudo systemctl disable --now ssh

    Hinweise zu ARM

    Die Stufe Always Free verwendet ARM (aarch64). Die meisten Funktionen von OpenClaw funktionieren problemlos; einige wenige native Binärdateien benötigen ARM-Builds:

    • Node.js, Telegram, WhatsApp (Baileys): reines JavaScript, keine Probleme.
    • Die meisten npm-Pakete mit nativem Code: Vorgefertigte linux-arm64-Artefakte sind verfügbar.
    • Optionale CLI-Hilfsprogramme (z. B. mit Skills ausgelieferte Go-/Rust-Binärdateien): Prüfen Sie vor der Installation, ob eine Version für aarch64 / linux-arm64 verfügbar ist.

    Überprüfen Sie die Architektur mit uname -m (die Ausgabe sollte aarch64 lauten). Installieren Sie Binärdateien ohne ARM-Build aus dem Quellcode oder verzichten Sie auf sie.

    Persistenz und Sicherungen

    Der Zustand von OpenClaw befindet sich unter:

    • ~/.openclaw/openclaw.json, agentenspezifische auth-profiles.json, Kanal-/Provider-Zustand und Sitzungsdaten.
    • ~/.openclaw/workspace/ – der Arbeitsbereich des Agenten (SOUL.md, Speicher, Artefakte).

    Diese Daten bleiben bei Neustarts erhalten. So erstellen Sie einen portablen Snapshot:

    bash
    openclaw backup create

    Ausweichlösung: SSH-Tunnel

    Falls Tailscale Serve nicht funktioniert, verwenden Sie von Ihrem lokalen Rechner aus einen SSH-Tunnel:

    bash
    ssh -L 18789:127.0.0.1:18789 ubuntu@openclaw

    Öffnen Sie anschließend http://localhost:18789.

    Fehlerbehebung

    Die Instanzerstellung schlägt fehl („Out of capacity“) – ARM-Instanzen der kostenlosen Stufe sind sehr beliebt. Versuchen Sie es mit einer anderen Verfügbarkeitsdomäne oder außerhalb der Hauptnutzungszeiten erneut.

    Tailscale stellt keine Verbindung her – Führen Sie sudo tailscale up --ssh --hostname=openclaw --reset aus, um die Authentifizierung erneut durchzuführen.

    Der Gateway startet nicht – Führen Sie openclaw doctor --non-interactive aus und prüfen Sie die Protokolle mit journalctl --user -u openclaw-gateway.service -n 50.

    Probleme mit ARM-Binärdateien – Die meisten npm-Pakete funktionieren unter ARM64. Suchen Sie für native Binärdateien nach Versionen für linux-arm64 oder aarch64. Überprüfen Sie die Architektur mit uname -m.

    Nächste Schritte

    Verwandte Themen

    Was this useful?
    On this page

    On this page