Hosting
ابر اوراکل
یک Gateway دائمی OpenClaw را بدون هیچ هزینهای روی سطح ARM Always Free در Oracle Cloud (تا ۴ OCPU، ۲۴ گیگابایت RAM و ۲۰۰ گیگابایت فضای ذخیرهسازی) اجرا کنید.
پیشنیازها
- حساب Oracle Cloud (ثبتنام) — اگر با مشکلی مواجه شدید، راهنمای ثبتنام جامعه کاربران را ببینید
- حساب Tailscale (رایگان در tailscale.com)
- یک جفت کلید SSH
- حدود ۳۰ دقیقه زمان
راهاندازی
ایجاد یک نمونه OCI
- وارد Oracle Cloud Console شوید.
- به Compute > Instances > Create Instance بروید.
- پیکربندی کنید:
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: ۲ (یا حداکثر ۴)
- Memory: ۱۲ گیگابایت (یا حداکثر ۲۴ گیگابایت)
- Boot volume: ۵۰ گیگابایت (تا ۲۰۰ گیگابایت رایگان)
- SSH key: کلید عمومی خود را اضافه کنید
- Name:
- روی Create کلیک کنید و نشانی IP عمومی را یادداشت کنید.
اتصال و بهروزرسانی سیستم
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essentialبسته build-essential برای کامپایل برخی وابستگیها روی ARM ضروری است.
پیکربندی کاربر و نام میزبان
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntuفعالسازی ماندگاری باعث میشود سرویسهای کاربر پس از خروج نیز به کار خود ادامه دهند.
نصب Tailscale
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclawاز این پس از طریق Tailscale متصل شوید: ssh ubuntu@openclaw.
نصب OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrcهنگامی که پیام «How do you want to hatch your bot?» نمایش داده شد، Do this later را انتخاب کنید.
پیکربندی Gateway
برای دسترسی امن از راه دور، از احراز هویت توکنی همراه با Tailscale Serve استفاده کنید.
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.serviceمقدار gateway.trustedProxies=["127.0.0.1"] در اینجا فقط برای مدیریت IP ارسالی و کلاینت محلی در پراکسی محلی Tailscale Serve است. این مقدار همان gateway.auth.mode: "trusted-proxy" نیست. در این راهاندازی، مسیرهای نمایشگر تفاوت همچنان رفتار بسته در صورت خطا را حفظ میکنند: درخواستهای خام نمایشگر از 127.0.0.1 که سربرگهای ارسالی پراکسی را ندارند، پاسخ Diff not found دریافت میکنند. برای پیوستها از mode=file یا mode=both استفاده کنید؛ یا اگر به پیوندهای اشتراکپذیر نمایشگر نیاز دارید، نمایشگرهای راه دور را آگاهانه فعال کنید و plugins.entries.diffs.config.viewerBaseUrl را تنظیم کنید (یا یک baseUrl پراکسی ارسال کنید).
محدودسازی امنیت VCN
همه ترافیک بهجز Tailscale را در مرز شبکه مسدود کنید:
- در OCI Console به Networking > Virtual Cloud Networks بروید.
- روی VCN خود و سپس Security Lists > Default Security List کلیک کنید.
- همه قواعد ورودی بهجز
0.0.0.0/0 UDP 41641مربوط به Tailscale را Remove کنید. - قواعد خروجی پیشفرض را حفظ کنید تا همه ترافیک خروجی مجاز باشد.
این کار SSH روی درگاه ۲۲، HTTP، HTTPS و هر ترافیک دیگری را در مرز شبکه مسدود میکند. از این مرحله به بعد فقط از طریق Tailscale میتوانید متصل شوید.
اعتبارسنجی
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789از هر دستگاهی در tailnet خود به رابط کنترل دسترسی پیدا کنید:
https://openclaw.<tailnet-name>.ts.net/مقدار <tailnet-name> را با نام tailnet خود جایگزین کنید که در خروجی tailscale status قابل مشاهده است.
اعتبارسنجی وضعیت امنیتی
وقتی VCN محدود شده باشد و فقط UDP 41641 باز بماند و Gateway به local loopback متصل باشد، ترافیک عمومی در مرز شبکه مسدود میشود و دسترسی مدیریتی فقط از طریق tailnet امکانپذیر است. در نتیجه، دیگر به چندین مرحله سنتی ایمنسازی VPS نیازی نیست:
| مرحله سنتی | لازم است؟ | دلیل |
|---|---|---|
| دیواره آتش UFW | خیر | VCN ترافیک را پیش از رسیدن به نمونه مسدود میکند. |
| fail2ban | خیر | درگاه ۲۲ در VCN مسدود است و سطحی برای حملات جستوجوی فراگیر وجود ندارد. |
| ایمنسازی sshd | خیر | SSH در Tailscale از sshd استفاده نمیکند. |
| غیرفعالکردن ورود root | خیر | Tailscale بر اساس هویت tailnet احراز هویت میکند، نه کاربران سیستم. |
| احراز هویت فقط با کلید SSH | خیر | به همین دلیل؛ هویت tailnet جایگزین کلیدهای SSH سیستم میشود. |
| ایمنسازی IPv6 | معمولاً خیر | به تنظیمات VCN و زیرشبکه بستگی دارد؛ موارد واقعاً تخصیصیافته یا در معرض دسترس را بررسی کنید. |
مواردی که همچنان توصیه میشوند:
- اجرای
chmod 700 ~/.openclawبرای محدودکردن مجوزهای فایلهای اعتبارنامه. - اجرای
openclaw security auditبرای بررسی وضعیت امنیتی مختص OpenClaw. - اجرای منظم
sudo apt update && sudo apt upgradeبرای نصب وصلههای سیستمعامل. - بررسی دورهای دستگاهها در کنسول مدیریتی Tailscale.
دستورهای اعتبارسنجی سریع:
# تأیید کنید هیچ درگاه عمومی در حال شنود نیستsudo ss -tlnp | grep -v '127.0.0.1\|::1' # فعالبودن SSH در Tailscale را بررسی کنیدtailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # اختیاری: پس از تأیید عملکرد SSH در Tailscale، sshd را کاملاً غیرفعال کنیدsudo systemctl disable --now sshنکات ARM
سطح Always Free از معماری ARM (aarch64) استفاده میکند. بیشتر قابلیتهای OpenClaw بدون مشکل کار میکنند؛ تعداد کمی از فایلهای اجرایی بومی به ساخت ARM نیاز دارند:
- Node.js، Telegram و WhatsApp (Baileys): کاملاً JavaScript هستند و مشکلی ندارند.
- بیشتر بستههای npm دارای کد بومی: مصنوعات ازپیشساختهشده
linux-arm64برای آنها موجود است. - ابزارهای کمکی اختیاری CLI، مانند فایلهای اجرایی Go یا Rust ارائهشده توسط Skills: پیش از نصب، وجود نسخه
aarch64یاlinux-arm64را بررسی کنید.
معماری را با uname -m بررسی کنید؛ خروجی باید aarch64 باشد. فایلهای اجرایی فاقد ساخت ARM را از کد منبع نصب کنید یا از آنها صرفنظر کنید.
ماندگاری و پشتیبانگیری
وضعیت OpenClaw در مسیرهای زیر نگهداری میشود:
~/.openclaw/— شاملopenclaw.json، فایلauth-profiles.jsonمختص هر عامل، وضعیت کانالها و ارائهدهندگان و دادههای نشست.~/.openclaw/workspace/— فضای کاری عامل شامل SOUL.md، حافظه و مصنوعات.
این دادهها پس از راهاندازی مجدد باقی میمانند. برای تهیه یک تصویر لحظهای قابلانتقال اجرا کنید:
openclaw backup createراهکار جایگزین: تونل SSH
اگر Tailscale Serve کار نمیکند، از دستگاه محلی خود یک تونل SSH ایجاد کنید:
ssh -L 18789:127.0.0.1:18789 ubuntu@openclawسپس http://localhost:18789 را باز کنید.
عیبیابی
ایجاد نمونه ناموفق است («Out of capacity») — نمونههای ARM سطح رایگان پرطرفدارند. دامنه دسترسپذیری دیگری را امتحان کنید یا در ساعات کممصرف دوباره تلاش کنید.
Tailscale متصل نمیشود — برای احراز هویت مجدد، sudo tailscale up --ssh --hostname=openclaw --reset را اجرا کنید.
Gateway راهاندازی نمیشود — دستور openclaw doctor --non-interactive را اجرا کنید و گزارشها را با journalctl --user -u openclaw-gateway.service -n 50 بررسی کنید.
مشکلات فایلهای اجرایی ARM — بیشتر بستههای npm روی ARM64 کار میکنند. برای فایلهای اجرایی بومی بهدنبال نسخههای linux-arm64 یا aarch64 بگردید. معماری را با uname -m بررسی کنید.
مراحل بعدی
- کانالها — Telegram، WhatsApp، Discord و موارد دیگر را متصل کنید
- پیکربندی Gateway — همه گزینههای پیکربندی
- بهروزرسانی — OpenClaw را بهروز نگه دارید