Hosting
Oracle Cloud
Exécutez un Gateway OpenClaw persistant sur l’offre ARM Always Free d’Oracle Cloud (jusqu’à 4 OCPU, 24 Go de RAM et 200 Go de stockage), sans frais.
Prérequis
- Un compte Oracle Cloud (inscription) — consultez le guide d’inscription de la communauté en cas de problème
- Un compte Tailscale (gratuit sur tailscale.com)
- Une paire de clés SSH
- Environ 30 minutes
Configuration
Créer une instance OCI
- Connectez-vous à la console Oracle Cloud.
- Accédez à Compute > Instances > Create Instance.
- Configurez les éléments suivants :
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2 (ou jusqu’à 4)
- Memory: 12 Go (ou jusqu’à 24 Go)
- Boot volume: 50 Go (jusqu’à 200 Go gratuits)
- SSH key: ajoutez votre clé publique
- Name:
- Cliquez sur Create et notez l’adresse IP publique.
Se connecter et mettre à jour le système
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essentialbuild-essential est requis pour compiler certaines dépendances sur ARM.
Configurer l’utilisateur et le nom d’hôte
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntuL’activation du maintien de session permet aux services utilisateur de continuer à s’exécuter après la déconnexion.
Installer Tailscale
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclawDésormais, connectez-vous via Tailscale : ssh ubuntu@openclaw.
Installer OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrcLorsque l’invite « How do you want to hatch your bot? » s’affiche, sélectionnez Do this later.
Configurer le Gateway
Utilisez l’authentification par jeton avec Tailscale Serve pour sécuriser l’accès distant.
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.serviceIci, gateway.trustedProxies=["127.0.0.1"] sert uniquement au traitement de l’adresse IP transférée et du client local par le proxy Tailscale Serve local. Il ne s’agit pas de gateway.auth.mode: "trusted-proxy". Dans cette configuration, les routes du visualiseur de différences conservent un comportement de refus par défaut : les requêtes brutes provenant de 127.0.0.1 sans en-têtes transférés par le proxy renvoient Diff not found. Utilisez mode=file / mode=both pour les pièces jointes, ou activez volontairement les visualiseurs distants et définissez plugins.entries.diffs.config.viewerBaseUrl (ou transmettez un baseUrl de proxy) si vous avez besoin de liens de visualisation partageables.
Verrouiller la sécurité du VCN
Bloquez tout le trafic, sauf celui de Tailscale, à la périphérie du réseau :
- Accédez à Networking > Virtual Cloud Networks dans la console OCI.
- Cliquez sur votre VCN, puis sur Security Lists > Default Security List.
- Supprimez toutes les règles de trafic entrant sauf
0.0.0.0/0 UDP 41641(Tailscale). - Conservez les règles de trafic sortant par défaut (autoriser tout le trafic sortant).
Cette opération bloque SSH sur le port 22, HTTP, HTTPS et tout le reste à la périphérie du réseau. À partir de maintenant, vous ne pouvez vous connecter que via Tailscale.
Vérifier
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789Accédez à l’interface de contrôle depuis n’importe quel appareil de votre tailnet :
https://openclaw.<tailnet-name>.ts.net/Remplacez <tailnet-name> par le nom de votre tailnet (visible dans tailscale status).
Vérifier la posture de sécurité
Lorsque le VCN est verrouillé (seul le port UDP 41641 est ouvert) et que le Gateway est lié à l’interface de bouclage, le trafic public est bloqué à la périphérie du réseau et l’accès administrateur est limité au tailnet. Plusieurs étapes traditionnelles de sécurisation d’un VPS deviennent ainsi inutiles :
| Étape traditionnelle | Nécessaire ? | Pourquoi |
|---|---|---|
| Pare-feu UFW | Non | Le VCN bloque le trafic avant qu’il n’atteigne l’instance. |
| fail2ban | Non | Le port 22 est bloqué au niveau du VCN ; aucune surface d’attaque par force brute. |
| Durcissement de sshd | Non | Tailscale SSH n’utilise pas sshd. |
| Désactivation de la connexion root | Non | Tailscale authentifie l’identité du tailnet, et non les utilisateurs du système. |
| Authentification SSH par clé seulement | Non | Même raison — l’identité du tailnet remplace les clés SSH du système. |
| Durcissement d’IPv6 | Généralement non | Cela dépend des paramètres du VCN et du sous-réseau ; vérifiez ce qui est réellement attribué ou exposé. |
Recommandations qui restent applicables :
chmod 700 ~/.openclawpour restreindre les autorisations des fichiers d’identifiants.openclaw security auditpour effectuer une vérification de la posture propre à OpenClaw.- Exécutez régulièrement
sudo apt update && sudo apt upgradepour appliquer les correctifs du système d’exploitation. - Vérifiez périodiquement les appareils dans la console d’administration Tailscale.
Commandes de vérification rapide :
# Vérifier qu’aucun port public n’est en écoutesudo ss -tlnp | grep -v '127.0.0.1\|::1' # Vérifier que Tailscale SSH est actiftailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH actif" # Facultatif : désactiver entièrement sshd après avoir confirmé le bon fonctionnement de Tailscale SSHsudo systemctl disable --now sshRemarques sur ARM
L’offre Always Free utilise l’architecture ARM (aarch64). La plupart des fonctionnalités d’OpenClaw fonctionnent correctement ; un petit nombre de binaires natifs nécessitent des versions ARM :
- Node.js, Telegram, WhatsApp (Baileys) : JavaScript pur, aucun problème.
- La plupart des paquets npm avec du code natif : artefacts
linux-arm64précompilés disponibles. - Assistants CLI facultatifs (par exemple, les binaires Go/Rust fournis par les Skills) : vérifiez qu’une version
aarch64/linux-arm64est disponible avant l’installation.
Vérifiez l’architecture avec uname -m (la commande doit afficher aarch64). Pour les binaires sans version ARM, installez-les depuis les sources ou ignorez-les.
Persistance et sauvegardes
L’état d’OpenClaw se trouve dans les répertoires suivants :
~/.openclaw/—openclaw.json, fichiersauth-profiles.jsonpropres à chaque agent, état des canaux et des fournisseurs, et données de session.~/.openclaw/workspace/— espace de travail de l’agent (SOUL.md, mémoire, artefacts).
Ces données sont conservées après les redémarrages. Pour créer un instantané portable :
openclaw backup createSolution de secours : tunnel SSH
Si Tailscale Serve ne fonctionne pas, utilisez un tunnel SSH depuis votre machine locale :
ssh -L 18789:127.0.0.1:18789 ubuntu@openclawOuvrez ensuite http://localhost:18789.
Dépannage
La création de l’instance échoue (« Out of capacity ») — Les instances ARM de l’offre gratuite sont très demandées. Essayez un autre domaine de disponibilité ou réessayez pendant les heures creuses.
Tailscale ne se connecte pas — Exécutez sudo tailscale up --ssh --hostname=openclaw --reset pour vous authentifier à nouveau.
Le Gateway ne démarre pas — Exécutez openclaw doctor --non-interactive et consultez les journaux avec journalctl --user -u openclaw-gateway.service -n 50.
Problèmes liés aux binaires ARM — La plupart des paquets npm fonctionnent sur ARM64. Pour les binaires natifs, recherchez des versions linux-arm64 ou aarch64. Vérifiez l’architecture avec uname -m.
Étapes suivantes
- Canaux — connectez Telegram, WhatsApp, Discord et d’autres services
- Configuration du Gateway — toutes les options de configuration
- Mise à jour — maintenez OpenClaw à jour