Hosting
Oracle Cloud
Esegui un Gateway OpenClaw persistente sul livello ARM Always Free di Oracle Cloud (fino a 4 OCPU, 24 GB di RAM e 200 GB di spazio di archiviazione) senza alcun costo.
Prerequisiti
- Account Oracle Cloud (registrazione) -- in caso di problemi, consulta la guida della community alla registrazione
- Account Tailscale (gratuito su tailscale.com)
- Una coppia di chiavi SSH
- Circa 30 minuti
Configurazione
Crea un'istanza OCI
- Accedi alla console Oracle Cloud.
- Vai a Compute > Instances > Create Instance.
- Configura:
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2 (o fino a 4)
- Memory: 12 GB (o fino a 24 GB)
- Boot volume: 50 GB (fino a 200 GB gratuiti)
- SSH key: aggiungi la tua chiave pubblica
- Name:
- Fai clic su Create e annota l'indirizzo IP pubblico.
Connettiti e aggiorna il sistema
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essentialbuild-essential è necessario per compilare su ARM alcune dipendenze.
Configura l'utente e il nome host
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntuL'abilitazione della persistenza mantiene in esecuzione i servizi utente dopo la disconnessione.
Installa Tailscale
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclawDa questo momento, connettiti tramite Tailscale: ssh ubuntu@openclaw.
Installa OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrcQuando viene visualizzata la richiesta "How do you want to hatch your bot?", seleziona Do this later.
Configura il Gateway
Usa l'autenticazione tramite token con Tailscale Serve per un accesso remoto sicuro.
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.serviceIn questo caso, gateway.trustedProxies=["127.0.0.1"] serve esclusivamente alla gestione dell'IP inoltrato e del client locale da parte del proxy Tailscale Serve locale. Non corrisponde a gateway.auth.mode: "trusted-proxy". Con questa configurazione, le route del visualizzatore delle differenze mantengono un comportamento fail-closed: le richieste non elaborate al visualizzatore da 127.0.0.1 prive delle intestazioni inoltrate dal proxy restituiscono Diff not found. Usa mode=file / mode=both per gli allegati oppure abilita intenzionalmente i visualizzatori remoti e imposta plugins.entries.diffs.config.viewerBaseUrl (o passa un baseUrl del proxy) se ti servono collegamenti condivisibili al visualizzatore.
Proteggi la sicurezza della VCN
Blocca tutto il traffico tranne Tailscale al perimetro della rete:
- Vai a Networking > Virtual Cloud Networks nella console OCI.
- Fai clic sulla tua VCN, quindi su Security Lists > Default Security List.
- Rimuovi tutte le regole in ingresso tranne
0.0.0.0/0 UDP 41641(Tailscale). - Mantieni le regole in uscita predefinite (consenti tutto il traffico in uscita).
Questa configurazione blocca SSH sulla porta 22, HTTP, HTTPS e tutto il resto al perimetro della rete. Da questo momento puoi connetterti solo tramite Tailscale.
Verifica
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789Accedi all'interfaccia di controllo da qualsiasi dispositivo nella tua tailnet:
https://openclaw.<tailnet-name>.ts.net/Sostituisci <tailnet-name> con il nome della tua tailnet (visibile in tailscale status).
Verifica il livello di sicurezza
Con la VCN protetta (solo la porta UDP 41641 aperta) e il Gateway associato a local loopback, il traffico pubblico viene bloccato al perimetro della rete e l'accesso amministrativo è limitato alla tailnet. Ciò elimina la necessità di diverse procedure tradizionali di protezione dei VPS:
| Procedura tradizionale | Necessaria? | Motivo |
|---|---|---|
| Firewall UFW | No | La VCN blocca il traffico prima che raggiunga l'istanza. |
| fail2ban | No | La porta 22 è bloccata dalla VCN; non esiste una superficie esposta ad attacchi di forza bruta. |
| Protezione di sshd | No | Tailscale SSH non utilizza sshd. |
| Disabilitazione dell'accesso root | No | Tailscale autentica tramite l'identità della tailnet, non tramite gli utenti di sistema. |
| Autenticazione solo con chiave SSH | No | Come sopra: l'identità della tailnet sostituisce le chiavi SSH di sistema. |
| Protezione IPv6 | Generalmente no | Dipende dalle impostazioni della VCN/sottorete; verifica cosa è effettivamente assegnato o esposto. |
Sono comunque consigliati:
chmod 700 ~/.openclawper limitare le autorizzazioni dei file delle credenziali.openclaw security auditper una verifica del livello di sicurezza specifica per OpenClaw.- Eseguire regolarmente
sudo apt update && sudo apt upgradeper applicare le patch del sistema operativo. - Controllare periodicamente i dispositivi nella console di amministrazione Tailscale.
Comandi di verifica rapida:
# Verifica che nessuna porta pubblica sia in ascoltosudo ss -tlnp | grep -v '127.0.0.1\|::1' # Verifica che Tailscale SSH sia attivotailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # Facoltativo: disabilita completamente sshd dopo aver verificato il funzionamento di Tailscale SSHsudo systemctl disable --now sshNote su ARM
Il livello Always Free usa ARM (aarch64). La maggior parte delle funzionalità di OpenClaw opera correttamente; un numero limitato di file binari nativi richiede build per ARM:
- Node.js, Telegram, WhatsApp (Baileys): JavaScript puro, nessun problema.
- La maggior parte dei pacchetti npm con codice nativo: sono disponibili artefatti
linux-arm64precompilati. - Strumenti CLI facoltativi (ad esempio file binari Go/Rust distribuiti dalle Skills): prima dell'installazione, verifica che sia disponibile una versione
aarch64/linux-arm64.
Verifica l'architettura con uname -m (dovrebbe restituire aarch64). Per i file binari privi di una build ARM, esegui l'installazione dal codice sorgente oppure non installarli.
Persistenza e backup
Lo stato di OpenClaw si trova nelle seguenti directory:
~/.openclaw/--openclaw.json, i fileauth-profiles.jsondi ciascun agente, lo stato di canali e provider e i dati delle sessioni.~/.openclaw/workspace/-- lo spazio di lavoro dell'agente (SOUL.md, memoria, artefatti).
Questi dati persistono dopo i riavvii. Per creare un'istantanea portabile:
openclaw backup createAlternativa: tunnel SSH
Se Tailscale Serve non funziona, utilizza un tunnel SSH dal computer locale:
ssh -L 18789:127.0.0.1:18789 ubuntu@openclawQuindi apri http://localhost:18789.
Risoluzione dei problemi
La creazione dell'istanza non riesce ("Out of capacity") -- Le istanze ARM del livello gratuito sono molto richieste. Prova un dominio di disponibilità diverso oppure riprova nelle ore di minore affluenza.
Tailscale non si connette -- Esegui sudo tailscale up --ssh --hostname=openclaw --reset per autenticarti nuovamente.
Il Gateway non si avvia -- Esegui openclaw doctor --non-interactive e controlla i log con journalctl --user -u openclaw-gateway.service -n 50.
Problemi con i file binari ARM -- La maggior parte dei pacchetti npm funziona su ARM64. Per i file binari nativi, cerca versioni linux-arm64 o aarch64. Verifica l'architettura con uname -m.
Passaggi successivi
- Canali -- collega Telegram, WhatsApp, Discord e altri servizi
- Configurazione del Gateway -- tutte le opzioni di configurazione
- Aggiornamento -- mantieni OpenClaw aggiornato