Hosting
Oracle Cloud
Uruchom trwały Gateway OpenClaw w warstwie ARM Always Free Oracle Cloud (do 4 OCPU, 24 GB RAM i 200 GB pamięci masowej) bez żadnych kosztów.
Wymagania wstępne
- Konto Oracle Cloud (rejestracja) — w razie problemów zobacz społecznościowy przewodnik po rejestracji
- Konto Tailscale (bezpłatne na tailscale.com)
- Para kluczy SSH
- Około 30 minut
Konfiguracja
Utwórz instancję OCI
- Zaloguj się do konsoli Oracle Cloud.
- Przejdź do Compute > Instances > Create Instance.
- Skonfiguruj:
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2 (lub maksymalnie 4)
- Memory: 12 GB (lub maksymalnie 24 GB)
- Boot volume: 50 GB (bezpłatnie do 200 GB)
- SSH key: Dodaj swój klucz publiczny
- Name:
- Kliknij Create i zanotuj publiczny adres IP.
Połącz się i zaktualizuj system
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essentialPakiet build-essential jest wymagany do kompilowania niektórych zależności dla architektury ARM.
Skonfiguruj użytkownika i nazwę hosta
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntuWłączenie mechanizmu linger pozwala usługom użytkownika działać po wylogowaniu.
Zainstaluj Tailscale
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclawOd tej chwili łącz się przez Tailscale: ssh ubuntu@openclaw.
Zainstaluj OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrcGdy pojawi się pytanie „How do you want to hatch your bot?”, wybierz Do this later.
Skonfiguruj Gateway
Użyj uwierzytelniania tokenem wraz z Tailscale Serve, aby zapewnić bezpieczny dostęp zdalny.
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.serviceUstawienie gateway.trustedProxies=["127.0.0.1"] dotyczy tutaj wyłącznie obsługi przekazanego adresu IP i klienta lokalnego przez lokalny serwer proxy Tailscale Serve. Nie jest to gateway.auth.mode: "trusted-proxy". W tej konfiguracji trasy przeglądarki różnic zachowują zasadę bezpiecznego odrzucania: bezpośrednie żądania przeglądarki do 127.0.0.1 bez przekazanych nagłówków serwera proxy zwracają Diff not found. W przypadku załączników użyj mode=file / mode=both. Jeśli potrzebujesz udostępnialnych łączy do przeglądarki, świadomie włącz zdalne przeglądarki i ustaw plugins.entries.diffs.config.viewerBaseUrl (lub przekaż baseUrl serwera proxy).
Ogranicz dostęp w zabezpieczeniach VCN
Zablokuj na granicy sieci cały ruch z wyjątkiem Tailscale:
- W konsoli OCI przejdź do Networking > Virtual Cloud Networks.
- Kliknij swoją sieć VCN, a następnie Security Lists > Default Security List.
- Usuń wszystkie reguły ruchu przychodzącego z wyjątkiem
0.0.0.0/0 UDP 41641(Tailscale). - Zachowaj domyślne reguły ruchu wychodzącego (zezwalające na cały ruch wychodzący).
Spowoduje to zablokowanie SSH na porcie 22, protokołów HTTP i HTTPS oraz całego pozostałego ruchu na granicy sieci. Od tej chwili możesz łączyć się wyłącznie przez Tailscale.
Zweryfikuj konfigurację
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789Uzyskaj dostęp do interfejsu sterowania z dowolnego urządzenia w swojej sieci tailnet:
https://openclaw.<tailnet-name>.ts.net/Zastąp <tailnet-name> nazwą swojej sieci tailnet (widoczną w wyniku polecenia tailscale status).
Weryfikacja poziomu zabezpieczeń
Po ograniczeniu dostępu do VCN (otwarty jest tylko port UDP 41641) i powiązaniu Gateway z local loopback ruch publiczny zostaje zablokowany na granicy sieci, a dostęp administracyjny jest możliwy wyłącznie z sieci tailnet. Eliminuje to potrzebę stosowania kilku tradycyjnych metod zabezpieczania serwera VPS:
| Tradycyjne działanie | Wymagane? | Dlaczego |
|---|---|---|
| Zapora UFW | Nie | VCN blokuje ruch, zanim dotrze on do instancji. |
| fail2ban | Nie | Port 22 jest zablokowany przez VCN, więc nie ma powierzchni ataku siłowego. |
| Wzmacnianie zabezpieczeń sshd | Nie | Tailscale SSH nie korzysta z sshd. |
| Wyłączenie logowania użytkownika root | Nie | Tailscale uwierzytelnia na podstawie tożsamości tailnet, a nie użytkowników systemu. |
| Uwierzytelnianie SSH tylko kluczem | Nie | Tak samo — tożsamość tailnet zastępuje systemowe klucze SSH. |
| Wzmacnianie zabezpieczeń IPv6 | Zwykle nie | Zależy od ustawień VCN/podsieci; sprawdź, co zostało faktycznie przypisane i udostępnione. |
Nadal zalecane:
chmod 700 ~/.openclaw, aby ograniczyć uprawnienia do plików poświadczeń.openclaw security audit, aby sprawdzić zabezpieczenia specyficzne dla OpenClaw.- Regularne wykonywanie
sudo apt update && sudo apt upgradew celu instalowania poprawek systemu operacyjnego. - Okresowe przeglądanie urządzeń w konsoli administracyjnej Tailscale.
Polecenia do szybkiej weryfikacji:
# Potwierdź, że żadne porty publiczne nie nasłuchująsudo ss -tlnp | grep -v '127.0.0.1\|::1' # Sprawdź, czy Tailscale SSH jest aktywnetailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # Opcjonalnie: całkowicie wyłącz sshd po potwierdzeniu, że Tailscale SSH działasudo systemctl disable --now sshUwagi dotyczące ARM
Warstwa Always Free korzysta z architektury ARM (aarch64). Większość funkcji OpenClaw działa prawidłowo, ale niewielka liczba natywnych plików binarnych wymaga kompilacji dla ARM:
- Node.js, Telegram, WhatsApp (Baileys): czysty JavaScript, bez problemów.
- Większość pakietów npm z kodem natywnym: dostępne są gotowe artefakty
linux-arm64. - Opcjonalne narzędzia pomocnicze CLI (np. pliki binarne Go/Rust dostarczane przez Skills): przed instalacją sprawdź dostępność wydania
aarch64/linux-arm64.
Sprawdź architekturę za pomocą polecenia uname -m (powinno wyświetlić aarch64). Pliki binarne bez kompilacji dla ARM zainstaluj ze źródeł lub pomiń.
Trwałość danych i kopie zapasowe
Stan OpenClaw znajduje się w następujących katalogach:
~/.openclaw/—openclaw.json, plikiauth-profiles.jsonposzczególnych agentów, stan kanałów/dostawców i dane sesji.~/.openclaw/workspace/— obszar roboczy agenta (SOUL.md, pamięć, artefakty).
Dane te są zachowywane po ponownym uruchomieniu. Aby utworzyć przenośną migawkę:
openclaw backup createRozwiązanie awaryjne: tunel SSH
Jeśli Tailscale Serve nie działa, użyj tunelu SSH z komputera lokalnego:
ssh -L 18789:127.0.0.1:18789 ubuntu@openclawNastępnie otwórz http://localhost:18789.
Rozwiązywanie problemów
Tworzenie instancji kończy się niepowodzeniem („Out of capacity”) — instancje ARM w warstwie bezpłatnej są popularne. Wybierz inną domenę dostępności lub spróbuj ponownie poza godzinami szczytu.
Tailscale nie może się połączyć — uruchom sudo tailscale up --ssh --hostname=openclaw --reset, aby ponownie się uwierzytelnić.
Gateway nie uruchamia się — uruchom openclaw doctor --non-interactive i sprawdź dzienniki za pomocą polecenia journalctl --user -u openclaw-gateway.service -n 50.
Problemy z plikami binarnymi ARM — większość pakietów npm działa na ARM64. W przypadku natywnych plików binarnych szukaj wydań linux-arm64 lub aarch64. Sprawdź architekturę za pomocą polecenia uname -m.
Następne kroki
- Kanały — połącz Telegram, WhatsApp, Discord i inne usługi
- Konfiguracja Gateway — wszystkie opcje konfiguracji
- Aktualizowanie — utrzymuj OpenClaw w aktualnej wersji