Hosting
Oracle Cloud
Execute um Gateway persistente do OpenClaw na camada ARM Always Free da Oracle Cloud (até 4 OCPUs, 24 GB de RAM e 200 GB de armazenamento) sem custo.
Pré-requisitos
- Conta da Oracle Cloud (cadastro) -- consulte o guia de cadastro da comunidade se tiver problemas
- Conta do Tailscale (gratuita em tailscale.com)
- Um par de chaves SSH
- Cerca de 30 minutos
Configuração
Criar uma instância do OCI
- Entre no Oracle Cloud Console.
- Acesse Compute > Instances > Create Instance.
- Configure:
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2 (ou até 4)
- Memory: 12 GB (ou até 24 GB)
- Boot volume: 50 GB (até 200 GB gratuitos)
- SSH key: adicione sua chave pública
- Name:
- Clique em Create e anote o endereço IP público.
Conectar-se e atualizar o sistema
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essentialbuild-essential é necessário para compilar algumas dependências para ARM.
Configurar o usuário e o nome do host
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntuHabilitar o linger mantém os serviços do usuário em execução após o logout.
Instalar o Tailscale
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclawA partir de agora, conecte-se pelo Tailscale: ssh ubuntu@openclaw.
Instalar o OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrcQuando a mensagem "How do you want to hatch your bot?" aparecer, selecione Do this later.
Configurar o Gateway
Use autenticação por token com o Tailscale Serve para obter acesso remoto seguro.
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.servicegateway.trustedProxies=["127.0.0.1"] aqui serve apenas para o processamento de IP encaminhado/cliente local pelo proxy local do Tailscale Serve. Isso não é gateway.auth.mode: "trusted-proxy". As rotas do visualizador de diferenças mantêm o comportamento de bloqueio seguro nesta configuração: solicitações brutas do visualizador vindas de 127.0.0.1 sem cabeçalhos encaminhados pelo proxy retornam Diff not found. Use mode=file / mode=both para anexos ou habilite intencionalmente visualizadores remotos e defina plugins.entries.diffs.config.viewerBaseUrl (ou forneça um baseUrl ao proxy) se precisar de links compartilháveis do visualizador.
Restringir a segurança da VCN
Bloqueie todo o tráfego, exceto o Tailscale, na borda da rede:
- Acesse Networking > Virtual Cloud Networks no OCI Console.
- Clique na sua VCN e depois em Security Lists > Default Security List.
- Remova todas as regras de entrada, exceto
0.0.0.0/0 UDP 41641(Tailscale). - Mantenha as regras de saída padrão (permitir todo o tráfego de saída).
Isso bloqueia SSH na porta 22, HTTP, HTTPS e todo o restante na borda da rede. Desse ponto em diante, você só poderá se conectar pelo Tailscale.
Verificar
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789Acesse a interface de controle em qualquer dispositivo da sua tailnet:
https://openclaw.<tailnet-name>.ts.net/Substitua <tailnet-name> pelo nome da sua tailnet (visível em tailscale status).
Verificar a postura de segurança
Com a VCN restrita (somente a porta UDP 41641 aberta) e o Gateway vinculado ao local loopback, o tráfego público é bloqueado na borda da rede e o acesso administrativo fica restrito à tailnet. Isso elimina a necessidade de várias etapas tradicionais de proteção de VPS:
| Etapa tradicional | Necessária? | Motivo |
|---|---|---|
| Firewall UFW | Não | A VCN bloqueia o tráfego antes que ele chegue à instância. |
| fail2ban | Não | A porta 22 está bloqueada na VCN; não há superfície para ataques de força bruta. |
| Proteção do sshd | Não | O SSH do Tailscale não usa o sshd. |
| Desabilitar o login do usuário root | Não | O Tailscale autentica pela identidade da tailnet, não por usuários do sistema. |
| Autenticação SSH somente por chave | Não | Da mesma forma, a identidade da tailnet substitui as chaves SSH do sistema. |
| Proteção de IPv6 | Geralmente não | Depende das configurações da VCN/sub-rede; verifique o que está realmente atribuído/exposto. |
Ainda recomendado:
chmod 700 ~/.openclawpara restringir as permissões dos arquivos de credenciais.openclaw security auditpara uma verificação da postura específica do OpenClaw.- Executar regularmente
sudo apt update && sudo apt upgradepara aplicar correções do sistema operacional. - Revisar periodicamente os dispositivos no console de administração do Tailscale.
Comandos rápidos de verificação:
# Confirme que nenhuma porta pública está escutandosudo ss -tlnp | grep -v '127.0.0.1\|::1' # Verifique se o SSH do Tailscale está ativotailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # Opcional: desabilite completamente o sshd depois de confirmar que o SSH do Tailscale funcionasudo systemctl disable --now sshObservações sobre ARM
A camada Always Free usa ARM (aarch64). A maioria dos recursos do OpenClaw funciona normalmente; um pequeno número de binários nativos precisa de compilações para ARM:
- Node.js, Telegram, WhatsApp (Baileys): JavaScript puro, sem problemas.
- A maioria dos pacotes npm com código nativo: artefatos
linux-arm64pré-compilados disponíveis. - Utilitários opcionais da CLI (por exemplo, binários Go/Rust distribuídos por Skills): verifique se há uma versão
aarch64/linux-arm64antes de instalar.
Verifique a arquitetura com uname -m (deve exibir aarch64). Para binários sem uma compilação ARM, instale a partir do código-fonte ou ignore-os.
Persistência e backups
O estado do OpenClaw fica em:
~/.openclaw/--openclaw.json,auth-profiles.jsonpor agente, estado de canais/provedores e dados de sessão.~/.openclaw/workspace/-- o espaço de trabalho do agente (SOUL.md, memória e artefatos).
Esses dados sobrevivem a reinicializações. Para criar um snapshot portátil:
openclaw backup createAlternativa: túnel SSH
Se o Tailscale Serve não estiver funcionando, use um túnel SSH a partir da sua máquina local:
ssh -L 18789:127.0.0.1:18789 ubuntu@openclawEm seguida, abra http://localhost:18789.
Solução de problemas
Falha na criação da instância ("Out of capacity") -- As instâncias ARM da camada gratuita são populares. Tente outro domínio de disponibilidade ou tente novamente fora dos horários de pico.
O Tailscale não se conecta -- Execute sudo tailscale up --ssh --hostname=openclaw --reset para autenticar novamente.
O Gateway não inicia -- Execute openclaw doctor --non-interactive e verifique os logs com journalctl --user -u openclaw-gateway.service -n 50.
Problemas com binários ARM -- A maioria dos pacotes npm funciona em ARM64. Para binários nativos, procure versões linux-arm64 ou aarch64. Verifique a arquitetura com uname -m.
Próximas etapas
- Canais -- conecte Telegram, WhatsApp, Discord e outros
- Configuração do Gateway -- todas as opções de configuração
- Atualização -- mantenha o OpenClaw atualizado