Hosting

Oracle Cloud

Запустите постоянный Gateway OpenClaw на ARM-тарифе Oracle Cloud Always Free (до 4 OCPU, 24 ГБ ОЗУ и 200 ГБ хранилища) бесплатно.

Предварительные требования

Настройка

  • Создание экземпляра OCI

    1. Войдите в Oracle Cloud Console.
    2. Перейдите в Compute > Instances > Create Instance.
    3. Настройте:
      • Name: openclaw
      • Image: Ubuntu 24.04 (aarch64)
      • Shape: VM.Standard.A1.Flex (Ampere ARM)
      • OCPUs: 2 (или до 4)
      • Memory: 12 ГБ (или до 24 ГБ)
      • Boot volume: 50 ГБ (бесплатно до 200 ГБ)
      • SSH key: добавьте свой открытый ключ
    4. Нажмите Create и запишите общедоступный IP-адрес.
  • Подключение и обновление системы

    bash
    ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essential

    build-essential требуется для компиляции некоторых зависимостей под ARM.

  • Настройка пользователя и имени хоста

    bash
    sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntu

    Включение linger позволяет пользовательским службам продолжать работу после выхода из системы.

  • Установка Tailscale

    bash
    curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclaw

    Теперь подключайтесь через Tailscale: ssh ubuntu@openclaw.

  • Установка OpenClaw

    bash
    curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrc

    При появлении запроса "How do you want to hatch your bot?" выберите Do this later.

  • Настройка Gateway

    Используйте аутентификацию по токену вместе с Tailscale Serve для безопасного удаленного доступа.

    bash
    openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.service

    Здесь gateway.trustedProxies=["127.0.0.1"] используется только для обработки перенаправленного IP-адреса и локального клиента локальным прокси Tailscale Serve. Это не gateway.auth.mode: "trusted-proxy". В этой конфигурации маршруты средства просмотра различий сохраняют закрытое по умолчанию поведение: необработанные запросы средства просмотра 127.0.0.1 без перенаправленных заголовков прокси возвращают Diff not found. Используйте mode=file / mode=both для вложений либо намеренно включите удаленные средства просмотра и задайте plugins.entries.diffs.config.viewerBaseUrl (или передайте прокси baseUrl), если нужны общедоступные ссылки на средство просмотра.

  • Ограничение доступа в VCN

    Заблокируйте на границе сети весь трафик, кроме Tailscale:

    1. Перейдите в Networking > Virtual Cloud Networks в OCI Console.
    2. Нажмите на свою VCN, затем выберите Security Lists > Default Security List.
    3. Удалите все правила входящего трафика, кроме 0.0.0.0/0 UDP 41641 (Tailscale).
    4. Сохраните стандартные правила исходящего трафика (разрешить весь исходящий трафик).

    Это блокирует SSH на порту 22, HTTP, HTTPS и весь остальной трафик на границе сети. С этого момента подключаться можно только через Tailscale.

  • Проверка

    bash
    openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789

    Откройте интерфейс управления с любого устройства в своей сети tailnet:

    Code
    https://openclaw.<tailnet-name>.ts.net/

    Замените <tailnet-name> именем своей сети tailnet (оно отображается в tailscale status).

  • Проверка уровня безопасности

    Когда доступ к VCN ограничен (открыт только UDP-порт 41641), а Gateway привязан к loopback-интерфейсу, общедоступный трафик блокируется на границе сети, а административный доступ возможен только из сети tailnet. Благодаря этому несколько традиционных мер по усилению защиты VPS не требуются:

    Традиционная мера Требуется? Причина
    Межсетевой экран UFW Нет VCN блокирует трафик до того, как он достигнет экземпляра.
    fail2ban Нет Порт 22 заблокирован на уровне VCN; поверхность для перебора отсутствует.
    Усиление защиты sshd Нет Tailscale SSH не использует sshd.
    Отключение входа для root Нет Tailscale выполняет аутентификацию по идентификатору tailnet, а не системным пользователям.
    Аутентификация только по SSH-ключу Нет Аналогично — идентификатор tailnet заменяет системные SSH-ключи.
    Усиление защиты IPv6 Обычно нет Зависит от настроек VCN и подсети; проверьте, что фактически назначено и доступно извне.

    По-прежнему рекомендуется:

    • chmod 700 ~/.openclaw для ограничения разрешений файлов учетных данных.
    • openclaw security audit для проверки уровня безопасности OpenClaw.
    • Регулярно выполнять sudo apt update && sudo apt upgrade для установки исправлений ОС.
    • Периодически проверять устройства в консоли администрирования Tailscale.

    Команды для быстрой проверки:

    bash
    # Убедитесь, что общедоступные порты не прослушиваютсяsudo ss -tlnp | grep -v '127.0.0.1\|::1' # Убедитесь, что Tailscale SSH активенtailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH активен" # Необязательно: полностью отключите sshd, убедившись, что Tailscale SSH работаетsudo systemctl disable --now ssh

    Примечания об ARM

    Тариф Always Free использует ARM (aarch64). Большинство функций OpenClaw работают без проблем; небольшому числу нативных исполняемых файлов требуются сборки для ARM:

    • Node.js, Telegram, WhatsApp (Baileys): чистый JavaScript, проблем нет.
    • Большинство пакетов npm с нативным кодом: доступны предварительно собранные артефакты linux-arm64.
    • Необязательные вспомогательные инструменты CLI (например, исполняемые файлы Go/Rust, поставляемые навыками): перед установкой проверьте наличие выпуска aarch64 / linux-arm64.

    Проверьте архитектуру с помощью uname -m (команда должна вывести aarch64). Исполняемые файлы без сборки для ARM установите из исходного кода или не устанавливайте.

    Хранение данных и резервное копирование

    Состояние OpenClaw хранится в следующих каталогах:

    • ~/.openclaw/openclaw.json, данные auth-profiles.json отдельных агентов, состояние каналов и провайдеров, а также данные сеансов.
    • ~/.openclaw/workspace/ — рабочая область агента (SOUL.md, память, артефакты).

    Эти данные сохраняются после перезагрузки. Чтобы создать переносимый снимок:

    bash
    openclaw backup create

    Резервный вариант: туннель SSH

    Если Tailscale Serve не работает, создайте туннель SSH с локального компьютера:

    bash
    ssh -L 18789:127.0.0.1:18789 ubuntu@openclaw

    Затем откройте http://localhost:18789.

    Устранение неполадок

    Не удается создать экземпляр ("Out of capacity") — ARM-экземпляры бесплатного тарифа популярны. Попробуйте другой домен доступности или повторите попытку в часы наименьшей нагрузки.

    Tailscale не подключается — выполните sudo tailscale up --ssh --hostname=openclaw --reset для повторной аутентификации.

    Gateway не запускается — выполните openclaw doctor --non-interactive и проверьте журналы с помощью journalctl --user -u openclaw-gateway.service -n 50.

    Проблемы с исполняемыми файлами ARM — большинство пакетов npm работают на ARM64. Для нативных исполняемых файлов ищите выпуски linux-arm64 или aarch64. Проверьте архитектуру с помощью uname -m.

    Дальнейшие действия

    Связанные материалы

    Was this useful?
    On this page

    On this page