Hosting
Oracle Cloud
Запустите постоянный Gateway OpenClaw на ARM-тарифе Oracle Cloud Always Free (до 4 OCPU, 24 ГБ ОЗУ и 200 ГБ хранилища) бесплатно.
Предварительные требования
- Учетная запись Oracle Cloud (регистрация) — если возникнут проблемы, ознакомьтесь с руководством сообщества по регистрации
- Учетная запись Tailscale (бесплатно на tailscale.com)
- Пара ключей SSH
- Около 30 минут
Настройка
Создание экземпляра OCI
- Войдите в Oracle Cloud Console.
- Перейдите в Compute > Instances > Create Instance.
- Настройте:
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2 (или до 4)
- Memory: 12 ГБ (или до 24 ГБ)
- Boot volume: 50 ГБ (бесплатно до 200 ГБ)
- SSH key: добавьте свой открытый ключ
- Name:
- Нажмите Create и запишите общедоступный IP-адрес.
Подключение и обновление системы
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essentialbuild-essential требуется для компиляции некоторых зависимостей под ARM.
Настройка пользователя и имени хоста
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntuВключение linger позволяет пользовательским службам продолжать работу после выхода из системы.
Установка Tailscale
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclawТеперь подключайтесь через Tailscale: ssh ubuntu@openclaw.
Установка OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrcПри появлении запроса "How do you want to hatch your bot?" выберите Do this later.
Настройка Gateway
Используйте аутентификацию по токену вместе с Tailscale Serve для безопасного удаленного доступа.
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.serviceЗдесь gateway.trustedProxies=["127.0.0.1"] используется только для обработки перенаправленного IP-адреса и локального клиента локальным прокси Tailscale Serve. Это не gateway.auth.mode: "trusted-proxy". В этой конфигурации маршруты средства просмотра различий сохраняют закрытое по умолчанию поведение: необработанные запросы средства просмотра 127.0.0.1 без перенаправленных заголовков прокси возвращают Diff not found. Используйте mode=file / mode=both для вложений либо намеренно включите удаленные средства просмотра и задайте plugins.entries.diffs.config.viewerBaseUrl (или передайте прокси baseUrl), если нужны общедоступные ссылки на средство просмотра.
Ограничение доступа в VCN
Заблокируйте на границе сети весь трафик, кроме Tailscale:
- Перейдите в Networking > Virtual Cloud Networks в OCI Console.
- Нажмите на свою VCN, затем выберите Security Lists > Default Security List.
- Удалите все правила входящего трафика, кроме
0.0.0.0/0 UDP 41641(Tailscale). - Сохраните стандартные правила исходящего трафика (разрешить весь исходящий трафик).
Это блокирует SSH на порту 22, HTTP, HTTPS и весь остальной трафик на границе сети. С этого момента подключаться можно только через Tailscale.
Проверка
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789Откройте интерфейс управления с любого устройства в своей сети tailnet:
https://openclaw.<tailnet-name>.ts.net/Замените <tailnet-name> именем своей сети tailnet (оно отображается в tailscale status).
Проверка уровня безопасности
Когда доступ к VCN ограничен (открыт только UDP-порт 41641), а Gateway привязан к loopback-интерфейсу, общедоступный трафик блокируется на границе сети, а административный доступ возможен только из сети tailnet. Благодаря этому несколько традиционных мер по усилению защиты VPS не требуются:
| Традиционная мера | Требуется? | Причина |
|---|---|---|
| Межсетевой экран UFW | Нет | VCN блокирует трафик до того, как он достигнет экземпляра. |
| fail2ban | Нет | Порт 22 заблокирован на уровне VCN; поверхность для перебора отсутствует. |
| Усиление защиты sshd | Нет | Tailscale SSH не использует sshd. |
| Отключение входа для root | Нет | Tailscale выполняет аутентификацию по идентификатору tailnet, а не системным пользователям. |
| Аутентификация только по SSH-ключу | Нет | Аналогично — идентификатор tailnet заменяет системные SSH-ключи. |
| Усиление защиты IPv6 | Обычно нет | Зависит от настроек VCN и подсети; проверьте, что фактически назначено и доступно извне. |
По-прежнему рекомендуется:
chmod 700 ~/.openclawдля ограничения разрешений файлов учетных данных.openclaw security auditдля проверки уровня безопасности OpenClaw.- Регулярно выполнять
sudo apt update && sudo apt upgradeдля установки исправлений ОС. - Периодически проверять устройства в консоли администрирования Tailscale.
Команды для быстрой проверки:
# Убедитесь, что общедоступные порты не прослушиваютсяsudo ss -tlnp | grep -v '127.0.0.1\|::1' # Убедитесь, что Tailscale SSH активенtailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH активен" # Необязательно: полностью отключите sshd, убедившись, что Tailscale SSH работаетsudo systemctl disable --now sshПримечания об ARM
Тариф Always Free использует ARM (aarch64). Большинство функций OpenClaw работают без проблем; небольшому числу нативных исполняемых файлов требуются сборки для ARM:
- Node.js, Telegram, WhatsApp (Baileys): чистый JavaScript, проблем нет.
- Большинство пакетов npm с нативным кодом: доступны предварительно собранные артефакты
linux-arm64. - Необязательные вспомогательные инструменты CLI (например, исполняемые файлы Go/Rust, поставляемые навыками): перед установкой проверьте наличие выпуска
aarch64/linux-arm64.
Проверьте архитектуру с помощью uname -m (команда должна вывести aarch64). Исполняемые файлы без сборки для ARM установите из исходного кода или не устанавливайте.
Хранение данных и резервное копирование
Состояние OpenClaw хранится в следующих каталогах:
~/.openclaw/—openclaw.json, данныеauth-profiles.jsonотдельных агентов, состояние каналов и провайдеров, а также данные сеансов.~/.openclaw/workspace/— рабочая область агента (SOUL.md, память, артефакты).
Эти данные сохраняются после перезагрузки. Чтобы создать переносимый снимок:
openclaw backup createРезервный вариант: туннель SSH
Если Tailscale Serve не работает, создайте туннель SSH с локального компьютера:
ssh -L 18789:127.0.0.1:18789 ubuntu@openclawЗатем откройте http://localhost:18789.
Устранение неполадок
Не удается создать экземпляр ("Out of capacity") — ARM-экземпляры бесплатного тарифа популярны. Попробуйте другой домен доступности или повторите попытку в часы наименьшей нагрузки.
Tailscale не подключается — выполните sudo tailscale up --ssh --hostname=openclaw --reset для повторной аутентификации.
Gateway не запускается — выполните openclaw doctor --non-interactive и проверьте журналы с помощью journalctl --user -u openclaw-gateway.service -n 50.
Проблемы с исполняемыми файлами ARM — большинство пакетов npm работают на ARM64. Для нативных исполняемых файлов ищите выпуски linux-arm64 или aarch64. Проверьте архитектуру с помощью uname -m.
Дальнейшие действия
- Каналы — подключите Telegram, WhatsApp, Discord и другие сервисы
- Настройка Gateway — все параметры конфигурации
- Обновление — поддерживайте OpenClaw в актуальном состоянии