Hosting
Fly.io
Мета: Gateway OpenClaw, що працює на машині Fly.io з постійним сховищем, автоматичним HTTPS і доступом до Discord та інших каналів.
Що вам потрібно
- Установлений flyctl CLI
- Обліковий запис Fly.io (достатньо безплатного тарифу)
- Автентифікація моделі: ключ API для вибраного постачальника моделі
- Облікові дані каналів: токен бота Discord, токен Telegram тощо
Швидкий шлях для початківців
- Клонуйте репозиторій і налаштуйте
fly.toml - Створіть застосунок і том, задайте секрети
- Розгорніть за допомогою
fly deploy - Підключіться через SSH, щоб створити конфігурацію, або скористайтеся інтерфейсом керування
Створіть застосунок Fly
git clone https://github.com/openclaw/openclaw.gitcd openclaw # pick your own namefly apps create my-openclaw # 1GB is usually enoughfly volumes create openclaw_data --size 1 --region iadВиберіть найближчий до вас регіон. Поширені варіанти: lhr (Лондон), iad (Вірджинія), sjc (Сан-Хосе).
Налаштуйте fly.toml
Відредагуйте fly.toml відповідно до назви вашого застосунку та вимог. Відстежуваний у репозиторії файл fly.toml є загальнодоступним шаблоном, наведеним нижче; deploy/fly.private.toml — посилений варіант без загальнодоступної IP-адреси (див. Приватне розгортання).
app = "my-openclaw" # your app nameprimary_region = "iad" [build] dockerfile = "Dockerfile" [env] NODE_ENV = "production" OPENCLAW_PREFER_PNPM = "1" OPENCLAW_STATE_DIR = "/data" NODE_OPTIONS = "--max-old-space-size=1536" [processes] app = "node dist/index.js gateway --allow-unconfigured --port 3000 --bind lan" [http_service] internal_port = 3000 force_https = true auto_stop_machines = false auto_start_machines = true min_machines_running = 1 processes = ["app"] [[vm]] size = "shared-cpu-2x" memory = "2048mb" [mounts] source = "openclaw_data" destination = "/data"Точкою входу Docker-образу OpenClaw є tini, яка за замовчуванням запускає node openclaw.mjs gateway. Fly [processes] замінює Docker CMD (тут безпосередньо запускається node dist/index.js gateway ..., та сама скомпільована точка входу), не змінюючи ENTRYPOINT, тому процес і надалі працює під керуванням tini.
Ключові налаштування:
| Налаштування | Навіщо |
|---|---|
--bind lan |
Прив’язує до 0.0.0.0, щоб проксі Fly міг підключитися до Gateway |
--allow-unconfigured |
Запускає без файлу конфігурації (ви створите його пізніше) |
internal_port = 3000 |
Має збігатися з --port 3000 (або OPENCLAW_GATEWAY_PORT) для перевірок працездатності Fly |
memory = "2048mb" |
512 МБ замало; рекомендовано 2 ГБ |
OPENCLAW_STATE_DIR = "/data" |
Зберігає стан на томі |
Задайте секрети
# required: gateway auth token for non-loopback bindingfly secrets set OPENCLAW_GATEWAY_TOKEN=$(openssl rand -hex 32) # model provider API keysfly secrets set ANTHROPIC_API_KEY=example-anthropic-key-not-real # optional: other providersfly secrets set OPENAI_API_KEY=example-openai-key-not-realfly secrets set GOOGLE_API_KEY=... # channel tokensfly secrets set DISCORD_BOT_TOKEN=example-discord-bot-tokenПрив’язки не до local loopback (--bind lan) потребують дійсного способу автентифікації Gateway. У цьому прикладі використовується OPENCLAW_GATEWAY_TOKEN, але вимогу також задовольняють gateway.auth.password або правильно налаштоване розгортання довіреного проксі не на local loopback. Контракт SecretRef описано в розділі Керування секретами.
Ставтеся до цих токенів як до паролів. Для ключів API й токенів віддавайте перевагу змінним середовища/fly secrets, а не файлу конфігурації, щоб секрети не потрапляли до openclaw.json.
Розгорніть
fly deployПід час першого розгортання створюється Docker-образ. Після розгортання перевірте:
fly statusfly logsПісля запуску слухача HTTP/WebSocket Gateway записує в журнал gateway ready. Власна перевірка працездатності Fly відстежує internal_port = 3000 відповідно до fly.toml; директива Docker HEALTHCHECK образу додатково опитує /healthz на стандартному порту 18789, який тут не використовується, оскільки в цьому розгортанні порт Gateway перевизначено параметром --port 3000.
Створіть файл конфігурації
Підключіться до машини через SSH, щоб створити належну конфігурацію:
fly ssh consolemkdir -p /datacat > /data/openclaw.json << 'EOF'{ "agents": { "defaults": { "model": { "primary": "anthropic/claude-opus-4-6", "fallbacks": ["anthropic/claude-sonnet-4-6", "openai/gpt-5.4"] }, "maxConcurrent": 4 }, "list": [ { "id": "main", "default": true } ] }, "auth": { "profiles": { "anthropic:default": { "mode": "token", "provider": "anthropic" }, "openai:default": { "mode": "token", "provider": "openai" } } }, "bindings": [ { "agentId": "main", "match": { "channel": "discord" } } ], "channels": { "discord": { "enabled": true, "groupPolicy": "allowlist", "guilds": { "YOUR_GUILD_ID": { "channels": { "general": { "allow": true } }, "requireMention": false } } } }, "gateway": { "mode": "local", "bind": "auto", "controlUi": { "allowedOrigins": [ "https://my-openclaw.fly.dev", "http://localhost:3000", "http://127.0.0.1:3000" ] } }, "meta": {}}EOFЯкщо задано OPENCLAW_STATE_DIR=/data, шлях до конфігурації — /data/openclaw.json.
Замініть https://my-openclaw.fly.dev фактичним джерелом вашого застосунку Fly. Під час запуску Gateway початково заповнює локальні джерела інтерфейсу керування зі значень --bind і --port середовища виконання, щоб перше завантаження могло відбутися до створення конфігурації, але для доступу з браузера через Fly точне джерело HTTPS однаково має бути зазначене в gateway.controlUi.allowedOrigins.
Токен Discord можна отримати з одного з таких джерел:
- Змінна середовища
DISCORD_BOT_TOKEN(рекомендовано для секретів); додавати її до конфігурації не потрібно, Gateway зчитує її автоматично - Файл конфігурації
channels.discord.token
Перезапустіть, щоб застосувати зміни:
exitfly machine restart <machine-id>Отримайте доступ до Gateway
Інтерфейс керування
fly openАбо перейдіть на https://my-openclaw.fly.dev/.
Автентифікуйтеся за допомогою налаштованого спільного секрету: токена Gateway з OPENCLAW_GATEWAY_TOKEN або пароля, якщо ви перейшли на автентифікацію за паролем.
Журнали
fly logs # live logsfly logs --no-tail # recent logsКонсоль SSH
fly ssh consoleУсунення несправностей
«Застосунок не слухає за очікуваною адресою»
Gateway прив’язується до 127.0.0.1 замість 0.0.0.0.
Виправлення: додайте --bind lan до команди процесу у fly.toml.
Перевірки працездатності завершуються невдало / у з’єднанні відмовлено
Fly не може підключитися до Gateway через налаштований порт.
Виправлення: переконайтеся, що internal_port збігається з портом Gateway (--port 3000 або OPENCLAW_GATEWAY_PORT=3000).
OOM / проблеми з пам’яттю
Контейнер постійно перезапускається або примусово завершується. Ознаки: SIGABRT, v8::internal::Runtime_AllocateInYoungGeneration або перезапуски без повідомлень.
Виправлення: збільште обсяг пам’яті у fly.toml:
[[vm]] memory = "2048mb"Або оновіть наявну машину:
fly machine update <machine-id> --vm-memory 2048 -y512 МБ замало. 1 ГБ може бути достатньо, але за високого навантаження або детального журналювання можливий OOM. Рекомендовано 2 ГБ.
Проблеми з блокуванням Gateway
Після перезапуску контейнера Gateway відмовляється запускатися через помилки «already running».
Файл блокування єдиного екземпляра розташований за шляхом <tmpdir>/openclaw-<uid>/gateway.<hash>.lock (у Linux: /tmp/openclaw-<uid>/gateway.<hash>.lock), а не на постійному томі /data, тому повний перезапуск контейнера зазвичай видаляє його разом з рештою файлової системи контейнера. Якщо блокування збереглося (наприклад, після fly machine restart, що зберігає файлову систему контейнера) і перешкоджає запуску, видаліть його вручну:
fly ssh console --command "rm -f /tmp/openclaw-*/gateway.*.lock"fly machine restart <machine-id>Конфігурація не зчитується
--allow-unconfigured лише обходить перевірку під час запуску. Він не створює й не відновлює /data/openclaw.json, тому переконайтеся, що фактична конфігурація існує та містить "gateway": { "mode": "local" } для звичайного локального запуску Gateway.
Перевірте наявність конфігурації:
fly ssh console --command "cat /data/openclaw.json"Запис конфігурації через SSH
fly ssh console -C не підтримує перенаправлення оболонки. Щоб записати файл конфігурації:
# echo + tee (pipe from local to remote)echo '{"your":"config"}' | fly ssh console -C "tee /data/openclaw.json" # or sftpfly sftp shell> put /local/path/config.json /data/openclaw.jsonfly sftp може завершитися невдало, якщо файл уже існує; спочатку видаліть його:
fly ssh console --command "rm /data/openclaw.json"Стан не зберігається
Якщо після перезапуску зникають профілі автентифікації, стан каналів/постачальників або сеанси, каталог стану записується до файлової системи контейнера замість тому.
Виправлення: переконайтеся, що у fly.toml задано OPENCLAW_STATE_DIR=/data, і повторно розгорніть застосунок.
Оновлення
git pullfly deployfly statusfly logsgit pull + fly deploy — це контрольований шлях оновлення: образ повторно збирається з Dockerfile, тому версія CLI/Gateway, базовий образ ОС і всі зміни Dockerfile оновлюються разом. openclaw update усередині запущеного контейнера — це інша операція, оскільки образ постачається у вигляді створеного Docker дерева dist/ без робочої копії .git і без глобального встановлення через npm, яке команда могла б виявити; опис цього процесу для встановлень на основі віртуальних машин див. у розділі Оновлення.
Оновлення команди машини
Щоб змінити команду запуску без повного повторного розгортання:
fly machines listfly machine update <machine-id> --command "node dist/index.js gateway --port 3000 --bind lan" -y # or with a memory increasefly machine update <machine-id> --vm-memory 2048 --command "node dist/index.js gateway --port 3000 --bind lan" -yНаступний запуск fly deploy поверне команду машини до значення з fly.toml; після повторного розгортання знову застосуйте внесені вручну зміни.
Приватне розгортання (посилене)
За замовчуванням Fly виділяє загальнодоступні IP-адреси, тому ваш Gateway доступний за адресою https://your-app.fly.dev, а інтернет-сканери (Shodan, Censys тощо) можуть його виявити.
Використовуйте deploy/fly.private.toml для посиленого розгортання без загальнодоступної IP-адреси: у ньому немає [http_service], тому загальнодоступний вхідний доступ не виділяється.
Коли варто використовувати приватне розгортання
- Лише вихідні виклики/повідомлення (без вхідних Webhook)
- Тунелі ngrok або Tailscale обробляють усі зворотні виклики Webhook
- Доступ до Gateway здійснюється через SSH, проксі або WireGuard, а не через браузер
- Розгортання має бути приховане від інтернет-сканерів
Налаштування
fly deploy -c deploy/fly.private.tomlАбо перетворіть наявне розгортання:
# list current IPsfly ips list -a my-openclaw # release public IPsfly ips release <public-ipv4> -a my-openclawfly ips release <public-ipv6> -a my-openclaw # switch to the private config so future deploys do not re-allocate public IPsfly deploy -c deploy/fly.private.toml # allocate private-only IPv6fly ips allocate-v6 --private -a my-openclawПісля цього fly ips list має показувати лише IP-адресу типу private:
VERSION IP TYPE REGIONv6 fdaa:x:x:x:x::x private globalДоступ до приватного розгортання
Варіант 1: локальний проксі (найпростіший)
fly proxy 3000:3000 -a my-openclaw# відкрити http://localhost:3000 у браузеріВаріант 2: VPN WireGuard
fly wireguard create# імпортувати в клієнт WireGuard, а потім отримати доступ через внутрішню IPv6-адресу# приклад: http://[fdaa:x:x:x:x::x]:3000Варіант 3: лише SSH
fly ssh console -a my-openclawWebhook у приватному розгортанні
Для зворотних викликів Webhook (Twilio, Telnyx тощо) без публічного доступу:
- Тунель ngrok: запустіть ngrok усередині контейнера або як допоміжний контейнер
- Tailscale Funnel: відкрийте доступ до певних шляхів через Tailscale
- Лише вихідні з’єднання: деякі постачальники (Twilio) підтримують вихідні виклики без Webhook
Приклад конфігурації голосових викликів із ngrok у plugins.entries.voice-call.config:
{ plugins: { entries: { "voice-call": { enabled: true, config: { provider: "twilio", tunnel: { provider: "ngrok" }, webhookSecurity: { allowedHosts: ["example.ngrok.app"], }, }, }, }, },}Тунель ngrok працює всередині контейнера й надає публічну URL-адресу Webhook, не відкриваючи публічний доступ до самого застосунку Fly. Установіть для webhookSecurity.allowedHosts ім’я хоста тунелю, щоб дозволити переспрямовані заголовки хоста.
Компроміси щодо безпеки
| Аспект | Публічне розгортання | Приватне розгортання |
|---|---|---|
| Інтернет-сканери | Можуть виявити | Приховано |
| Прямі атаки | Можливі | Заблоковані |
| Доступ до інтерфейсу керування | Браузер | Проксі/VPN |
| Доставка Webhook | Безпосередньо | Через тунель |
Примітки
- Fly.io використовує архітектуру x86; Dockerfile сумісний як з x86, так і з ARM.
- Для початкового налаштування WhatsApp/Telegram використовуйте
fly ssh console. - Постійні дані зберігаються на томі в
/data. - Для Signal в образі потрібен signal-cli (CLI на основі Java); використовуйте власний образ і виділіть щонайменше 2 ГБ пам’яті.
Вартість
З рекомендованою конфігурацією (shared-cpu-2x, 2 ГБ оперативної пам’яті) очікуйте витрати приблизно 10–15 доларів США на місяць залежно від використання; безкоштовний рівень покриває частину базового ліміту. Актуальні тарифи дивіться на сторінці тарифів Fly.io.
Наступні кроки
- Налаштуйте канали обміну повідомленнями: Канали
- Налаштуйте Gateway: Конфігурація Gateway
- Підтримуйте OpenClaw в актуальному стані: Оновлення