Hosting
Oracle Cloud
Запустіть постійний Gateway OpenClaw на рівні ARM Always Free від Oracle Cloud (до 4 OCPU, 24 ГБ оперативної пам’яті та 200 ГБ сховища) безкоштовно.
Передумови
- Обліковий запис Oracle Cloud (реєстрація) — якщо виникнуть проблеми, перегляньте посібник спільноти з реєстрації
- Обліковий запис Tailscale (безкоштовний на tailscale.com)
- Пара ключів SSH
- Приблизно 30 хвилин
Налаштування
Створіть екземпляр OCI
- Увійдіть до Oracle Cloud Console.
- Перейдіть до Compute > Instances > Create Instance.
- Налаштуйте:
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2 (або до 4)
- Memory: 12 ГБ (або до 24 ГБ)
- Boot volume: 50 ГБ (до 200 ГБ безкоштовно)
- SSH key: додайте свій відкритий ключ
- Name:
- Натисніть Create та занотуйте загальнодоступну IP-адресу.
Підключіться та оновіть систему
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essentialbuild-essential потрібен для компіляції деяких залежностей під ARM.
Налаштуйте користувача та ім’я хоста
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntuУвімкнення linger забезпечує роботу служб користувача після виходу із системи.
Установіть Tailscale
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclawНадалі підключайтеся через Tailscale: ssh ubuntu@openclaw.
Установіть OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrcКоли з’явиться запит "How do you want to hatch your bot?", виберіть Do this later.
Налаштуйте Gateway
Для безпечного віддаленого доступу використовуйте автентифікацію за токеном із Tailscale Serve.
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.servicegateway.trustedProxies=["127.0.0.1"] тут використовується лише для обробки перенаправленої IP-адреси та локального клієнта локальним проксі Tailscale Serve. Це не gateway.auth.mode: "trusted-proxy". У цьому налаштуванні маршрути переглядача відмінностей зберігають поведінку із забороною за замовчуванням: необроблені запити переглядача з 127.0.0.1 без пересланих заголовків проксі повертають Diff not found. Для вкладень використовуйте mode=file / mode=both. Якщо потрібні загальнодоступні посилання на переглядач, цілеспрямовано ввімкніть віддалені переглядачі та задайте plugins.entries.diffs.config.viewerBaseUrl (або передайте проксі baseUrl).
Обмежте доступ у налаштуваннях безпеки VCN
Заблокуйте весь трафік, окрім Tailscale, на межі мережі:
- У консолі OCI перейдіть до Networking > Virtual Cloud Networks.
- Натисніть свою VCN, а потім Security Lists > Default Security List.
- Видаліть усі правила вхідного трафіку, крім
0.0.0.0/0 UDP 41641(Tailscale). - Залиште стандартні правила вихідного трафіку (дозволити весь вихідний трафік).
Це блокує SSH на порту 22, HTTP, HTTPS і весь інший трафік на межі мережі. Відтепер підключатися можна лише через Tailscale.
Перевірте
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789Відкрийте інтерфейс керування з будь-якого пристрою у вашій мережі tailnet:
https://openclaw.<tailnet-name>.ts.net/Замініть <tailnet-name> на назву своєї мережі tailnet (її можна побачити у виводі tailscale status).
Перевірте стан захисту
Коли доступ до VCN обмежено (відкритий лише UDP 41641), а Gateway прив’язано до loopback, загальнодоступний трафік блокується на межі мережі, а адміністративний доступ можливий лише через tailnet. Завдяки цьому кілька традиційних кроків із посилення захисту VPS стають непотрібними:
| Традиційний крок | Потрібен? | Чому |
|---|---|---|
| Брандмауер UFW | Ні | VCN блокує трафік до того, як він досягне екземпляра. |
| fail2ban | Ні | Порт 22 заблоковано на рівні VCN; поверхні для атак перебором немає. |
| Посилення захисту sshd | Ні | Tailscale SSH не використовує sshd. |
| Вимкнення входу для root | Ні | Tailscale автентифікує за ідентичністю tailnet, а не за системними користувачами. |
| Автентифікація SSH лише ключами | Ні | Так само — ідентичність tailnet замінює системні ключі SSH. |
| Посилення захисту IPv6 | Зазвичай ні | Залежить від налаштувань VCN/підмережі; перевірте фактичні призначення та доступ. |
Усе одно рекомендовано:
chmod 700 ~/.openclaw, щоб обмежити дозволи для файлів облікових даних.openclaw security auditдля перевірки стану захисту OpenClaw.- Регулярно запускати
sudo apt update && sudo apt upgrade, щоб установлювати виправлення ОС. - Періодично переглядати пристрої в консолі адміністрування Tailscale.
Команди для швидкої перевірки:
# Переконайтеся, що загальнодоступні порти не прослуховуютьсяsudo ss -tlnp | grep -v '127.0.0.1\|::1' # Перевірте, чи активний Tailscale SSHtailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # Необов’язково: повністю вимкніть sshd, переконавшись, що Tailscale SSH працюєsudo systemctl disable --now sshПримітки щодо ARM
Рівень Always Free використовує ARM (aarch64). Більшість функцій OpenClaw працюють належним чином; для невеликої кількості нативних виконуваних файлів потрібні збірки ARM:
- Node.js, Telegram, WhatsApp (Baileys): суто JavaScript, без проблем.
- Більшість пакетів npm із нативним кодом: доступні попередньо зібрані артефакти
linux-arm64. - Необов’язкові допоміжні засоби CLI (наприклад, виконувані файли Go/Rust, що постачаються зі Skills): перед установленням перевірте наявність випуску
aarch64/linux-arm64.
Перевірте архітектуру за допомогою uname -m (має вивести aarch64). Виконувані файли без збірки ARM установлюйте з вихідного коду або пропустіть їх.
Збереження стану та резервні копії
Стан OpenClaw зберігається в таких каталогах:
~/.openclaw/—openclaw.json, окремі для кожного агента файлиauth-profiles.json, стан каналів і постачальників, а також дані сеансів.~/.openclaw/workspace/— робочий простір агента (SOUL.md, пам’ять, артефакти).
Ці дані зберігаються після перезавантаження. Щоб створити переносний знімок, виконайте:
openclaw backup createРезервний варіант: тунель SSH
Якщо Tailscale Serve не працює, створіть тунель SSH із локального комп’ютера:
ssh -L 18789:127.0.0.1:18789 ubuntu@openclawПотім відкрийте http://localhost:18789.
Усунення несправностей
Не вдається створити екземпляр ("Out of capacity") — екземпляри ARM безкоштовного рівня мають високий попит. Спробуйте інший домен доступності або повторіть спробу в години найменшого навантаження.
Tailscale не підключається — виконайте sudo tailscale up --ssh --hostname=openclaw --reset, щоб повторно пройти автентифікацію.
Gateway не запускається — виконайте openclaw doctor --non-interactive і перевірте журнали командою journalctl --user -u openclaw-gateway.service -n 50.
Проблеми з виконуваними файлами ARM — більшість пакетів npm працюють на ARM64. Для нативних виконуваних файлів шукайте випуски linux-arm64 або aarch64. Перевірте архітектуру за допомогою uname -m.
Подальші кроки
- Канали — підключіть Telegram, WhatsApp, Discord тощо
- Налаштування Gateway — усі параметри конфігурації
- Оновлення — підтримуйте OpenClaw в актуальному стані