Hosting
Hetzner
Chạy một OpenClaw Gateway thường trực trên VPS Hetzner bằng Docker, với trạng thái bền vững, các tệp nhị phân được tích hợp sẵn và hành vi khởi động lại an toàn.
Giá của Hetzner có thể thay đổi; hãy chọn VPS Debian/Ubuntu nhỏ nhất đáp ứng nhu cầu và nâng cấp nếu gặp lỗi hết bộ nhớ (OOM).
Bạn có thể truy cập Gateway qua chuyển tiếp cổng SSH từ máy tính xách tay hoặc mở cổng trực tiếp nếu tự quản lý tường lửa và token.
Nhắc lại về mô hình bảo mật:
- Các tác tử dùng chung trong công ty là phù hợp khi mọi người cùng nằm trong một ranh giới tin cậy và môi trường thực thi chỉ phục vụ công việc.
- Duy trì phân tách nghiêm ngặt: VPS/môi trường thực thi chuyên dụng + tài khoản chuyên dụng; không sử dụng hồ sơ Apple/Google/trình duyệt/trình quản lý mật khẩu cá nhân trên máy chủ đó.
- Nếu người dùng có thể đối kháng lẫn nhau, hãy phân tách theo Gateway/máy chủ/người dùng hệ điều hành.
Xem Bảo mật và Lưu trữ trên VPS.
Hướng dẫn này giả định Hetzner chạy Ubuntu hoặc Debian. Trên VPS Linux khác, hãy ánh xạ các gói tương ứng. Để xem quy trình Docker chung, hãy xem Docker.
Những gì bạn cần
- VPS Hetzner có quyền truy cập root
- Quyền truy cập SSH từ máy tính xách tay
- Docker và Docker Compose
- Thông tin xác thực mô hình
- Thông tin xác thực nhà cung cấp tùy chọn (mã QR WhatsApp, token bot Telegram, Gmail OAuth)
- Khoảng 20 phút
Quy trình nhanh
- Cấp phát VPS Hetzner
- Cài đặt Docker
- Sao chép kho lưu trữ OpenClaw
- Tạo các thư mục lâu bền trên máy chủ
- Cấu hình
.envvàdocker-compose.yml - Tích hợp các tệp nhị phân cần thiết vào image
docker compose up -d- Xác minh khả năng duy trì trạng thái và truy cập Gateway
Cấp phát VPS
Tạo VPS Ubuntu hoặc Debian trên Hetzner, sau đó kết nối với tư cách root:
ssh root@YOUR_VPS_IPHãy coi VPS là hạ tầng có trạng thái, không phải hạ tầng dùng một lần.
Cài đặt Docker (trên VPS)
apt-get updateapt-get install -y git curl ca-certificatescurl -fsSL https://get.docker.com | shXác minh:
docker --versiondocker compose versionSao chép kho lưu trữ OpenClaw
git clone https://github.com/openclaw/openclaw.gitcd openclawHướng dẫn này xây dựng một image tùy chỉnh để mọi tệp nhị phân được tích hợp vào đó vẫn tồn tại sau khi khởi động lại.
Tạo các thư mục lâu bền trên máy chủ
Các container Docker có tính tạm thời; mọi trạng thái dài hạn phải nằm trên máy chủ.
mkdir -p /root/.openclaw/workspace # Đặt quyền sở hữu cho người dùng trong container (uid 1000):chown -R 1000:1000 /root/.openclawCấu hình biến môi trường
Tạo .env tại thư mục gốc của kho lưu trữ:
OPENCLAW_IMAGE=openclaw:latestOPENCLAW_GATEWAY_TOKEN=OPENCLAW_GATEWAY_BIND=lanOPENCLAW_GATEWAY_PORT=18789 OPENCLAW_CONFIG_DIR=/root/.openclawOPENCLAW_WORKSPACE_DIR=/root/.openclaw/workspace GOG_KEYRING_PASSWORD=XDG_CONFIG_HOME=/home/node/.openclawĐặt OPENCLAW_GATEWAY_TOKEN để quản lý token Gateway ổn định thông qua
.env; nếu không, hãy cấu hình gateway.auth.token trước khi dựa vào các máy khách
qua nhiều lần khởi động lại. Nếu không đặt cả hai, OpenClaw sẽ sử dụng token chỉ tồn tại
trong thời gian chạy cho lần khởi động đó. Tạo mật khẩu chuỗi khóa cho GOG_KEYRING_PASSWORD:
openssl rand -hex 32Không cam kết tệp này vào kho lưu trữ. Tệp chứa các biến môi trường của container/môi trường thực thi như
OPENCLAW_GATEWAY_TOKEN. Thông tin xác thực OAuth/khóa API của nhà cung cấp đã lưu nằm trong
tệp ~/.openclaw/agents/<agentId>/agent/auth-profiles.json được gắn kết.
Cấu hình Docker Compose
Tạo hoặc cập nhật docker-compose.yml:
services: openclaw-gateway: image: ${OPENCLAW_IMAGE} build: . restart: unless-stopped env_file: - .env environment: - HOME=/home/node - NODE_ENV=production - TERM=xterm-256color - OPENCLAW_GATEWAY_BIND=${OPENCLAW_GATEWAY_BIND} - OPENCLAW_GATEWAY_PORT=${OPENCLAW_GATEWAY_PORT} - OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN} - GOG_KEYRING_PASSWORD=${GOG_KEYRING_PASSWORD} - XDG_CONFIG_HOME=${XDG_CONFIG_HOME} - PATH=/home/linuxbrew/.linuxbrew/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin volumes: - ${OPENCLAW_CONFIG_DIR}:/home/node/.openclaw - ${OPENCLAW_WORKSPACE_DIR}:/home/node/.openclaw/workspace ports: # Khuyến nghị: chỉ cho phép truy cập Gateway qua loopback trên VPS; truy cập qua đường hầm SSH. # Để mở công khai, hãy xóa tiền tố `127.0.0.1:` và cấu hình tường lửa tương ứng. - "127.0.0.1:${OPENCLAW_GATEWAY_PORT}:18789" command: [ "node", "dist/index.js", "gateway", "--bind", "${OPENCLAW_GATEWAY_BIND}", "--port", "${OPENCLAW_GATEWAY_PORT}", "--allow-unconfigured", ]--allow-unconfigured chỉ nhằm tạo thuận tiện khi khởi tạo, không thay thế cho cấu hình Gateway thực tế. Bạn vẫn phải thiết lập xác thực (gateway.auth.token hoặc mật khẩu) và chế độ liên kết an toàn cho quá trình triển khai.
Các bước dùng chung cho môi trường thực thi máy ảo Docker
Làm theo hướng dẫn môi trường thực thi dùng chung cho quy trình máy chủ Docker phổ biến:
Truy cập dành riêng cho Hetzner
Sau các bước xây dựng và khởi chạy dùng chung, hãy mở đường hầm.
Điều kiện tiên quyết: đảm bảo cấu hình sshd của VPS cho phép chuyển tiếp TCP. Nếu bạn
đã tăng cường bảo mật cấu hình SSH, hãy kiểm tra /etc/ssh/sshd_config và đặt:
AllowTcpForwarding locallocal cho phép chuyển tiếp cục bộ bằng ssh -L từ máy tính xách tay, đồng thời chặn
chuyển tiếp từ xa từ máy chủ. Đặt thành no sẽ khiến đường hầm thất bại với thông báo:
channel 3: open failed: administratively prohibited: open failed
Sau khi xác nhận chuyển tiếp TCP đã được bật, hãy khởi động lại dịch vụ SSH
(systemctl restart ssh) và chạy đường hầm từ máy tính xách tay:
ssh -N -L 18789:127.0.0.1:18789 root@YOUR_VPS_IPMở http://127.0.0.1:18789/ và dán khóa bí mật dùng chung đã cấu hình.
Theo mặc định, hướng dẫn này sử dụng token Gateway; hãy dùng mật khẩu đã cấu hình
nếu bạn đã chuyển sang xác thực bằng mật khẩu.
Bản đồ duy trì trạng thái dùng chung nằm trong Môi trường thực thi máy ảo Docker.
Hạ tầng dưới dạng mã (Terraform)
Đối với các nhóm ưu tiên quy trình hạ tầng dưới dạng mã, một thiết lập Terraform do cộng đồng duy trì cung cấp:
- Cấu hình Terraform theo mô-đun với khả năng quản lý trạng thái từ xa
- Cấp phát tự động qua cloud-init
- Các tập lệnh triển khai (khởi tạo, triển khai, sao lưu/khôi phục)
- Tăng cường bảo mật (tường lửa, UFW, chỉ cho phép truy cập SSH)
- Cấu hình đường hầm SSH để truy cập Gateway
Kho lưu trữ:
- Hạ tầng: openclaw-terraform-hetzner
- Cấu hình Docker: openclaw-docker-config
Cách tiếp cận này bổ sung cho thiết lập Docker ở trên bằng khả năng triển khai có thể tái tạo, hạ tầng được kiểm soát phiên bản và khôi phục sau thảm họa tự động.
Các bước tiếp theo
- Thiết lập các kênh nhắn tin: Kênh
- Cấu hình Gateway: Cấu hình Gateway
- Luôn cập nhật OpenClaw: Cập nhật