托管与部署
Fly.io
目标: 在 Fly.io 机器上运行 OpenClaw Gateway 网关,并具备持久化存储、自动 HTTPS 以及 Discord/渠道访问能力。
你需要准备
- 已安装 flyctl CLI
- Fly.io 账户(免费套餐即可)
- 模型身份验证:所选模型提供商的 API key
- 渠道凭据:Discord Bot 令牌、Telegram 令牌等
新手快速路径
- 克隆仓库并自定义
fly.toml - 创建应用和卷,并设置机密信息
- 使用
fly deploy部署 - 通过 SSH 登录并创建配置,或使用 Control UI
创建 Fly 应用
git clone https://github.com/openclaw/openclaw.gitcd openclaw # 选择你自己的名称fly apps create my-openclaw # 通常 1GB 就足够fly volumes create openclaw_data --size 1 --region iad选择一个离你较近的区域。常见选项:lhr(伦敦)、iad(弗吉尼亚)、sjc(圣何塞)。
配置 fly.toml
编辑 fly.toml,使其与你的应用名称和要求相匹配。仓库中跟踪的 fly.toml 是如下所示的公开模板;deploy/fly.private.toml 是经过加固且不分配公共 IP 的变体(参阅私有部署)。
app = "my-openclaw" # 你的应用名称primary_region = "iad" [build] dockerfile = "Dockerfile" [env] NODE_ENV = "production" OPENCLAW_PREFER_PNPM = "1" OPENCLAW_STATE_DIR = "/data" NODE_OPTIONS = "--max-old-space-size=1536" [processes] app = "node dist/index.js gateway --allow-unconfigured --port 3000 --bind lan" [http_service] internal_port = 3000 force_https = true auto_stop_machines = false auto_start_machines = true min_machines_running = 1 processes = ["app"] [[vm]] size = "shared-cpu-2x" memory = "2048mb" [mounts] source = "openclaw_data" destination = "/data"OpenClaw Docker 镜像的入口点是 tini,默认运行 node openclaw.mjs gateway。Fly 的 [processes] 会替换 Docker 的 CMD(此处直接运行 node dist/index.js gateway ...,即同一个已编译入口点),但不会改动 ENTRYPOINT,因此进程仍在 tini 下运行。
关键设置:
| 设置 | 原因 |
|---|---|
--bind lan |
绑定到 0.0.0.0,使 Fly 代理能够访问 Gateway 网关 |
--allow-unconfigured |
在没有配置文件的情况下启动(之后再创建配置文件) |
internal_port = 3000 |
必须与 --port 3000(或 OPENCLAW_GATEWAY_PORT)匹配,供 Fly 健康检查使用 |
memory = "2048mb" |
512MB 太小;建议使用 2GB |
OPENCLAW_STATE_DIR = "/data" |
将状态持久化到卷中 |
设置机密信息
# 必需:用于非环回地址绑定的 Gateway 网关身份验证令牌fly secrets set OPENCLAW_GATEWAY_TOKEN=$(openssl rand -hex 32) # 模型提供商 API keyfly secrets set ANTHROPIC_API_KEY=example-anthropic-key-not-real # 可选:其他提供商fly secrets set OPENAI_API_KEY=example-openai-key-not-realfly secrets set GOOGLE_API_KEY=... # 渠道令牌fly secrets set DISCORD_BOT_TOKEN=example-discord-bot-token非环回地址绑定(--bind lan)需要有效的 Gateway 网关身份验证路径。此示例使用 OPENCLAW_GATEWAY_TOKEN,但 gateway.auth.password 或正确配置的非环回地址可信代理部署也能满足此要求。有关 SecretRef 合约,请参阅机密信息管理。
请像对待密码一样保护这些令牌。对于 API key 和令牌,优先使用环境变量/fly secrets,而不是配置文件,以免机密信息进入 openclaw.json。
部署
fly deploy首次部署会构建 Docker 镜像。部署后进行验证:
fly statusfly logsHTTP/WebSocket 监听器启动后,Gateway 网关的启动日志会输出 gateway ready。Fly 自身的健康检查会按照 fly.toml 监视 internal_port = 3000;镜像的 Docker HEALTHCHECK 指令还会在其默认端口 18789 上轮询 /healthz,但此处不会使用它,因为本部署通过 --port 3000 覆盖了 Gateway 网关端口。
创建配置文件
通过 SSH 登录机器并创建正确的配置:
fly ssh consolemkdir -p /datacat > /data/openclaw.json << 'EOF'{ "agents": { "defaults": { "model": { "primary": "anthropic/claude-opus-4-6", "fallbacks": ["anthropic/claude-sonnet-4-6", "openai/gpt-5.4"] }, "maxConcurrent": 4 }, "list": [ { "id": "main", "default": true } ] }, "auth": { "profiles": { "anthropic:default": { "mode": "token", "provider": "anthropic" }, "openai:default": { "mode": "token", "provider": "openai" } } }, "bindings": [ { "agentId": "main", "match": { "channel": "discord" } } ], "channels": { "discord": { "enabled": true, "groupPolicy": "allowlist", "guilds": { "YOUR_GUILD_ID": { "channels": { "general": { "allow": true } }, "requireMention": false } } } }, "gateway": { "mode": "local", "bind": "auto", "controlUi": { "allowedOrigins": [ "https://my-openclaw.fly.dev", "http://localhost:3000", "http://127.0.0.1:3000" ] } }, "meta": {}}EOF设置 OPENCLAW_STATE_DIR=/data 后,配置路径为 /data/openclaw.json。
将 https://my-openclaw.fly.dev 替换为你的实际 Fly 应用源。Gateway 网关启动时会根据运行时的 --bind 和 --port 值预置本地 Control UI 源,因此即使配置尚不存在,首次启动也能继续;但通过 Fly 从浏览器访问时,仍需在 gateway.controlUi.allowedOrigins 中列出准确的 HTTPS 源。
Discord 令牌可以来自以下任一位置:
- 环境变量
DISCORD_BOT_TOKEN(建议用于机密信息);无需将其添加到配置中,Gateway 网关会自动读取 - 配置文件中的
channels.discord.token
重启以应用更改:
exitfly machine restart <machine-id>访问 Gateway 网关
Control UI
fly open或访问 https://my-openclaw.fly.dev/。
使用已配置的共享机密信息进行身份验证:即 OPENCLAW_GATEWAY_TOKEN 中的 Gateway 网关令牌;如果你已改用密码身份验证,则使用你的密码。
日志
fly logs # 实时日志fly logs --no-tail # 最近的日志SSH 控制台
fly ssh console故障排查
“应用未监听预期地址”
Gateway 网关绑定到了 127.0.0.1,而不是 0.0.0.0。
修复: 在 fly.toml 的进程命令中添加 --bind lan。
健康检查失败/连接被拒绝
Fly 无法通过配置的端口访问 Gateway 网关。
修复: 确保 internal_port 与 Gateway 网关端口(--port 3000 或 OPENCLAW_GATEWAY_PORT=3000)匹配。
内存不足/内存问题
容器不断重启或被终止。迹象包括:SIGABRT、v8::internal::Runtime_AllocateInYoungGeneration 或无提示重启。
修复: 在 fly.toml 中增加内存:
[[vm]] memory = "2048mb"或者更新现有机器:
fly machine update <machine-id> --vm-memory 2048 -y512MB 太小。1GB 可能可以运行,但在高负载或启用详细日志时可能会内存不足。建议使用 2GB。
Gateway 网关锁问题
容器重启后,Gateway 网关因“已在运行”错误而拒绝启动。
单实例锁文件位于 <tmpdir>/openclaw-<uid>/gateway.<hash>.lock(Linux:/tmp/openclaw-<uid>/gateway.<hash>.lock),而不是持久化 /data 卷上,因此完整重启容器通常会随容器文件系统的其余内容一起清除该文件。如果锁仍然存在(例如,fly machine restart 保留了容器文件系统)并阻止启动,请手动将其删除:
fly ssh console --command "rm -f /tmp/openclaw-*/gateway.*.lock"fly machine restart <machine-id>未读取配置
--allow-unconfigured 只会绕过启动保护。它不会创建或修复 /data/openclaw.json,因此请确保实际配置存在,并且包含 "gateway": { "mode": "local" },以正常启动本地 Gateway 网关。
验证配置是否存在:
fly ssh console --command "cat /data/openclaw.json"通过 SSH 写入配置
fly ssh console -C 不支持 Shell 重定向。要写入配置文件:
# echo + tee(从本地通过管道传输到远程)echo '{"your":"config"}' | fly ssh console -C "tee /data/openclaw.json" # 或使用 sftpfly sftp shell> put /local/path/config.json /data/openclaw.json如果文件已存在,fly sftp 可能会失败;请先删除:
fly ssh console --command "rm /data/openclaw.json"状态未持久化
如果重启后丢失了身份验证配置文件、渠道/提供商状态或会话,则说明状态目录正在写入容器文件系统,而不是卷。
修复: 确保已在 fly.toml 中设置 OPENCLAW_STATE_DIR=/data,然后重新部署。
更新
git pullfly deployfly statusfly logs此处,git pull + fly deploy 是受控更新路径:它会根据 Dockerfile 重新构建镜像,因此 CLI/Gateway 网关版本、基础操作系统镜像以及任何 Dockerfile 更改都会一并更新。在运行中的容器内执行 openclaw update 并不是同一操作,因为该镜像以 Docker 构建的 dist/ 目录树形式发布,没有供其检测的 .git 检出,也没有由 npm 管理的全局安装;有关虚拟机式安装的更新流程,请参阅更新。
更新机器命令
要在不完整重新部署的情况下更改启动命令:
fly machines listfly machine update <machine-id> --command "node dist/index.js gateway --port 3000 --bind lan" -y # 或同时增加内存fly machine update <machine-id> --vm-memory 2048 --command "node dist/index.js gateway --port 3000 --bind lan" -y后续执行 fly deploy 会将机器命令重置为 fly.toml 中的内容;重新部署后,请重新应用手动更改。
私有部署(加固)
默认情况下,Fly 会分配公共 IP,因此可以通过 https://your-app.fly.dev 访问你的 Gateway 网关,互联网扫描器(Shodan、Censys 等)也能发现它。
使用 deploy/fly.private.toml 进行无公共 IP的加固部署:它省略了 [http_service],因此不会分配公共入口。
何时使用私有部署
- 仅进行出站调用/发送消息(无入站 Webhook)
- 由 ngrok 或 Tailscale 隧道处理所有 Webhook 回调
- 通过 SSH、代理或 WireGuard 访问 Gateway 网关,而不是通过浏览器
- 部署应对互联网扫描器隐藏
设置
fly deploy -c deploy/fly.private.toml或者转换现有部署:
# 列出当前 IPfly ips list -a my-openclaw # 释放公共 IPfly ips release <public-ipv4> -a my-openclawfly ips release <public-ipv6> -a my-openclaw # 切换到私有配置,使未来部署不会重新分配公共 IPfly deploy -c deploy/fly.private.toml # 仅分配私有 IPv6fly ips allocate-v6 --private -a my-openclaw完成此操作后,fly ips list 应仅显示一个 private 类型的 IP:
VERSION IP TYPE REGIONv6 fdaa:x:x:x:x::x private global访问私有部署
选项 1:本地代理(最简单)
fly proxy 3000:3000 -a my-openclaw# 在浏览器中打开 http://localhost:3000选项 2:WireGuard VPN
fly wireguard create# 导入 WireGuard 客户端,然后通过内部 IPv6 访问# 示例:http://[fdaa:x:x:x:x::x]:3000选项 3:仅使用 SSH
fly ssh console -a my-openclaw私有部署中的 Webhooks
对于不公开暴露的 webhook 回调(Twilio、Telnyx 等):
- ngrok 隧道:在容器内或作为边车运行 ngrok
- Tailscale Funnel:通过 Tailscale 暴露特定路径
- 仅出站:某些提供商(Twilio)无需 Webhooks 即可进行出站呼叫
在 plugins.entries.voice-call.config 下使用 ngrok 的语音呼叫配置示例:
{ plugins: { entries: { "voice-call": { enabled: true, config: { provider: "twilio", tunnel: { provider: "ngrok" }, webhookSecurity: { allowedHosts: ["example.ngrok.app"], }, }, }, }, },}ngrok 隧道在容器内运行,并提供公开的 webhook URL,而不会暴露 Fly 应用本身。将 webhookSecurity.allowedHosts 设置为隧道主机名,以接受转发的主机标头。
安全性权衡
| 方面 | 公开 | 私有 |
|---|---|---|
| 互联网扫描器 | 可发现 | 隐藏 |
| 直接攻击 | 可能 | 已阻止 |
| Control UI 访问 | 浏览器 | 代理/VPN |
| Webhook 传递 | 直接 | 通过隧道 |
注意事项
- Fly.io 使用 x86 架构;该 Dockerfile 同时兼容 x86 和 ARM。
- 对于 WhatsApp/Telegram 新手引导,请使用
fly ssh console。 - 持久化数据位于
/data卷中。 - Signal 要求镜像中包含 signal-cli(基于 Java 的 CLI);请使用自定义镜像,并将内存保持在 2GB 以上。
费用
采用推荐配置(shared-cpu-2x、2GB RAM)时,预计每月费用约为 10–15 美元,具体取决于使用情况;免费层可覆盖部分基础额度。当前费率请参阅 Fly.io 定价。
后续步骤
- 设置消息渠道:渠道
- 配置 Gateway 网关:Gateway 配置
- 使 OpenClaw 保持最新:更新