快速开始
Oracle Cloud
在 Oracle Cloud 的 Always Free ARM 层级(最多 4 个 OCPU、24 GB 内存、200 GB 存储空间)上免费运行持久化的 OpenClaw Gateway 网关。
前置条件
- Oracle Cloud 账户(注册)——如果遇到问题,请参阅社区注册指南
- Tailscale 账户(可在 tailscale.com 免费注册)
- 一对 SSH 密钥
- 大约 30 分钟
设置
创建 OCI 实例
- 登录 Oracle Cloud Console。
- 前往 Compute > Instances > Create Instance。
- 配置:
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2(最多可设为 4)
- Memory: 12 GB(最多可设为 24 GB)
- Boot volume: 50 GB(免费额度最多 200 GB)
- SSH key: 添加你的公钥
- Name:
- 点击 Create,并记下公网 IP 地址。
连接并更新系统
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essential部分依赖项需要使用 build-essential 在 ARM 上进行编译。
配置用户和主机名
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntu启用 linger 后,用户服务会在注销后继续运行。
安装 Tailscale
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclaw此后通过 Tailscale 连接:ssh ubuntu@openclaw。
安装 OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrc出现“How do you want to hatch your bot?”提示时,选择 Do this later。
配置 Gateway 网关
结合 Tailscale Serve 使用令牌身份验证,以实现安全的远程访问。
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.service此处的 gateway.trustedProxies=["127.0.0.1"] 仅用于本地 Tailscale Serve 代理对转发 IP 和本地客户端的处理。它并非 gateway.auth.mode: "trusted-proxy"。在此设置中,差异查看器路由仍保持故障关闭行为:未携带代理转发标头、直接来自 127.0.0.1 的查看器请求会返回 Diff not found。对于附件,请使用 mode=file / mode=both;如果需要可共享的查看器链接,请有意启用远程查看器并设置 plugins.entries.diffs.config.viewerBaseUrl(或向代理传递 baseUrl)。
锁定 VCN 安全设置
在网络边缘阻止除 Tailscale 之外的所有流量:
- 在 OCI Console 中前往 Networking > Virtual Cloud Networks。
- 点击你的 VCN,然后前往 Security Lists > Default Security List。
- 移除除
0.0.0.0/0 UDP 41641(Tailscale)之外的所有入站规则。 - 保留默认出站规则(允许所有出站流量)。
这会在网络边缘阻止 22 端口上的 SSH、HTTP、HTTPS 以及其他所有流量。此后只能通过 Tailscale 连接。
验证
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789从 tailnet 中的任何设备访问 Control UI:
https://openclaw.<tailnet-name>.ts.net/将 <tailnet-name> 替换为你的 tailnet 名称(可在 tailscale status 中查看)。
验证安全态势
锁定 VCN(仅开放 UDP 41641)并将 Gateway 网关绑定到环回地址后,公网流量会在网络边缘被阻止,管理访问也仅限 tailnet。这样便无需执行多项传统的 VPS 安全加固步骤:
| 传统步骤 | 是否需要? | 原因 |
|---|---|---|
| UFW 防火墙 | 否 | VCN 会在流量到达实例之前将其阻止。 |
| fail2ban | 否 | VCN 已阻止 22 端口,不存在暴力破解攻击面。 |
| sshd 加固 | 否 | Tailscale SSH 不使用 sshd。 |
| 禁用 root 登录 | 否 | Tailscale 按 tailnet 身份进行身份验证,而非系统用户。 |
| 仅使用 SSH 密钥验证 | 否 | 同理——tailnet 身份取代了系统 SSH 密钥。 |
| IPv6 加固 | 通常不需要 | 取决于 VCN/子网设置;请验证实际分配和暴露的内容。 |
仍建议执行以下操作:
- 运行
chmod 700 ~/.openclaw,限制凭据文件的权限。 - 运行
openclaw security audit,执行 OpenClaw 专属的安全态势检查。 - 定期运行
sudo apt update && sudo apt upgrade,安装操作系统补丁。 - 定期在 Tailscale admin console 中检查设备。
快速验证命令:
# 确认没有监听公网端口sudo ss -tlnp | grep -v '127.0.0.1\|::1' # 验证 Tailscale SSH 已启用tailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # 可选:确认 Tailscale SSH 正常工作后,完全禁用 sshdsudo systemctl disable --now sshARM 说明
Always Free 层级使用 ARM(aarch64)。大多数 OpenClaw 功能均可正常工作;少量原生二进制文件需要 ARM 构建版本:
- Node.js、Telegram、WhatsApp(Baileys):纯 JavaScript,没有问题。
- 大多数包含原生代码的 npm 软件包:提供预构建的
linux-arm64构件。 - 可选 CLI 辅助工具(例如由 Skills 分发的 Go/Rust 二进制文件):安装前请检查是否提供
aarch64/linux-arm64版本。
使用 uname -m 验证架构(应输出 aarch64)。对于没有 ARM 构建版本的二进制文件,请从源代码安装或跳过。
持久化和备份
OpenClaw 状态存储在以下位置:
~/.openclaw/——openclaw.json、每个智能体的auth-profiles.json、渠道/提供商状态以及会话数据。~/.openclaw/workspace/——智能体工作区(SOUL.md、记忆、构件)。
这些内容在重启后仍会保留。要创建可移植快照,请运行:
openclaw backup create后备方案:SSH 隧道
如果 Tailscale Serve 无法正常工作,请从本地计算机建立 SSH 隧道:
ssh -L 18789:127.0.0.1:18789 ubuntu@openclaw然后打开 http://localhost:18789。
故障排查
实例创建失败(“Out of capacity”)——免费层级的 ARM 实例非常受欢迎。请尝试其他可用性域,或在非高峰时段重试。
Tailscale 无法连接——运行 sudo tailscale up --ssh --hostname=openclaw --reset 重新进行身份验证。
Gateway 网关无法启动——运行 openclaw doctor --non-interactive,并使用 journalctl --user -u openclaw-gateway.service -n 50 检查日志。
ARM 二进制文件问题——大多数 npm 软件包都能在 ARM64 上运行。对于原生二进制文件,请查找 linux-arm64 或 aarch64 版本。使用 uname -m 验证架构。
后续步骤
- 渠道——连接 Telegram、WhatsApp、Discord 等服务
- Gateway 配置——所有配置选项
- 更新——让 OpenClaw 保持最新