Appearance
OpenClaw on Azure Linux VM
本指南使用 Azure CLI 创建 Azure Linux VM,应用网络安全组(NSG)加固,配置 Azure Bastion 进行 SSH 访问,并安装 OpenClaw。
你将做什么
- 使用 Azure CLI 创建 Azure 网络(VNet、子网、NSG)和计算资源
- 配置网络安全组规则,使 VM SSH 仅允许来自 Azure Bastion 的访问
- 使用 Azure Bastion 进行 SSH 访问(VM 无公网 IP)
- 使用安装脚本安装 OpenClaw
- 验证 Gateway
你需要什么
- 有权创建计算和网络资源的 Azure 订阅
- 已安装 Azure CLI(如未安装,参见 Azure CLI 安装步骤)
- SSH 密钥对(指南中包含生成方法)
- 约 20-30 分钟
配置部署
登录 Azure CLI
bash
az login
az extension add -n sshssh 扩展是 Azure Bastion 原生 SSH 隧道所必需的。
注册必需的资源提供商(一次性操作)
bash
az provider register --namespace Microsoft.Compute
az provider register --namespace Microsoft.Network等待注册完成,直到两者都显示 Registered:
bash
az provider show --namespace Microsoft.Compute --query registrationState -o tsv
az provider show --namespace Microsoft.Network --query registrationState -o tsv设置部署变量
bash
RG="rg-openclaw"
LOCATION="westus2"
VNET_NAME="vnet-openclaw"
VNET_PREFIX="10.40.0.0/16"
VM_SUBNET_NAME="snet-openclaw-vm"
VM_SUBNET_PREFIX="10.40.2.0/24"
BASTION_SUBNET_PREFIX="10.40.1.0/26"
NSG_NAME="nsg-openclaw-vm"
VM_NAME="vm-openclaw"
ADMIN_USERNAME="openclaw"
BASTION_NAME="bas-openclaw"
BASTION_PIP_NAME="pip-openclaw-bastion"根据你的环境调整名称和 CIDR 范围。Bastion 子网必须至少为 /26。
选择 SSH 密钥
如果你已有公钥:
bash
SSH_PUB_KEY="$(cat ~/.ssh/id_ed25519.pub)"如果还没有 SSH 密钥,先生成一个:
bash
ssh-keygen -t ed25519 -a 100 -f ~/.ssh/id_ed25519 -C "you@example.com"
SSH_PUB_KEY="$(cat ~/.ssh/id_ed25519.pub)"选择 VM 规格和系统盘大小
bash
VM_SIZE="Standard_B2as_v2"
OS_DISK_SIZE_GB=64根据你的订阅和地区选择可用的 VM 规格和磁盘大小:
- 轻量使用先选小规格,以后可以扩容
- 更多 vCPU/RAM/磁盘适用于更重的自动化、更多频道或更大的模型/工具负载
- 如果某个 VM 规格在你的地区或订阅配额中不可用,选最接近的可用 SKU
列出目标地区可用的 VM 规格:
bash
az vm list-skus --location "${LOCATION}" --resource-type virtualMachines -o table查看当前 vCPU 和磁盘用量/配额:
bash
az vm list-usage --location "${LOCATION}" -o table部署 Azure 资源
创建资源组
bash
az group create -n "${RG}" -l "${LOCATION}"创建网络安全组
创建 NSG 并添加规则,使只有 Bastion 子网可以 SSH 登录 VM。
bash
az network nsg create \
-g "${RG}" -n "${NSG_NAME}" -l "${LOCATION}"
# 只允许来自 Bastion 子网的 SSH
az network nsg rule create \
-g "${RG}" --nsg-name "${NSG_NAME}" \
-n AllowSshFromBastionSubnet --priority 100 \
--access Allow --direction Inbound --protocol Tcp \
--source-address-prefixes "${BASTION_SUBNET_PREFIX}" \
--destination-port-ranges 22
# 拒绝来自公网的 SSH
az network nsg rule create \
-g "${RG}" --nsg-name "${NSG_NAME}" \
-n DenyInternetSsh --priority 110 \
--access Deny --direction Inbound --protocol Tcp \
--source-address-prefixes Internet \
--destination-port-ranges 22
# 拒绝来自其他 VNet 的 SSH
az network nsg rule create \
-g "${RG}" --nsg-name "${NSG_NAME}" \
-n DenyVnetSsh --priority 120 \
--access Deny --direction Inbound --protocol Tcp \
--source-address-prefixes VirtualNetwork \
--destination-port-ranges 22规则按优先级评估(数字越小越优先):Bastion 流量在 100 处放行,然后其他所有 SSH 在 110 和 120 处阻断。
创建虚拟网络和子网
创建带 VM 子网(附加 NSG)的 VNet,然后添加 Bastion 子网。
bash
az network vnet create \
-g "${RG}" -n "${VNET_NAME}" -l "${LOCATION}" \
--address-prefixes "${VNET_PREFIX}" \
--subnet-name "${VM_SUBNET_NAME}" \
--subnet-prefixes "${VM_SUBNET_PREFIX}"
# 将 NSG 附加到 VM 子网
az network vnet subnet update \
-g "${RG}" --vnet-name "${VNET_NAME}" \
-n "${VM_SUBNET_NAME}" --nsg "${NSG_NAME}"
# AzureBastionSubnet — 名称是 Azure 要求的
az network vnet subnet create \
-g "${RG}" --vnet-name "${VNET_NAME}" \
-n AzureBastionSubnet \
--address-prefixes "${BASTION_SUBNET_PREFIX}"创建 VM
VM 没有公网 IP,SSH 访问完全通过 Azure Bastion。
bash
az vm create \
-g "${RG}" -n "${VM_NAME}" -l "${LOCATION}" \
--image "Canonical:ubuntu-24_04-lts:server:latest" \
--size "${VM_SIZE}" \
--os-disk-size-gb "${OS_DISK_SIZE_GB}" \
--storage-sku StandardSSD_LRS \
--admin-username "${ADMIN_USERNAME}" \
--ssh-key-values "${SSH_PUB_KEY}" \
--vnet-name "${VNET_NAME}" \
--subnet "${VM_SUBNET_NAME}" \
--public-ip-address "" \
--nsg ""--public-ip-address "" 防止分配公网 IP。--nsg "" 跳过创建 NIC 级 NSG(子网级 NSG 负责安全)。
可重现性说明: 上面的命令使用 latest 作为 Ubuntu 镜像版本。如需固定特定版本,列出可用版本并替换 latest:
bash
az vm image list \
--publisher Canonical --offer ubuntu-24_04-lts \
--sku server --all -o table创建 Azure Bastion
Azure Bastion 提供对 VM 的受管 SSH 访问,无需暴露公网 IP。Standard SKU 及隧道功能是 CLI 版 az network bastion ssh 所必需的。
bash
az network public-ip create \
-g "${RG}" -n "${BASTION_PIP_NAME}" -l "${LOCATION}" \
--sku Standard --allocation-method Static
az network bastion create \
-g "${RG}" -n "${BASTION_NAME}" -l "${LOCATION}" \
--vnet-name "${VNET_NAME}" \
--public-ip-address "${BASTION_PIP_NAME}" \
--sku Standard --enable-tunneling trueBastion 预配通常需要 5-10 分钟,某些地区可能长达 15-30 分钟。
安装 OpenClaw
通过 Azure Bastion SSH 登录 VM
bash
VM_ID="$(az vm show -g "${RG}" -n "${VM_NAME}" --query id -o tsv)"
az network bastion ssh \
--name "${BASTION_NAME}" \
--resource-group "${RG}" \
--target-resource-id "${VM_ID}" \
--auth-type ssh-key \
--username "${ADMIN_USERNAME}" \
--ssh-key ~/.ssh/id_ed25519安装 OpenClaw(在 VM shell 中)
bash
curl -fsSL https://openclaw.ai/install.sh -o /tmp/install.sh
bash /tmp/install.sh
rm -f /tmp/install.sh安装脚本会安装 Node LTS 和依赖(如果尚未安装),安装 OpenClaw,并启动引导向导。详见 Install。
验证 Gateway
引导配置完成后:
bash
openclaw gateway status大多数企业 Azure 团队已有 GitHub Copilot 许可证。如果你也有,建议在 OpenClaw 引导向导中选择 GitHub Copilot provider。详见 GitHub Copilot provider。
成本说明
Azure Bastion Standard SKU 约 $140/月,VM(Standard_B2as_v2)约 $55/月。
降低成本的方式:
不用时释放 VM(停止计算计费;磁盘费用仍计)。VM 被释放期间 OpenClaw Gateway 不可达,需要时再重启:
bashaz vm deallocate -g "${RG}" -n "${VM_NAME}" az vm start -g "${RG}" -n "${VM_NAME}" # 需要时重启不需要 SSH 时删除 Bastion,需要时重新创建。Bastion 是最大的成本项,只需几分钟即可重新预配。
使用 Basic Bastion SKU(约 $38/月),如果你只需要 Portal 界面 SSH 而不需要 CLI 隧道(
az network bastion ssh)。
清理资源
删除本指南创建的所有资源:
bash
az group delete -n "${RG}" --yes --no-wait这会删除资源组及其中的一切(VM、VNet、NSG、Bastion、公网 IP)。
下一步
- 设置消息频道:Channels
- 配对本地设备作为节点:Nodes
- 配置 Gateway:Gateway 配置
- 了解 Azure 上 OpenClaw 与 GitHub Copilot 的更多部署细节:OpenClaw on Azure with GitHub Copilot