Appearance
Docker(可选)
Docker 是可选的,仅在你需要容器化 Gateway 或验证 Docker 流程时使用。
Docker 适合我吗?
- 适合:你需要一个隔离的一次性 Gateway 环境,或想在不做本地安装的主机上运行 OpenClaw。
- 不适合:你在自己的机器上运行,只是想要最快的开发循环。直接使用常规安装流程即可。
- 沙箱说明:Agent 沙箱也用到 Docker,但它不需要整个 Gateway 运行在 Docker 中。详见 Sandboxing。
前置条件
- Docker Desktop(或 Docker Engine)+ Docker Compose v2
- 至少 2 GB RAM 用于镜像构建(
pnpm install在 1 GB 主机上可能因 OOM 被 kill,退出码 137) - 足够的磁盘空间用于镜像和日志
- 如果在 VPS/公网主机上运行,请参阅网络暴露的安全加固,特别是 Docker
DOCKER-USER防火墙策略。
容器化 Gateway
构建镜像
从仓库根目录运行安装脚本:
bash
./scripts/docker/setup.sh这会在本地构建 Gateway 镜像。如需使用预构建镜像:
bash
export OPENCLAW_IMAGE="ghcr.io/openclaw/openclaw:latest"
./scripts/docker/setup.sh预构建镜像发布在 GitHub Container Registry。 常用标签:main、latest、<version>(如 2026.2.26)。
完成引导配置
安装脚本会自动运行引导配置,它会:
- 提示输入 Provider API keys
- 生成 Gateway 令牌并写入
.env - 通过 Docker Compose 启动 Gateway
在安装过程中,预启动的引导配置和配置写入通过 openclaw-gateway 直接运行。openclaw-cli 是 Gateway 容器已存在后使用的命令工具。
打开 Control UI
在浏览器中打开 http://127.0.0.1:18789/,将令牌粘贴到 Settings 中。
需要再次查看 URL?
bash
docker compose run --rm openclaw-cli dashboard --no-open配置频道(可选)
使用 CLI 容器添加消息频道:
bash
# WhatsApp(二维码)
docker compose run --rm openclaw-cli channels login
# Telegram
docker compose run --rm openclaw-cli channels add --channel telegram --token "<token>"
# Discord
docker compose run --rm openclaw-cli channels add --channel discord --token "<token>"手动流程
如果你倾向于自己逐步执行而不使用安装脚本:
bash
docker build -t openclaw:local -f Dockerfile .
docker compose run --rm --no-deps --entrypoint node openclaw-gateway \
dist/index.js onboard --mode local --no-install-daemon
docker compose run --rm --no-deps --entrypoint node openclaw-gateway \
dist/index.js config set gateway.mode local
docker compose run --rm --no-deps --entrypoint node openclaw-gateway \
dist/index.js config set gateway.bind lan
docker compose run --rm --no-deps --entrypoint node openclaw-gateway \
dist/index.js config set gateway.controlUi.allowedOrigins \
'["http://localhost:18789","http://127.0.0.1:18789"]' --strict-json
docker compose up -d openclaw-gateway注意: 从仓库根目录运行
docker compose。如果启用了OPENCLAW_EXTRA_MOUNTS或OPENCLAW_HOME_VOLUME,安装脚本会写入docker-compose.extra.yml;使用-f docker-compose.yml -f docker-compose.extra.yml引入它。
注意: 由于
openclaw-cli共享openclaw-gateway的网络命名空间,它是启动后的工具。在docker compose up -d openclaw-gateway之前,通过openclaw-gateway配合--no-deps --entrypoint node运行引导配置和安装时的配置写入。
环境变量
安装脚本接受以下可选环境变量:
| 变量 | 用途 |
|---|---|
OPENCLAW_IMAGE | 使用远程镜像而非本地构建 |
OPENCLAW_DOCKER_APT_PACKAGES | 构建时安装额外 apt 包(空格分隔) |
OPENCLAW_EXTENSIONS | 构建时预安装扩展依赖(空格分隔名称) |
OPENCLAW_EXTRA_MOUNTS | 额外宿主机绑定挂载(逗号分隔 source:target[:opts]) |
OPENCLAW_HOME_VOLUME | 在命名 Docker volume 中持久化 /home/node |
OPENCLAW_SANDBOX | 启用沙箱引导(1、true、yes、on) |
OPENCLAW_DOCKER_SOCKET | 覆盖 Docker socket 路径 |
健康检查
容器探针端点(无需认证):
bash
curl -fsS http://127.0.0.1:18789/healthz # 存活检查
curl -fsS http://127.0.0.1:18789/readyz # 就绪检查Docker 镜像内置了 HEALTHCHECK,会定时请求 /healthz。 如果持续失败,Docker 会将容器标记为 unhealthy,编排系统可以重启或替换它。
带认证的深度健康快照:
bash
docker compose exec openclaw-gateway node dist/index.js health --token "$OPENCLAW_GATEWAY_TOKEN"LAN 与 loopback
scripts/docker/setup.sh 默认设置 OPENCLAW_GATEWAY_BIND=lan,使宿主机可以通过 http://127.0.0.1:18789 访问 Docker 发布的 Gateway 端口。
lan(默认):宿主机浏览器和宿主机 CLI 可以访问发布的 Gateway 端口。loopback:只有容器网络命名空间内的进程才能直接访问 Gateway。
注意: 在
gateway.bind中使用绑定模式值(lan/loopback/custom/tailnet/auto),不要用0.0.0.0或127.0.0.1这样的主机别名。
存储和持久化
Docker Compose 将 OPENCLAW_CONFIG_DIR 绑定挂载到 /home/node/.openclaw,将 OPENCLAW_WORKSPACE_DIR 绑定挂载到 /home/node/.openclaw/workspace,这样这些路径在容器替换后仍能保留。
VM 部署的完整持久化细节,详见 Docker VM Runtime - 数据存储位置。
磁盘增长热点: 注意 media/、会话 JSONL 文件、cron/runs/*.jsonl 和 /tmp/openclaw/ 下的滚动文件日志。
Shell 助手(可选)
安装 ClawDock 可以更方便地进行日常 Docker 管理:
bash
mkdir -p ~/.clawdock && curl -sL https://raw.githubusercontent.com/openclaw/openclaw/main/scripts/shell-helpers/clawdock-helpers.sh -o ~/.clawdock/clawdock-helpers.sh
echo 'source ~/.clawdock/clawdock-helpers.sh' >> ~/.zshrc && source ~/.zshrc然后使用 clawdock-start、clawdock-stop、clawdock-dashboard 等命令。运行 clawdock-help 查看所有命令。 参见 ClawDock Helper README。
为 Docker Gateway 启用 Agent 沙箱
bash
export OPENCLAW_SANDBOX=1
./scripts/docker/setup.sh自定义 socket 路径(例如 rootless Docker):
bash
export OPENCLAW_SANDBOX=1
export OPENCLAW_DOCKER_SOCKET=/run/user/1000/docker.sock
./scripts/docker/setup.sh脚本只有在沙箱前置条件满足后才会挂载 docker.sock。如果沙箱初始化无法完成,脚本会将 agents.defaults.sandbox.mode 重置为 off。
自动化 / CI(非交互式)
使用 -T 禁用 Compose 伪 TTY 分配:
bash
docker compose run -T --rm openclaw-cli gateway probe
docker compose run -T --rm openclaw-cli devices list --json共享网络安全说明
openclaw-cli 使用 network_mode: "service:openclaw-gateway",CLI 命令可通过 127.0.0.1 访问 Gateway。将此视为共享信任边界。compose 配置在 openclaw-cli 上移除了 NET_RAW/NET_ADMIN 并启用了 no-new-privileges。
权限问题和 EACCES
镜像以 node(uid 1000)运行。如果在 /home/node/.openclaw 上遇到权限错误,确保宿主机绑定挂载的目录归 uid 1000 所有:
bash
sudo chown -R 1000:1000 /path/to/openclaw-config /path/to/openclaw-workspace加快重建速度
合理安排 Dockerfile 中的层顺序以利用缓存,避免在 lockfile 未变化时重新运行 pnpm install:
dockerfile
FROM node:24-bookworm
RUN curl -fsSL https://bun.sh/install | bash
ENV PATH="/root/.bun/bin:${PATH}"
RUN corepack enable
WORKDIR /app
COPY package.json pnpm-lock.yaml pnpm-workspace.yaml .npmrc ./
COPY ui/package.json ./ui/package.json
COPY scripts ./scripts
RUN pnpm install --frozen-lockfile
COPY . .
RUN pnpm build
RUN pnpm ui:install
RUN pnpm ui:build
ENV NODE_ENV=production
CMD ["node","dist/index.js"]进阶容器选项
默认镜像以安全优先,以非 root 的 node 用户运行。如需功能更完整的容器:
- 持久化
/home/node:export OPENCLAW_HOME_VOLUME="openclaw_home" - 内置系统依赖:
export OPENCLAW_DOCKER_APT_PACKAGES="git curl jq" - 安装 Playwright 浏览器:bash
docker compose run --rm openclaw-cli \ node /app/node_modules/playwright-core/cli.js install chromium - 持久化浏览器下载:设置
PLAYWRIGHT_BROWSERS_PATH=/home/node/.cache/ms-playwright,并配合使用OPENCLAW_HOME_VOLUME或OPENCLAW_EXTRA_MOUNTS。
OpenAI Codex OAuth(无头 Docker)
如果在向导中选择了 OpenAI Codex OAuth,它会打开一个浏览器 URL。在 Docker 或无头环境中,复制你最终落地的完整重定向 URL,粘贴回向导以完成认证。
基础镜像元数据
主 Docker 镜像使用 node:24-bookworm,并发布了 OCI 基础镜像注解,包括 org.opencontainers.image.base.name、org.opencontainers.image.source 等。参见 OCI image annotations。
在 VPS 上运行?
参见 Hetzner (Docker VPS) 和 Docker VM Runtime,了解共享 VM 部署步骤,包括二进制内置、持久化和更新流程。
Agent 沙箱
启用 agents.defaults.sandbox 后,Gateway 在隔离的 Docker 容器中运行 Agent 工具执行(shell、文件读写等),同时 Gateway 本身保留在宿主机上。这在不容器化整个 Gateway 的情况下为不受信任或多租户的 Agent 会话提供了硬隔离。
沙箱范围可以是按 Agent(默认)、按会话或共享。每个范围都有自己的工作区挂载在 /workspace。你还可以配置允许/拒绝工具策略、网络隔离、资源限制和浏览器容器。
完整配置、镜像、安全说明和多代理配置,参见:
- Sandboxing — 完整沙箱参考
- OpenShell — 沙箱容器的交互式 shell 访问
- Multi-Agent Sandbox and Tools — 按 Agent 覆盖配置
快速启用
json5
{
agents: {
defaults: {
sandbox: {
mode: "non-main", // off | non-main | all
scope: "agent", // session | agent | shared
},
},
},
}构建默认沙箱镜像:
bash
scripts/sandbox-setup.sh故障排查
镜像缺失或沙箱容器无法启动
使用 scripts/sandbox-setup.sh 构建沙箱镜像,或将 agents.defaults.sandbox.docker.image 设置为你的自定义镜像。容器按需在每个会话创建时自动生成。
沙箱中的权限错误
将 docker.user 设置为与挂载工作区所有权匹配的 UID:GID,或对工作区目录执行 chown。
沙箱中找不到自定义工具
OpenClaw 使用 sh -lc(登录 shell)运行命令,会 source /etc/profile 并可能重置 PATH。在 docker.env.PATH 中添加自定义工具路径,或在 Dockerfile 的 /etc/profile.d/ 下添加脚本。
镜像构建时 OOM killed(exit 137)
VM 需要至少 2 GB RAM,使用更大的机器规格后重试。
Control UI 中显示 Unauthorized 或需要配对
获取新的 dashboard 链接并审批浏览器设备:
bash
docker compose run --rm openclaw-cli dashboard --no-open
docker compose run --rm openclaw-cli devices list
docker compose run --rm openclaw-cli devices approve <requestId>Gateway 目标显示 ws://172.x.x.x 或 Docker CLI 配对报错
重置 Gateway 模式和绑定:
bash
docker compose run --rm openclaw-cli config set gateway.mode local
docker compose run --rm openclaw-cli config set gateway.bind lan
docker compose run --rm openclaw-cli devices list --url ws://127.0.0.1:18789