Appearance
OpenClaw 部署到 Hetzner(Docker,生产 VPS 指南)
目标
在 Hetzner VPS 上运行持久化的 OpenClaw Gateway,使用 Docker 容器,实现状态持久化、内置二进制依赖和安全重启行为。
想让你的龙虾 24/7 不间断运行,月费只要约 $5,这是最简单可靠的方案。Hetzner 定价会变动;选最小的 Debian/Ubuntu VPS 起步,遇到 OOM 再升配。
安全模型提醒:
- 公司内部共享 Agent 可以接受,前提是所有人都在同一信任边界内,且运行时仅用于业务。
- 严格隔离:专用 VPS/运行时 + 专用账号;不要在该主机上使用个人 Apple/Google/浏览器/密码管理器配置文件。
- 如果用户之间存在对抗关系,按 Gateway/主机/OS 用户分开部署。
简单说,我们要做什么?
- 租一台小型 Linux 服务器(Hetzner VPS)
- 安装 Docker(隔离应用运行时)
- 在 Docker 中启动 OpenClaw Gateway
- 把
~/.openclaw+~/.openclaw/workspace持久化到宿主机(重启/重建后不丢失) - 通过 SSH 隧道从笔记本访问 Control UI
Gateway 访问方式:
- 从笔记本通过 SSH 端口转发
- 自行管理防火墙和 Token 后直接暴露端口
本指南假设 Hetzner 上使用 Ubuntu 或 Debian。其他 Linux VPS 请相应调整包管理命令。通用 Docker 流程参见 Docker。
快速路径(有经验的操作者)
- 创建 Hetzner VPS
- 安装 Docker
- 克隆 OpenClaw 仓库
- 创建持久化宿主机目录
- 配置
.env和docker-compose.yml - 内置所需二进制依赖到镜像
docker compose up -d- 验证持久化和 Gateway 访问
所需条件
- Hetzner VPS(需要 root 权限)
- 从笔记本可以 SSH 连接
- 熟悉基本 SSH + 复制粘贴操作
- 约 20 分钟
- Docker 和 Docker Compose
- 模型认证凭证
- 可选的渠道凭证
- WhatsApp 二维码
- Telegram Bot Token
- Gmail OAuth
第一步:创建 VPS
在 Hetzner 创建 Ubuntu 或 Debian VPS。
以 root 连接:
bash
ssh root@YOUR_VPS_IP本指南假设 VPS 是有状态的,不要当一次性基础设施对待。
第二步:在 VPS 上安装 Docker
bash
apt-get update
apt-get install -y git curl ca-certificates
curl -fsSL https://get.docker.com | sh验证:
bash
docker --version
docker compose version第三步:克隆 OpenClaw 仓库
bash
git clone https://github.com/openclaw/openclaw.git
cd openclaw本指南假设你会构建自定义镜像来保证二进制依赖持久化。
第四步:创建持久化宿主机目录
Docker 容器是临时的,所有需要长期保存的状态必须放在宿主机上。
bash
mkdir -p /root/.openclaw/workspace
# 设置容器用户(uid 1000)的所有权:
chown -R 1000:1000 /root/.openclaw第五步:配置环境变量
在仓库根目录创建 .env 文件:
bash
OPENCLAW_IMAGE=openclaw:latest
OPENCLAW_GATEWAY_TOKEN=change-me-now
OPENCLAW_GATEWAY_BIND=lan
OPENCLAW_GATEWAY_PORT=18789
OPENCLAW_CONFIG_DIR=/root/.openclaw
OPENCLAW_WORKSPACE_DIR=/root/.openclaw/workspace
GOG_KEYRING_PASSWORD=change-me-now
XDG_CONFIG_HOME=/home/node/.openclaw生成强密钥:
bash
openssl rand -hex 32不要提交此文件。
第六步:Docker Compose 配置
创建或更新 docker-compose.yml:
yaml
services:
openclaw-gateway:
image: ${OPENCLAW_IMAGE}
build: .
restart: unless-stopped
env_file:
- .env
environment:
- HOME=/home/node
- NODE_ENV=production
- TERM=xterm-256color
- OPENCLAW_GATEWAY_BIND=${OPENCLAW_GATEWAY_BIND}
- OPENCLAW_GATEWAY_PORT=${OPENCLAW_GATEWAY_PORT}
- OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}
- GOG_KEYRING_PASSWORD=${GOG_KEYRING_PASSWORD}
- XDG_CONFIG_HOME=${XDG_CONFIG_HOME}
- PATH=/home/linuxbrew/.linuxbrew/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
volumes:
- ${OPENCLAW_CONFIG_DIR}:/home/node/.openclaw
- ${OPENCLAW_WORKSPACE_DIR}:/home/node/.openclaw/workspace
ports:
# 推荐:Gateway 只绑定 VPS 回环地址,通过 SSH 隧道访问
# 如需公开暴露,去掉 `127.0.0.1:` 前缀并配置防火墙
- "127.0.0.1:${OPENCLAW_GATEWAY_PORT}:18789"
command:
[
"node",
"dist/index.js",
"gateway",
"--bind",
"${OPENCLAW_GATEWAY_BIND}",
"--port",
"${OPENCLAW_GATEWAY_PORT}",
"--allow-unconfigured",
]--allow-unconfigured 仅用于初始化便利,不能替代完整的 Gateway 配置。仍需设置认证(gateway.auth.token 或密码)并使用安全的绑定设置。
第七步:共享 Docker VM 运行时步骤
使用共享运行时指南完成 Docker 宿主机的通用流程:
第八步:Hetzner 特有访问方式
完成共享构建和启动步骤后,从笔记本建立隧道:
bash
ssh -N -L 18789:127.0.0.1:18789 root@YOUR_VPS_IP打开:
http://127.0.0.1:18789/
粘贴你的 Gateway Token 即可登录。
持久化映射详情参见 Docker VM Runtime。
基础设施即代码(Terraform)
偏好 IaC 工作流的团队可以使用社区维护的 Terraform 方案,提供:
- 模块化 Terraform 配置,支持远程 State 管理
- 通过 cloud-init 自动化资源创建
- 部署脚本(bootstrap、deploy、backup/restore)
- 安全加固(防火墙、UFW、仅 SSH 访问)
- SSH 隧道 Gateway 访问配置
仓库:
- 基础设施:openclaw-terraform-hetzner
- Docker 配置:openclaw-docker-config
这套方案在上述 Docker 部署基础上,增加了可复现的部署流程、版本化基础设施管理和自动化灾难恢复能力。
注意: 社区维护,问题或贡献请访问上述仓库。
下一步
- 配置消息渠道:Channels
- 配置 Gateway:Gateway 配置
- 保持 OpenClaw 更新:更新指南