Hosting
Oracle Cloud
Voer kosteloos een permanente OpenClaw Gateway uit op de Always Free ARM-laag van Oracle Cloud (maximaal 4 OCPU's, 24 GB RAM en 200 GB opslag).
Vereisten
- Oracle Cloud-account (registreren) -- raadpleeg de registratiehandleiding van de community als u problemen ondervindt
- Tailscale-account (gratis via tailscale.com)
- Een SSH-sleutelpaar
- Ongeveer 30 minuten
Installatie
Een OCI-instance maken
- Meld u aan bij de Oracle Cloud Console.
- Ga naar Compute > Instances > Create Instance.
- Configureer:
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2 (of maximaal 4)
- Memory: 12 GB (of maximaal 24 GB)
- Boot volume: 50 GB (maximaal 200 GB gratis)
- SSH key: Voeg uw openbare sleutel toe
- Name:
- Klik op Create en noteer het openbare IP-adres.
Verbinding maken en het systeem bijwerken
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essentialbuild-essential is vereist om bepaalde afhankelijkheden voor ARM te compileren.
Gebruiker en hostnaam configureren
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntuDoor linger in te schakelen, blijven gebruikersservices na het afmelden actief.
Tailscale installeren
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclawMaak voortaan verbinding via Tailscale: ssh ubuntu@openclaw.
OpenClaw installeren
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrcWanneer u wordt gevraagd "How do you want to hatch your bot?", selecteert u Do this later.
De Gateway configureren
Gebruik tokenauthenticatie met Tailscale Serve voor beveiligde externe toegang.
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.servicegateway.trustedProxies=["127.0.0.1"] dient hier uitsluitend voor de verwerking van doorgestuurde IP-adressen en lokale clients door de lokale Tailscale Serve-proxy. Het is niet gateway.auth.mode: "trusted-proxy". Routes van de diffviewer blijven in deze configuratie gesloten bij fouten: rechtstreekse viewerverzoeken vanaf 127.0.0.1 zonder doorgestuurde proxyheaders retourneren Diff not found. Gebruik mode=file / mode=both voor bijlagen, of schakel externe viewers bewust in en stel plugins.entries.diffs.config.viewerBaseUrl in (of geef een proxy-baseUrl door) als u deelbare viewerlinks nodig hebt.
VCN-beveiliging aanscherpen
Blokkeer aan de netwerkgrens al het verkeer behalve Tailscale:
- Ga in de OCI Console naar Networking > Virtual Cloud Networks.
- Klik op uw VCN en vervolgens op Security Lists > Default Security List.
- Verwijder alle regels voor inkomend verkeer, behalve
0.0.0.0/0 UDP 41641(Tailscale). - Behoud de standaardregels voor uitgaand verkeer (al het uitgaande verkeer toestaan).
Hierdoor worden SSH op poort 22, HTTP, HTTPS en al het overige verkeer aan de netwerkgrens geblokkeerd. Vanaf dit moment kunt u alleen via Tailscale verbinding maken.
Verifiëren
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789Open de beheerinterface vanaf elk apparaat in uw tailnet:
https://openclaw.<tailnet-name>.ts.net/Vervang <tailnet-name> door de naam van uw tailnet (zichtbaar in tailscale status).
De beveiligingsstatus verifiëren
Wanneer de VCN is vergrendeld (alleen UDP 41641 is geopend) en de Gateway aan local loopback is gebonden, wordt openbaar verkeer aan de netwerkgrens geblokkeerd en is beheerderstoegang uitsluitend via het tailnet mogelijk. Hierdoor zijn verschillende traditionele stappen voor het beveiligen van een VPS niet nodig:
| Traditionele stap | Nodig? | Waarom |
|---|---|---|
| UFW-firewall | Nee | De VCN blokkeert verkeer voordat het de instance bereikt. |
| fail2ban | Nee | Poort 22 is in de VCN geblokkeerd; er is geen oppervlak voor brute force. |
| sshd aanscherpen | Nee | Tailscale SSH gebruikt sshd niet. |
| Aanmelding als root uitschakelen | Nee | Tailscale verifieert de tailnet-identiteit, niet systeemgebruikers. |
| Alleen SSH-sleutelauthenticatie | Nee | Hetzelfde -- de tailnet-identiteit vervangt SSH-systeemsleutels. |
| IPv6 aanscherpen | Meestal niet | Hangt af van de VCN-/subnetinstellingen; controleer wat daadwerkelijk is toegewezen of blootgesteld. |
Nog steeds aanbevolen:
chmod 700 ~/.openclawom de bestandsmachtigingen voor referenties te beperken.openclaw security auditvoor een OpenClaw-specifieke controle van de beveiligingsstatus.- Regelmatig
sudo apt update && sudo apt upgradeuitvoeren voor patches van het besturingssysteem. - Controleer regelmatig de apparaten in de Tailscale-beheerconsole.
Snelle verificatieopdrachten:
# Controleer of er geen openbare poorten luisterensudo ss -tlnp | grep -v '127.0.0.1\|::1' # Controleer of Tailscale SSH actief istailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # Optioneel: schakel sshd volledig uit nadat is bevestigd dat Tailscale SSH werktsudo systemctl disable --now sshARM-opmerkingen
De Always Free-laag gebruikt ARM (aarch64). De meeste OpenClaw-functies werken zonder problemen; een klein aantal systeemeigen binaire bestanden vereist ARM-builds:
- Node.js, Telegram, WhatsApp (Baileys): uitsluitend JavaScript, geen problemen.
- De meeste npm-pakketten met systeemeigen code: vooraf gebouwde
linux-arm64-artefacten zijn beschikbaar. - Optionele CLI-hulpprogramma's (bijvoorbeeld Go-/Rust-binaire bestanden die door Skills worden meegeleverd): controleer vóór de installatie of er een
aarch64- oflinux-arm64-release beschikbaar is.
Controleer de architectuur met uname -m (dit moet aarch64 weergeven). Installeer binaire bestanden zonder ARM-build vanuit de broncode of sla ze over.
Persistentie en back-ups
De status van OpenClaw bevindt zich in:
~/.openclaw/--openclaw.json,auth-profiles.jsonper agent, kanaal-/providerstatus en sessiegegevens.~/.openclaw/workspace/-- de werkruimte van de agent (SOUL.md, geheugen, artefacten).
Deze blijven na herstarts behouden. Een overdraagbare momentopname maken:
openclaw backup createTerugvaloptie: SSH-tunnel
Als Tailscale Serve niet werkt, gebruikt u een SSH-tunnel vanaf uw lokale computer:
ssh -L 18789:127.0.0.1:18789 ubuntu@openclawOpen vervolgens http://localhost:18789.
Probleemoplossing
Het maken van de instance mislukt ("Out of capacity") -- ARM-instances in de gratis laag zijn populair. Probeer een ander beschikbaarheidsdomein of probeer het opnieuw buiten de piekuren.
Tailscale maakt geen verbinding -- Voer sudo tailscale up --ssh --hostname=openclaw --reset uit om opnieuw te authenticeren.
Gateway start niet -- Voer openclaw doctor --non-interactive uit en controleer de logboeken met journalctl --user -u openclaw-gateway.service -n 50.
Problemen met ARM-binaire bestanden -- De meeste npm-pakketten werken op ARM64. Zoek voor systeemeigen binaire bestanden naar linux-arm64- of aarch64-releases. Controleer de architectuur met uname -m.
Volgende stappen
- Kanalen -- verbind Telegram, WhatsApp, Discord en meer
- Gateway-configuratie -- alle configuratieopties
- Bijwerken -- houd OpenClaw up-to-date