---
doc-schema-version: 1
read_when:
    - أنت تستضيف OpenClaw لعدة مستخدمين أو مؤسسات
    - تحتاج إلى اختيار حدّ عزل لأحمال عمل المستأجرين
summary: استضف نطاقات ثقة متعددة للمستأجرين بوصفها خلية Gateway معزولة واحدة من OpenClaw لكل مستأجر
title: الاستضافة متعددة المستأجرين
x-i18n:
    generated_at: "2026-07-16T14:05:51Z"
    model: gpt-5.6
    postprocess_version: locale-links-v1
    prompt_version: 32
    provider: openai
    source_hash: 383d32331b45d40db6fb4ff8242dd9a3cf8898a3ccab19f0372cd06bbd83fc05
    source_path: gateway/multi-tenant-hosting.md
    workflow: 16
---

# الاستضافة متعددة المستأجرين

نموذج الأمان الافتراضي في OpenClaw هو حدّ مشغّل موثوق واحد لكل Gateway، وليس عزلاً عدائياً متعدد المستأجرين داخل Gateway مشتركة واحدة. لذلك، فإن استضافة مستخدمين أو مؤسسات لا يشتركون في حدّ ثقة واحد تعني تشغيل مثيل OpenClaw كامل ومنفصل لكل مستأجر.

`openclaw fleet` يسمّي كل مثيل معزول **خلية**. الخلية هي Gateway كاملة داخل حاوية محصّنة، ولها حالتها وبيانات اعتمادها ومساحة عملها وحسابات قنواتها ورمزها المميز ومنفذ مضيف خاص بها لا يستمع إلا إلى واجهة الاسترجاع.

Fleet **تجريبي**: قد تتغير أوامره وأعلامه وملف تعريف الحاوية بين الإصدارات من دون فترة إهمال تدريجي.

اختُبر Fleet على مضيفي Linux وmacOS. أما مضيفو Windows فلم يُختبروا حالياً.

## لماذا يحتاج كل مستأجر إلى خلية

يؤدي المشغّل المصادَق عليه داخل Gateway واحدة دوراً موثوقاً في مستوى التحكم. تحدد معرّفات الجلسات التوجيه؛ ولا تمنح مستأجراً صلاحية الوصول مقابل مستأجر آخر. يمكن لعزل الوكيل تقليل أثر المحتوى غير الموثوق وتنفيذ الأدوات، لكنه لا يحوّل Gateway مشتركة واحدة إلى حدّ تخويل بين المستأجرين.

استخدم خلية واحدة لكل مستأجر كي يكون لكل نطاق ثقة عملية Gateway وحاوية وشجرة حالة دائمة وبيانات اعتماد Gateway منفصلة. يتبع هذا [نموذج أمان Gateway](/ar/gateway/security): لا تضع مستخدمين لا يثق بعضهم ببعض في عملية OpenClaw واحدة أو تحت مستخدم نظام تشغيل واحد.

## البنية

واجهة Fleet CLI هي مشرف على دورة الحياة يعمل من جهة المضيف. تسجّل الخلايا في قاعدة بيانات حالة OpenClaw وتطلب من بيئة تشغيل Docker أو Podman محلية إنشاء حاوياتها وفحصها وتشغيلها وإيقافها واستبدالها وإزالتها. نقاط نهاية بيئات التشغيل البعيدة غير مدعومة لأن مسارات الربط وعناوين URL الخاصة بواجهة الاسترجاع في Fleet تخص المضيف المحلي. لا يعمل Fleet وكيلاً لرسائل المستأجرين ولا يضيف مسار بيانات مشتركاً على مستوى التطبيق بين الخلايا.

تشغّل كل خلية صورة `ghcr.io/openclaw/openclaw` الرسمية على شبكة جسر يعرّفها المستخدم خاصة بها. تمنع الجسور المنفصلة حركة المرور المباشرة عبر عناوين IP للحاويات بين الخلايا، مع الإبقاء على وصول NAT الصادر إلى المزوّدين والقنوات. يكون الخروج الصادر غير مقيّد افتراضياً. يمكن لخلايا Podman استخدام `--network internal` لحظر الخروج مع الإبقاء على منفذ Gateway المنشور عبر واجهة الاسترجاع. تؤدي شبكات Docker الداخلية إلى تعطيل ذلك المنفذ المنشور، لذا يرفض Fleet هذه التوليفة؛ طبّق سياسة خروج Docker باستخدام قواعد جدار حماية المضيف مثل سلسلة `DOCKER-USER` بدلاً من ذلك. تستمع Gateway الخاصة بالخلية على المنفذ `18789` داخل الحاوية، بينما تنشرها بيئة التشغيل فقط إلى `127.0.0.1:<allocated-port>` على المضيف. يمكن للمشغّل وضع وكيلاً عكسياً معتمداً أو نفق SSH أو شبكة tailnet أمام نقطة نهاية واجهة الاسترجاع تلك عند الحاجة إلى الوصول عن بُعد.

تأتي حالة Gateway الدائمة من `<state-dir>/fleet/cells/<tenant>/` وتُركّب عند `/home/node/.openclaw`. وتأتي مفاتيح تشفير ملفات تعريف المصادقة من مسار المضيف المنفصل `<state-dir>/fleet/auth-profile-secrets/<tenant>/` وتُركّب عند `/home/node/.config/openclaw`، بما يتوافق مع [تخطيط الاستمرارية الرسمي لـ Docker](/ar/install/docker#storage-and-persistence). لا يكون المفتاح متداخلاً تحت موضع تركيب الحالة العادية. تنتهي حسابات القنوات الخاصة بكل مستأجر داخل الخلية المالكة لها؛ ولا يوفّر Fleet حساب قناة مشتركاً أو موجّه رسائل واردة.

تستخدم الصورة الرسمية افتراضياً المستخدم غير الجذر `node` ذي UID 1000. يستخدم Fleet تعيينات مستخدمين متوافقة مع المضيف كي تظل مواضع الربط الخاصة قابلة للكتابة: يستخدم Podman ‏`keep-id`، ويستخدم Docker العامل بصلاحيات الجذر هوية المستخدم غير الجذر الذي استدعاه، بينما يعيّن Docker غير الجذري مستخدم الجذر في الحاوية إلى مستخدم البرنامج الخفي غير ذي الامتيازات. يطبّق Docker وPodman إعادة تسمية خاصة `:Z` عندما يكون SELinux الخاص بالمضيف نشطاً. يتجنب ملف تعريف الحاوية ميزات المضيف ذات الامتيازات ويدعم التشغيل من دون صلاحيات الجذر، لكن التشغيل غير الجذري خيار ومتطلب مسبق لبيئة تشغيل المضيف، وليس شيئاً يفعّله Fleet تلقائياً.

## حدّ الثقة

يحمي تعدد المستأجرين المستأجرين بعضهم من بعض. يثق كل مستأجر بمشغّل Fleet وبالمضيف. مقاومة اختراق المضيف ليست هدفاً.

يعني هذا أن مسؤول المضيف يستطيع فحص إعدادات الحاوية وبيئتها، وقراءة بيانات الخلية المركّبة، واستبدال الصور، أو الدخول إلى الحاويات. تكون رموز Gateway والقيم الممرّرة باستخدام `--env` مرئية للمسؤول عبر فحص Docker أو Podman. لذلك استخدم ضوابط المضيف وسياسة الوصول الإداري والمراقبة والنسخ الاحتياطية ومدير أسرار معتمداً بما يلائم ذلك.

يمنع خط الأساس التعرض العرضي للشبكة عبر أحرف البدل ويزيل آليات تصعيد امتيازات الحاويات الشائعة، لكنه لا يجعل مضيفاً غير موثوق آمناً.

## سُلّم العزل

اختر الحدّ الذي يلائم المستأجرين الذين تستضيفهم:

1. **خط أساس لحاوية محصّنة.** يسقط Fleet جميع إمكانات Linux، ويفعّل `no-new-privileges`، ويطبّق حدوداً على PID والذاكرة ووحدة المعالجة المركزية وطبقة القرص القابلة للكتابة اختيارياً، ويستخدم مواضع تركيب دائمة منفصلة وشبكات خاصة بكل خلية، ولا ينشر إلا إلى واجهة الاسترجاع في المضيف. تترك شبكات الجسر الخروج غير مقيّد؛ استخدم `--network internal` في Podman أو سياسة جدار حماية مضيف Docker عندما يجب ألا تبدأ الخلية اتصالات صادرة. هذا هو ملف التعريف الافتراضي للمستأجرين الذين يثقون بالمشغّل والمضيف.
2. **عزل أقوى للحاوية أو الآلة الافتراضية.** لأحمال العمل الأعلى خطورة، اضبط Docker أو Podman لاستخدام بيئة تشغيل عزل OCI أقوى مثل gVisor أو Kata Containers، أو ضع الخلايا في آلات افتراضية مصغرة. هذا إعداد لبيئة التشغيل أو البنية التحتية؛ يختار خيار `--runtime docker|podman` في Fleet واجهة CLI الخاصة بالحاوية، وليس الواجهة الخلفية لعزل OCI. راجع [بيئات تشغيل الحاويات البديلة](https://docs.docker.com/engine/daemon/alternative-runtimes/) في Docker و[دليل بيئة تشغيل Docker للآلات الافتراضية](/ar/install/docker-vm-runtime).
3. **أجهزة منفصلة للمستأجرين العدائيين.** لا تضع مستأجرين عدائيين في عملية OpenClaw واحدة أو تحت مستخدم نظام تشغيل واحد. عندما لا يثق المستأجرون بمشغّل المضيف نفسه أو يحتاجون إلى حدّ إداري أقوى، استخدم آلات افتراضية أو مضيفين فعليين منفصلين مع إدارة منفصلة لبيئة التشغيل.

لا تغيّر أي درجة في هذا السُلّم نموذج ثقة تطبيق OpenClaw: تظل Gateway الواحدة نطاق مشغّل موثوقاً واحداً.

## البدء السريع

أنشئ خلية. يطبع الأمر رمز Gateway مميزاً مولّداً مرة واحدة، لذا خزّنه فوراً:

```bash
openclaw fleet create acme
```

افتح عنوان URL المبلّغ عنه `http://127.0.0.1:<port>` على مضيف Fleet، وصادِق باستخدام الرمز المميز لذلك المستأجر، واضبط بيانات اعتماد المزوّد وحسابات القنوات داخل الخلية.

تحقق من حالة الحاوية وحيوية Gateway:

```bash
openclaw fleet status acme
```

نفّذ الترقية مع الحفاظ على منفذ المضيف والبيانات المركّبة وملف تعريف الموارد والبيئة التي يوفّرها المستخدم ورمز Gateway المميز:

```bash
openclaw fleet upgrade acme
```

أزل الحاوية وصف السجل مع الاحتفاظ ببيانات المستأجر:

```bash
openclaw fleet rm acme --force
```

لحذف بيانات المستأجر الدائمة أيضاً، أضف `--purge-data`. تتطلب الإزالة الشاملة `--force`، ولا يمكن التراجع عنها، وتُجري تحققاً من احتواء المسار المحلول قبل حذف أي شيء:

```bash
openclaw fleet rm acme --purge-data --force
```

راجع [مرجع CLI الخاص بـ `openclaw fleet`](/cli/fleet) للاطلاع على كل أمر وخيار.

## النطاق الحالي

لا يوفّر Fleet الإمكانات التالية:

- حسابات قنوات مشتركة أو موجّه إدخال مشترك
- عمليات مضيف مخففة لكل مستأجر بدلاً من مثيلات OpenClaw كاملة
- مضيفو خلايا بعيدون يديرهم مشرف واحد
- بوابة خدمة ذاتية للمستأجرين أو مستوى فوترة أو واجهة مستخدم للإدارة المفوّضة

تحتاج هذه الإمكانات إلى عقود صريحة للهوية والتوجيه والتخويل ونطاقات الأعطال. لا تحاول تقريبها عبر مشاركة Gateway واحدة أو بيانات اعتمادها بين المستأجرين. Fleet مشرف على دورة الحياة لمضيف واحد؛ أما الأساطيل متعددة الأجهزة والمحكومة بالهوية فتتطلب طبقة تحكم منفصلة.

## ذو صلة

- [`openclaw fleet`](/cli/fleet)
- [أمان Gateway](/ar/gateway/security)
- [بوابات Gateway متعددة](/ar/gateway/multiple-gateways)
- [Docker](/ar/install/docker)
- [Podman](/ar/install/podman)
