Hosting
Fly.io
الهدف: تشغيل OpenClaw Gateway على جهاز Fly.io مع تخزين دائم، وHTTPS تلقائي، ووصول Discord/القنوات.
ما تحتاجه
- تثبيت flyctl CLI
- حساب Fly.io (تعمل الخطة المجانية)
- مصادقة النموذج: مفتاح API لمزوّد النموذج الذي تختاره
- بيانات اعتماد القناة: رمز بوت Discord، رمز Telegram، إلخ.
المسار السريع للمبتدئين
- استنسخ المستودع ← خصّص
fly.toml - أنشئ التطبيق + وحدة التخزين ← اضبط الأسرار
- انشر باستخدام
fly deploy - ادخل عبر SSH لإنشاء الإعدادات أو استخدم واجهة Control UI
إنشاء تطبيق Fly
# Clone the repogit clone https://github.com/openclaw/openclaw.gitcd openclaw # Create a new Fly app (pick your own name)fly apps create my-openclaw # Create a persistent volume (1GB is usually enough)fly volumes create openclaw_data --size 1 --region iadنصيحة: اختر منطقة قريبة منك. خيارات شائعة: lhr (لندن)، iad (فيرجينيا)، sjc (سان خوسيه).
إعداد fly.toml
عدّل fly.toml ليطابق اسم تطبيقك ومتطلباتك.
ملاحظة أمان: يكشف الإعداد الافتراضي عنوان URL عامًا. لنشر معزّز بلا IP عام، راجع النشر الخاص أو استخدم deploy/fly.private.toml.
app = "my-openclaw" # Your app nameprimary_region = "iad" [build] dockerfile = "Dockerfile" [env] NODE_ENV = "production" OPENCLAW_PREFER_PNPM = "1" OPENCLAW_STATE_DIR = "/data" NODE_OPTIONS = "--max-old-space-size=1536" [processes] app = "node dist/index.js gateway --allow-unconfigured --port 3000 --bind lan" [http_service] internal_port = 3000 force_https = true auto_stop_machines = false auto_start_machines = true min_machines_running = 1 processes = ["app"] [[vm]] size = "shared-cpu-2x" memory = "2048mb" [mounts] source = "openclaw_data" destination = "/data"تستخدم صورة Docker الخاصة بـ OpenClaw tini كنقطة دخول. تستبدل أوامر عمليات Fly أمر Docker CMD من دون استبدال ENTRYPOINT، لذلك تبقى العملية عاملة تحت tini.
الإعدادات الأساسية:
| الإعداد | السبب |
|---|---|
--bind lan |
يربط بـ 0.0.0.0 حتى يتمكن وكيل Fly من الوصول إلى Gateway |
--allow-unconfigured |
يبدأ من دون ملف إعدادات (ستنشئ واحدًا لاحقًا) |
internal_port = 3000 |
يجب أن يطابق --port 3000 (أو OPENCLAW_GATEWAY_PORT) لفحوصات صحة Fly |
memory = "2048mb" |
512MB صغيرة جدًا؛ يوصى بـ 2GB |
OPENCLAW_STATE_DIR = "/data" |
يحفظ الحالة على وحدة التخزين |
ضبط الأسرار
# Required: Gateway token (for non-loopback binding)fly secrets set OPENCLAW_GATEWAY_TOKEN=$(openssl rand -hex 32) # Model provider API keysfly secrets set ANTHROPIC_API_KEY=example-anthropic-key-not-real # Optional: Other providersfly secrets set OPENAI_API_KEY=example-openai-key-not-realfly secrets set GOOGLE_API_KEY=... # Channel tokensfly secrets set DISCORD_BOT_TOKEN=example-discord-bot-tokenملاحظات:
- تتطلب عمليات الربط غير local loopback (
--bind lan) مسار مصادقة صالحًا لـ Gateway. يستخدم مثال Fly.io هذاOPENCLAW_GATEWAY_TOKEN، لكنgateway.auth.passwordأو نشرtrusted-proxyغير local loopback والمُعد بشكل صحيح يفيان بالمتطلب أيضًا. - تعامل مع هذه الرموز مثل كلمات المرور.
- فضّل متغيرات البيئة على ملف الإعدادات لجميع مفاتيح API والرموز. هذا يبقي الأسرار خارج
openclaw.jsonحيث يمكن أن تُكشف أو تُسجّل بالخطأ.
النشر
fly deployيبني أول نشر صورة Docker (نحو 2-3 دقائق). تكون عمليات النشر اللاحقة أسرع.
بعد النشر، تحقق:
fly statusfly logsيجب أن ترى:
[gateway] listening on ws://0.0.0.0:3000 (PID xxx)[discord] logged in to discord as xxxإنشاء ملف الإعدادات
ادخل إلى الجهاز عبر SSH لإنشاء إعدادات مناسبة:
fly ssh consoleأنشئ دليل الإعدادات والملف:
mkdir -p /datacat > /data/openclaw.json << 'EOF'{ "agents": { "defaults": { "model": { "primary": "anthropic/claude-opus-4-6", "fallbacks": ["anthropic/claude-sonnet-4-6", "openai/gpt-5.4"] }, "maxConcurrent": 4 }, "list": [ { "id": "main", "default": true } ] }, "auth": { "profiles": { "anthropic:default": { "mode": "token", "provider": "anthropic" }, "openai:default": { "mode": "token", "provider": "openai" } } }, "bindings": [ { "agentId": "main", "match": { "channel": "discord" } } ], "channels": { "discord": { "enabled": true, "groupPolicy": "allowlist", "guilds": { "YOUR_GUILD_ID": { "channels": { "general": { "allow": true } }, "requireMention": false } } } }, "gateway": { "mode": "local", "bind": "auto", "controlUi": { "allowedOrigins": [ "https://my-openclaw.fly.dev", "http://localhost:3000", "http://127.0.0.1:3000" ] } }, "meta": {}}EOFملاحظة: مع OPENCLAW_STATE_DIR=/data، يكون مسار الإعدادات هو /data/openclaw.json.
ملاحظة: استبدل https://my-openclaw.fly.dev بالأصل الحقيقي لتطبيق Fly لديك. يزرع بدء تشغيل Gateway أصول Control UI المحلية من قيم التشغيل --bind و--port حتى يمكن للإقلاع الأول المتابعة قبل وجود الإعدادات، لكن الوصول عبر المتصفح من خلال Fly لا يزال يحتاج إلى إدراج أصل HTTPS الدقيق في gateway.controlUi.allowedOrigins.
ملاحظة: يمكن أن يأتي رمز Discord من أي من الآتي:
- متغير البيئة:
DISCORD_BOT_TOKEN(موصى به للأسرار) - ملف الإعدادات:
channels.discord.token
إذا كنت تستخدم متغير البيئة، فلا حاجة لإضافة الرمز إلى الإعدادات. يقرأ Gateway DISCORD_BOT_TOKEN تلقائيًا.
أعد التشغيل للتطبيق:
exitfly machine restart <machine-id>الوصول إلى Gateway
Control UI
افتح في المتصفح:
fly openأو زر https://my-openclaw.fly.dev/
صادِق باستخدام السر المشترك المُعد. يستخدم هذا الدليل رمز Gateway من OPENCLAW_GATEWAY_TOKEN؛ إذا تحولت إلى مصادقة كلمة المرور، فاستخدم تلك كلمة المرور بدلًا من ذلك.
السجلات
fly logs # Live logsfly logs --no-tail # Recent logsوحدة تحكم SSH
fly ssh consoleاستكشاف الأخطاء وإصلاحها
"App is not listening on expected address"
يرتبط Gateway بـ 127.0.0.1 بدلًا من 0.0.0.0.
الإصلاح: أضف --bind lan إلى أمر العملية في fly.toml.
فشل فحوصات الصحة / رفض الاتصال
لا يستطيع Fly الوصول إلى Gateway على المنفذ المُعد.
الإصلاح: تأكد من أن internal_port يطابق منفذ Gateway (اضبط --port 3000 أو OPENCLAW_GATEWAY_PORT=3000).
نفاد الذاكرة / مشكلات الذاكرة
تستمر الحاوية في إعادة التشغيل أو تتعرض للقتل. العلامات: SIGABRT، أو v8::internal::Runtime_AllocateInYoungGeneration، أو عمليات إعادة تشغيل صامتة.
الإصلاح: زد الذاكرة في fly.toml:
[[vm]] memory = "2048mb"أو حدّث جهازًا موجودًا:
fly machine update <machine-id> --vm-memory 2048 -yملاحظة: 512MB صغيرة جدًا. قد تعمل 1GB لكنها قد تواجه نفادًا للذاكرة تحت الحمل أو مع التسجيل المطوّل. يوصى بـ 2GB.
مشكلات قفل Gateway
يرفض Gateway البدء مع أخطاء "already running".
يحدث هذا عندما تعيد الحاوية التشغيل لكن ملف قفل PID يبقى على وحدة التخزين.
الإصلاح: احذف ملف القفل:
fly ssh console --command "rm -f /data/gateway.*.lock"fly machine restart <machine-id>يوجد ملف القفل في /data/gateway.*.lock (وليس في دليل فرعي).
عدم قراءة الإعدادات
يتجاوز --allow-unconfigured حارس بدء التشغيل فقط. لا ينشئ أو يصلح /data/openclaw.json، لذلك تأكد من وجود إعداداتك الحقيقية وأنها تتضمن gateway.mode="local" عندما تريد بدء Gateway محلي عادي.
تحقق من وجود الإعدادات:
fly ssh console --command "cat /data/openclaw.json"كتابة الإعدادات عبر SSH
لا يدعم الأمر fly ssh console -C إعادة توجيه الصدفة. لكتابة ملف إعدادات:
# Use echo + tee (pipe from local to remote)echo '{"your":"config"}' | fly ssh console -C "tee /data/openclaw.json" # Or use sftpfly sftp shell> put /local/path/config.json /data/openclaw.jsonملاحظة: قد يفشل fly sftp إذا كان الملف موجودًا بالفعل. احذفه أولًا:
fly ssh console --command "rm /data/openclaw.json"عدم استمرار الحالة
إذا فقدت ملفات تعريف المصادقة، أو حالة القناة/المزوّد، أو الجلسات بعد إعادة التشغيل، فإن دليل الحالة يكتب إلى نظام ملفات الحاوية.
الإصلاح: تأكد من ضبط OPENCLAW_STATE_DIR=/data في fly.toml وأعد النشر.
التحديثات
# Pull latest changesgit pull # Redeployfly deploy # Check healthfly statusfly logsتحديث أمر الجهاز
إذا كنت بحاجة إلى تغيير أمر بدء التشغيل من دون إعادة نشر كاملة:
# Get machine IDfly machines list # Update commandfly machine update <machine-id> --command "node dist/index.js gateway --port 3000 --bind lan" -y # Or with memory increasefly machine update <machine-id> --vm-memory 2048 --command "node dist/index.js gateway --port 3000 --bind lan" -yملاحظة: بعد fly deploy، قد يُعاد ضبط أمر الجهاز إلى ما هو موجود في fly.toml. إذا أجريت تغييرات يدوية، فأعد تطبيقها بعد النشر.
النشر الخاص (المعزّز)
افتراضيًا، يخصص Fly عناوين IP عامة، مما يجعل Gateway متاحًا على https://your-app.fly.dev. هذا مريح لكنه يعني أن نشرك قابل للاكتشاف بواسطة ماسحات الإنترنت (Shodan وCensys وغيرها).
لنشر معزّز بلا تعرض عام، استخدم القالب الخاص.
متى تستخدم النشر الخاص
- تجري مكالمات/رسائل صادرة فقط (لا Webhook واردة)
- تستخدم أنفاق ngrok أو Tailscale لأي عمليات رد Webhook
- تصل إلى Gateway عبر SSH أو وكيل أو WireGuard بدلًا من المتصفح
- تريد أن يكون النشر مخفيًا عن ماسحات الإنترنت
الإعداد
استخدم deploy/fly.private.toml بدلًا من الإعداد القياسي:
# Deploy with private configfly deploy -c deploy/fly.private.tomlأو حوّل نشرًا موجودًا:
# List current IPsfly ips list -a my-openclaw # Release public IPsfly ips release <public-ipv4> -a my-openclawfly ips release <public-ipv6> -a my-openclaw # Switch to private config so future deploys don't re-allocate public IPs# (remove [http_service] or deploy with the private template)fly deploy -c deploy/fly.private.toml # Allocate private-only IPv6fly ips allocate-v6 --private -a my-openclawبعد ذلك، يجب أن يعرض fly ips list عنوان IP واحدًا فقط من النوع private:
VERSION IP TYPE REGIONv6 fdaa:x:x:x:x::x private globalالوصول إلى نشر خاص
بما أنه لا يوجد عنوان URL عام، استخدم إحدى هذه الطرق:
الخيار 1: وكيل محلي (الأبسط)
# Forward local port 3000 to the appfly proxy 3000:3000 -a my-openclaw # Then open http://localhost:3000 in browserالخيار 2: شبكة WireGuard VPN
# Create WireGuard config (one-time)fly wireguard create # Import to WireGuard client, then access via internal IPv6# Example: http://[fdaa:x:x:x:x::x]:3000الخيار 3: SSH فقط
fly ssh console -a my-openclawWebhooks مع النشر الخاص
إذا كنت تحتاج إلى استدعاءات Webhook راجعة (Twilio، Telnyx، وما إلى ذلك) من دون تعريض عام:
- نفق ngrok - شغّل ngrok داخل الحاوية أو كحاوية جانبية
- Tailscale Funnel - عرّض مسارات محددة عبر Tailscale
- صادر فقط - يعمل بعض المزوّدين (Twilio) بشكل جيد للمكالمات الصادرة من دون Webhooks
مثال على إعداد مكالمات صوتية باستخدام ngrok:
{ plugins: { entries: { "voice-call": { enabled: true, config: { provider: "twilio", tunnel: { provider: "ngrok" }, webhookSecurity: { allowedHosts: ["example.ngrok.app"], }, }, }, }, },}يعمل نفق ngrok داخل الحاوية ويوفّر عنوان URL عامًا للـ Webhook من دون تعريض تطبيق Fly نفسه. اضبط webhookSecurity.allowedHosts على اسم مضيف النفق العام حتى تُقبَل ترويسات المضيف المُمرَّرة.
فوائد الأمان
| الجانب | عام | خاص |
|---|---|---|
| أدوات فحص الإنترنت | قابل للاكتشاف | مخفي |
| الهجمات المباشرة | ممكنة | محظورة |
| الوصول إلى واجهة التحكم | متصفح | وكيل/VPN |
| تسليم Webhook | مباشر | عبر نفق |
ملاحظات
- يستخدم Fly.io معمارية x86 (وليس ARM)
- ملف Dockerfile متوافق مع كلتا المعماريتين
- لإعداد WhatsApp/Telegram، استخدم
fly ssh console - تعيش البيانات الدائمة على وحدة التخزين في
/data - يتطلب Signal Java + signal-cli؛ استخدم صورة مخصصة وأبقِ الذاكرة عند 2GB+.
التكلفة
مع الإعداد الموصى به (shared-cpu-2x، وذاكرة 2GB RAM):
- نحو 10-15 دولارًا أمريكيًا/شهرًا حسب الاستخدام
- تتضمن الطبقة المجانية قدرًا من الحصة
راجع تسعير Fly.io للاطلاع على التفاصيل.
الخطوات التالية
- إعداد قنوات المراسلة: القنوات
- تهيئة Gateway: تهيئة Gateway
- إبقاء OpenClaw محدّثًا: التحديث