Hosting

Fly.io

Мета: OpenClaw Gateway, що працює на машині Fly.io з постійним сховищем, автоматичним HTTPS і доступом до Discord/каналів.

Що потрібно

  • Установлений flyctl CLI
  • Обліковий запис Fly.io (безплатного рівня достатньо)
  • Автентифікація моделі: API-ключ для вибраного постачальника моделі
  • Облікові дані каналу: токен бота Discord, токен Telegram тощо.

Швидкий шлях для початківців

  1. Клонуйте репозиторій → налаштуйте fly.toml
  2. Створіть застосунок і том → задайте секрети
  3. Розгорніть за допомогою fly deploy
  4. Увійдіть через SSH, щоб створити конфігурацію, або скористайтеся Control UI
  • Створіть застосунок Fly

    bash
    # Clone the repogit clone https://github.com/openclaw/openclaw.gitcd openclaw # Create a new Fly app (pick your own name)fly apps create my-openclaw # Create a persistent volume (1GB is usually enough)fly volumes create openclaw_data --size 1 --region iad

    Порада: Виберіть регіон поблизу вас. Поширені варіанти: lhr (Лондон), iad (Вірджинія), sjc (Сан-Хосе).

  • Налаштуйте fly.toml

    Відредагуйте fly.toml, щоб він відповідав назві вашого застосунку та вимогам.

    Примітка щодо безпеки: Типова конфігурація відкриває публічну URL-адресу. Для посиленого розгортання без публічної IP-адреси див. Приватне розгортання або використовуйте deploy/fly.private.toml.

    toml
    app = "my-openclaw"  # Your app nameprimary_region = "iad" [build]  dockerfile = "Dockerfile" [env]  NODE_ENV = "production"  OPENCLAW_PREFER_PNPM = "1"  OPENCLAW_STATE_DIR = "/data"  NODE_OPTIONS = "--max-old-space-size=1536" [processes]  app = "node dist/index.js gateway --allow-unconfigured --port 3000 --bind lan" [http_service]  internal_port = 3000  force_https = true  auto_stop_machines = false  auto_start_machines = true  min_machines_running = 1  processes = ["app"] [[vm]]  size = "shared-cpu-2x"  memory = "2048mb" [mounts]  source = "openclaw_data"  destination = "/data"

    Docker-образ OpenClaw використовує tini як свою точку входу. Команди процесів Fly замінюють Docker CMD, не замінюючи ENTRYPOINT, тому процес усе ще працює під tini.

    Ключові параметри:

    Параметр Навіщо
    --bind lan Прив’язує до 0.0.0.0, щоб проксі Fly міг досягти Gateway
    --allow-unconfigured Запускає без файлу конфігурації (ви створите його пізніше)
    internal_port = 3000 Має відповідати --port 3000 (або OPENCLAW_GATEWAY_PORT) для перевірок працездатності Fly
    memory = "2048mb" 512 МБ замало; рекомендовано 2 ГБ
    OPENCLAW_STATE_DIR = "/data" Зберігає стан на томі
  • Задайте секрети

    bash
    # Required: Gateway token (for non-loopback binding)fly secrets set OPENCLAW_GATEWAY_TOKEN=$(openssl rand -hex 32) # Model provider API keysfly secrets set ANTHROPIC_API_KEY=example-anthropic-key-not-real # Optional: Other providersfly secrets set OPENAI_API_KEY=example-openai-key-not-realfly secrets set GOOGLE_API_KEY=... # Channel tokensfly secrets set DISCORD_BOT_TOKEN=example-discord-bot-token

    Примітки:

    • Прив’язки не до loopback (--bind lan) потребують чинного шляху автентифікації Gateway. Цей приклад Fly.io використовує OPENCLAW_GATEWAY_TOKEN, але gateway.auth.password або правильно налаштоване розгортання не-loopback trusted-proxy також задовольняють вимогу.
    • Поводьтеся з цими токенами як із паролями.
    • Надавайте перевагу змінним середовища замість файлу конфігурації для всіх API-ключів і токенів. Так секрети не потраплять до openclaw.json, де їх можна випадково розкрити або записати в журнали.
  • Розгорніть

    bash
    fly deploy

    Перше розгортання збирає Docker-образ (~2-3 хвилини). Наступні розгортання швидші.

    Після розгортання перевірте:

    bash
    fly statusfly logs

    Ви маєте побачити:

    Code
    [gateway] listening on ws://0.0.0.0:3000 (PID xxx)[discord] logged in to discord as xxx
  • Створіть файл конфігурації

    Увійдіть на машину через SSH, щоб створити правильну конфігурацію:

    bash
    fly ssh console

    Створіть каталог і файл конфігурації:

    bash
    mkdir -p /datacat > /data/openclaw.json << 'EOF'{  "agents": {    "defaults": {      "model": {        "primary": "anthropic/claude-opus-4-6",        "fallbacks": ["anthropic/claude-sonnet-4-6", "openai/gpt-5.4"]      },      "maxConcurrent": 4    },    "list": [      {        "id": "main",        "default": true      }    ]  },  "auth": {    "profiles": {      "anthropic:default": { "mode": "token", "provider": "anthropic" },      "openai:default": { "mode": "token", "provider": "openai" }    }  },  "bindings": [    {      "agentId": "main",      "match": { "channel": "discord" }    }  ],  "channels": {    "discord": {      "enabled": true,      "groupPolicy": "allowlist",      "guilds": {        "YOUR_GUILD_ID": {          "channels": { "general": { "allow": true } },          "requireMention": false        }      }    }  },  "gateway": {    "mode": "local",    "bind": "auto",    "controlUi": {      "allowedOrigins": [        "https://my-openclaw.fly.dev",        "http://localhost:3000",        "http://127.0.0.1:3000"      ]    }  },  "meta": {}}EOF

    Примітка: З OPENCLAW_STATE_DIR=/data шлях до конфігурації — /data/openclaw.json.

    Примітка: Замініть https://my-openclaw.fly.dev на справжнє походження вашого застосунку Fly. Під час запуску Gateway початково додає локальні походження Control UI з runtime-значень --bind і --port, щоб перше завантаження могло пройти ще до появи конфігурації, але доступ через браузер через Fly усе одно потребує точного HTTPS-походження, указаного в gateway.controlUi.allowedOrigins.

    Примітка: Токен Discord може надходити з будь-якого з цих місць:

    • Змінна середовища: DISCORD_BOT_TOKEN (рекомендовано для секретів)
    • Файл конфігурації: channels.discord.token

    Якщо використовується змінна середовища, токен не потрібно додавати до конфігурації. Gateway автоматично читає DISCORD_BOT_TOKEN.

    Перезапустіть, щоб застосувати:

    bash
    exitfly machine restart <machine-id>
  • Отримайте доступ до Gateway

    Control UI

    Відкрийте в браузері:

    bash
    fly open

    Або перейдіть на https://my-openclaw.fly.dev/

    Автентифікуйтеся за допомогою налаштованого спільного секрету. У цьому посібнику використовується токен Gateway з OPENCLAW_GATEWAY_TOKEN; якщо ви перейшли на автентифікацію паролем, використовуйте натомість цей пароль.

    Журнали

    bash
    fly logs              # Live logsfly logs --no-tail    # Recent logs

    SSH-консоль

    bash
    fly ssh console
  • Усунення несправностей

    "Застосунок не слухає на очікуваній адресі"

    Gateway прив’язується до 127.0.0.1 замість 0.0.0.0.

    Виправлення: Додайте --bind lan до команди процесу в fly.toml.

    Перевірки працездатності не проходять / з’єднання відхилено

    Fly не може досягти Gateway на налаштованому порту.

    Виправлення: Переконайтеся, що internal_port відповідає порту Gateway (задайте --port 3000 або OPENCLAW_GATEWAY_PORT=3000).

    OOM / проблеми з пам’яттю

    Контейнер постійно перезапускається або завершується примусово. Ознаки: SIGABRT, v8::internal::Runtime_AllocateInYoungGeneration або тихі перезапуски.

    Виправлення: Збільште пам’ять у fly.toml:

    toml
    [[vm]]  memory = "2048mb"

    Або оновіть наявну машину:

    bash
    fly machine update <machine-id> --vm-memory 2048 -y

    Примітка: 512 МБ замало. 1 ГБ може працювати, але може призводити до OOM під навантаженням або з детальним журналюванням. Рекомендовано 2 ГБ.

    Проблеми з блокуванням Gateway

    Gateway відмовляється запускатися з помилками "already running".

    Це трапляється, коли контейнер перезапускається, але файл PID-блокування зберігається на томі.

    Виправлення: Видаліть файл блокування:

    bash
    fly ssh console --command "rm -f /data/gateway.*.lock"fly machine restart <machine-id>

    Файл блокування розташований за шляхом /data/gateway.*.lock (не в підкаталозі).

    Конфігурація не читається

    --allow-unconfigured лише обходить захист запуску. Він не створює й не відновлює /data/openclaw.json, тож переконайтеся, що ваша справжня конфігурація існує та містить gateway.mode="local", коли вам потрібен звичайний запуск локального Gateway.

    Перевірте, що конфігурація існує:

    bash
    fly ssh console --command "cat /data/openclaw.json"

    Запис конфігурації через SSH

    Команда fly ssh console -C не підтримує перенаправлення shell. Щоб записати файл конфігурації:

    bash
    # Use echo + tee (pipe from local to remote)echo '{"your":"config"}' | fly ssh console -C "tee /data/openclaw.json" # Or use sftpfly sftp shell> put /local/path/config.json /data/openclaw.json

    Примітка: fly sftp може завершитися помилкою, якщо файл уже існує. Спочатку видаліть його:

    bash
    fly ssh console --command "rm /data/openclaw.json"

    Стан не зберігається

    Якщо після перезапуску ви втрачаєте профілі автентифікації, стан каналів/постачальників або сесії, каталог стану записується у файлову систему контейнера.

    Виправлення: Переконайтеся, що OPENCLAW_STATE_DIR=/data задано в fly.toml, і розгорніть повторно.

    Оновлення

    bash
    # Pull latest changesgit pull # Redeployfly deploy # Check healthfly statusfly logs

    Оновлення команди машини

    Якщо потрібно змінити команду запуску без повного повторного розгортання:

    bash
    # Get machine IDfly machines list # Update commandfly machine update <machine-id> --command "node dist/index.js gateway --port 3000 --bind lan" -y # Or with memory increasefly machine update <machine-id> --vm-memory 2048 --command "node dist/index.js gateway --port 3000 --bind lan" -y

    Примітка: Після fly deploy команда машини може скинутися до того, що вказано у fly.toml. Якщо ви вносили зміни вручну, застосуйте їх знову після розгортання.

    Приватне розгортання (посилене)

    За замовчуванням Fly виділяє публічні IP-адреси, роблячи ваш Gateway доступним за https://your-app.fly.dev. Це зручно, але означає, що ваше розгортання можуть знайти інтернет-сканери (Shodan, Censys тощо).

    Для посиленого розгортання без публічного доступу використовуйте приватний шаблон.

    Коли використовувати приватне розгортання

    • Ви робите лише вихідні виклики/повідомлення (без вхідних Webhook)
    • Ви використовуєте тунелі ngrok або Tailscale для будь-яких callback Webhook
    • Ви отримуєте доступ до Gateway через SSH, проксі або WireGuard замість браузера
    • Ви хочете, щоб розгортання було приховане від інтернет-сканерів

    Налаштування

    Використовуйте deploy/fly.private.toml замість стандартної конфігурації:

    bash
    # Deploy with private configfly deploy -c deploy/fly.private.toml

    Або перетворіть наявне розгортання:

    bash
    # List current IPsfly ips list -a my-openclaw # Release public IPsfly ips release <public-ipv4> -a my-openclawfly ips release <public-ipv6> -a my-openclaw # Switch to private config so future deploys don't re-allocate public IPs# (remove [http_service] or deploy with the private template)fly deploy -c deploy/fly.private.toml # Allocate private-only IPv6fly ips allocate-v6 --private -a my-openclaw

    Після цього fly ips list має показувати лише IP типу private:

    Code
    VERSION  IP                   TYPE             REGIONv6       fdaa:x:x:x:x::x      private          global

    Доступ до приватного розгортання

    Оскільки публічної URL-адреси немає, використовуйте один із цих методів:

    Варіант 1: Локальний проксі (найпростіше)

    bash
    # Forward local port 3000 to the appfly proxy 3000:3000 -a my-openclaw # Then open http://localhost:3000 in browser

    Варіант 2: WireGuard VPN

    bash
    # Створіть конфігурацію WireGuard (одноразово)fly wireguard create # Імпортуйте до клієнта WireGuard, потім отримайте доступ через внутрішній IPv6# Приклад: http://[fdaa:x:x:x:x::x]:3000

    Варіант 3: лише SSH

    bash
    fly ssh console -a my-openclaw

    Webhook із приватним розгортанням

    Якщо вам потрібні зворотні виклики webhook (Twilio, Telnyx тощо) без публічного доступу:

    1. тунель ngrok - запустіть ngrok у контейнері або як sidecar
    2. Tailscale Funnel - відкрийте доступ до певних шляхів через Tailscale
    3. Лише вихідний трафік - деякі провайдери (Twilio) нормально працюють для вихідних викликів без webhook

    Приклад конфігурації голосового виклику з ngrok:

    json5
    {  plugins: {    entries: {      "voice-call": {        enabled: true,        config: {          provider: "twilio",          tunnel: { provider: "ngrok" },          webhookSecurity: {            allowedHosts: ["example.ngrok.app"],          },        },      },    },  },}

    Тунель ngrok працює всередині контейнера й надає публічну URL-адресу webhook без відкриття доступу до самого застосунку Fly. Установіть webhookSecurity.allowedHosts на публічне ім'я хоста тунелю, щоб переслані заголовки host приймалися.

    Переваги безпеки

    Аспект Публічне Приватне
    Інтернет-сканери Видиме Приховане
    Прямі атаки Можливі Заблоковані
    Доступ до Control UI Браузер Проксі/VPN
    Доставка webhook Напряму Через тунель

    Примітки

    • Fly.io використовує архітектуру x86 (не ARM)
    • Dockerfile сумісний з обома архітектурами
    • Для підключення WhatsApp/Telegram використовуйте fly ssh console
    • Постійні дані зберігаються на томі в /data
    • Signal потребує Java + signal-cli; використовуйте власний образ і залишайте пам'ять на рівні 2 ГБ+.

    Вартість

    З рекомендованою конфігурацією (shared-cpu-2x, 2 ГБ RAM):

    • ~$10-15/місяць залежно від використання
    • Безкоштовний рівень містить певний ліміт

    Докладніше див. ціни Fly.io.

    Наступні кроки

    Пов’язане

    Was this useful?
    On this page

    On this page