Oracle Cloud(OCI)上的 OpenClaw
目标
在 Oracle Cloud 的 Always Free ARM 层级上运行一个持久化的 OpenClaw Gateway 网关。 Oracle 的免费层级可能非常适合 OpenClaw(尤其是如果你已经有 OCI 账号),但它也有一些权衡:- ARM 架构(大多数东西都能运行,但某些二进制文件可能仅支持 x86)
- 容量和注册流程可能不太稳定
费用对比(2026)
| Provider | 套餐 | 规格 | 价格/月 | 说明 |
|---|---|---|---|---|
| Oracle Cloud | Always Free ARM | 最多 4 OCPU,24 GB RAM | $0 | ARM,容量有限 |
| Hetzner | CX22 | 2 vCPU,4 GB RAM | ~ $4 | 最便宜的付费选项 |
| DigitalOcean | Basic | 1 vCPU,1 GB RAM | $6 | UI 简单,文档完善 |
| Vultr | Cloud Compute | 1 vCPU,1 GB RAM | $6 | 机房位置多 |
| Linode | Nanode | 1 vCPU,1 GB RAM | $5 | 现已属于 Akamai |
前提条件
- Oracle Cloud 账号(注册)——如果遇到问题,请参见社区注册指南
- Tailscale 账号(可在 tailscale.com 免费注册)
- 大约 30 分钟
1)创建 OCI 实例
- 登录 Oracle Cloud Console
- 前往 Compute → Instances → Create Instance
- 配置:
- Name:
openclaw - Image: Ubuntu 24.04(aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2(或最多 4)
- Memory: 12 GB(或最多 24 GB)
- Boot volume: 50 GB(最多 200 GB 免费)
- SSH key: 添加你的公钥
- Name:
- 点击 Create
- 记下公网 IP 地址
2)连接并更新
build-essential 是某些依赖在 ARM 上编译所必需的。
3)配置用户和主机名
4)安装 Tailscale
ssh openclaw 连接——不再需要公网 IP。
验证:
ssh ubuntu@openclaw(或使用 Tailscale IP)。
5)安装 OpenClaw
注意:如果你遇到 ARM 原生构建问题,请先安装系统包(例如 sudo apt install -y build-essential),再考虑使用 Homebrew。
6)配置 Gateway 网关(loopback + token auth)并启用 Tailscale Serve
默认使用 token 认证。这样更可预测,也无需任何 “insecure auth” Control UI 标志。gateway.trustedProxies=["127.0.0.1"] 仅用于本地 Tailscale Serve 代理的 forwarded-IP/local-client 处理。它不是 gateway.auth.mode: "trusted-proxy"。在这种设置下,Diffs 查看器路由会保持故障关闭行为:如果原始 127.0.0.1 查看器请求没有转发代理头,则可能返回 Diff not found。对于附件,请使用 mode=file / mode=both;如果你需要可分享的查看器链接,请有意启用远程查看器,并设置 plugins.entries.diffs.config.viewerBaseUrl(或传入代理 baseUrl)。
7)验证
8)收紧 VCN 安全策略
现在一切已正常运行,请收紧 VCN,仅允许 Tailscale 流量。OCI 的 Virtual Cloud Network 会在网络边界充当防火墙——流量会在到达你的实例之前被阻止。- 在 OCI Console 中前往 Networking → Virtual Cloud Networks
- 点击你的 VCN → Security Lists → Default Security List
- 删除除以下规则外的所有入站规则:
0.0.0.0/0 UDP 41641(Tailscale)
- 保留默认出站规则(允许所有出站流量)
访问 Control UI
从你的 Tailscale 网络中的任意设备访问:<tailnet-name> 替换为你的 tailnet 名称(可在 tailscale status 中看到)。
无需 SSH 隧道。Tailscale 提供:
- HTTPS 加密(自动证书)
- 基于 Tailscale 身份的认证
- 从 tailnet 中任意设备访问(笔记本、手机等)
安全:VCN + Tailscale(推荐基线)
当 VCN 已收紧(仅开放 UDP 41641)且 Gateway 网关绑定到 loopback 时,你将获得强大的纵深防御:公网流量会在网络边界被阻止,而管理访问则通过你的 tailnet 完成。 这种设置通常让你无需再额外配置基于主机的防火墙规则来阻止来自互联网的大范围 SSH 暴力破解——但你仍应保持操作系统更新、运行openclaw security audit,并确认你没有意外监听在公网接口上。
已经受到保护
| 传统步骤 | 是否需要 | 原因 |
|---|---|---|
| UFW firewall | 否 | VCN 会在流量到达实例前进行阻止 |
| fail2ban | 否 | 如果 VCN 已阻止 22 端口,就不存在暴力破解 |
| sshd hardening | 否 | Tailscale SSH 不使用 sshd |
| Disable root login | 否 | Tailscale 使用的是 Tailscale 身份,而不是系统用户 |
| SSH key-only auth | 否 | Tailscale 会通过你的 tailnet 完成认证 |
| IPv6 hardening | 通常不需要 | 取决于你的 VCN/子网设置;请验证实际分配和暴露了哪些内容 |
仍然推荐
- 凭证权限:
chmod 700 ~/.openclaw - 安全审计:
openclaw security audit - 系统更新: 定期运行
sudo apt update && sudo apt upgrade - 监控 Tailscale: 在 Tailscale 管理控制台 中检查设备
验证安全态势
备用方案:SSH 隧道
如果 Tailscale Serve 无法正常工作,请使用 SSH 隧道:http://localhost:18789。
故障排除
实例创建失败(“Out of capacity”)
免费层级 ARM 实例很抢手。请尝试:- 更换可用性域
- 在低峰时段重试(清晨)
- 选择实例规格时使用 “Always Free” 过滤器
Tailscale 无法连接
Gateway 网关无法启动
无法访问 Control UI
ARM 二进制问题
某些工具可能没有 ARM 构建版本。请检查:linux-arm64 或 aarch64 版本。
持久化
所有状态都保存在:~/.openclaw/—openclaw.json、每个智能体的auth-profiles.json、渠道/提供商状态以及会话数据~/.openclaw/workspace/— 工作区(SOUL.md、memory、artifacts)
另请参见
- Gateway 远程访问 — 其他远程访问模式
- Tailscale 集成 — 完整 Tailscale 文档
- Gateway 网关配置 — 所有配置选项
- DigitalOcean 指南 — 如果你希望使用付费方案 + 更简单的注册流程
- Hetzner 指南 — 基于 Docker 的替代方案