OpenClaw在Hetzner部署方法

在 Hetzner 上运行 OpenClaw（Docker，生产 VPS 指南）

目标

使用 Docker 在 Hetzner VPS 上运行持久的 OpenClaw Gateway 网关，带持久状态、内置二进制文件和安全的重启行为。 如果你想要”约 $5 实现 OpenClaw 24/7”，这是最简单可靠的设置。 Hetzner 定价会变化；选择最小的 Debian/Ubuntu VPS，如果遇到 OOM 再扩容。

我们在做什么（简单说明）？

• 租用一台小型 Linux 服务器（Hetzner VPS）
• 安装 Docker（隔离的应用运行时）
• 在 Docker 中启动 OpenClaw Gateway 网关
• 在主机上持久化~/.openclaw+~/.openclaw/workspace（重启/重建后保留）
• 通过 SSH 隧道从你的笔记本电脑访问控制 UI

Gateway 网关可以通过以下方式访问：

• 从你的笔记本电脑进行 SSH 端口转发
• 如果你自己管理防火墙和令牌，可以直接暴露端口

本指南假设在 Hetzner 上使用 Ubuntu 或 Debian。 如果你使用其他 Linux VPS，请相应地映射软件包。 通用 Docker 流程请参见Docker。

快速路径（有经验的运维人员）

1. 配置 Hetzner VPS
2. 安装 Docker
3. 克隆 OpenClaw 仓库
4. 创建持久化主机目录
5. 配置.env和docker-compose.yml
6. 将所需二进制文件烘焙到镜像中
7. docker compose up -d
8. 验证持久化和 Gateway 网关访问

你需要什么

• 具有 root 访问权限的 Hetzner VPS
• 从你的笔记本电脑进行 SSH 访问
• 基本熟悉 SSH + 复制/粘贴
• 约 20 分钟
• Docker 和 Docker Compose
• 模型认证凭证
• 可选的提供商凭证
• WhatsApp 二维码
• Telegram 机器人令牌
• Gmail OAuth

1) 配置 VPS

在 Hetzner 中创建一个 Ubuntu 或 Debian VPS。 以 root 身份连接：

本指南假设 VPS 是有状态的。 不要将其视为一次性基础设施。

2) 安装 Docker（在 VPS 上）

apt-get update apt-get install -y git curl ca-certificates curl -fsSL https://get.docker.com | sh

验证：

docker --version docker compose version

git clone https://github.com/openclaw/openclaw.git cd openclaw

本指南假设你将构建自定义镜像以保证二进制文件持久化。

4) 创建持久化主机目录

Docker 容器是临时的。 所有长期状态必须存储在主机上。

mkdir -p /root/.openclaw mkdir -p /root/.openclaw/workspace # 将所有权设置为容器用户（uid 1000）： chown -R 1000:1000 /root/.openclaw chown -R 1000:1000 /root/.openclaw/workspace

5) 配置环境变量

在仓库根目录创建.env。

OPENCLAWIMAGE=openclaw:latest OPENCLAWGATEWAYTOKEN=change-me-now OPENCLAWGATEWAYBIND=lan OPENCLAWGATEWAYPORT=18789 OPENCLAWCONFIGDIR=/root/.openclaw OPENCLAWWORKSPACEDIR=/root/.openclaw/workspace GOGKEYRINGPASSWORD=change-me-now XDGCONFIG_HOME=/home/node/.openclaw

生成强密钥：

不要提交此文件。

6) Docker Compose 配置

创建或更新docker-compose.yml。

services: openclaw-gateway: image: ${OPENCLAWIMAGE} build: . restart: unless-stopped envfile: - .env environment: - HOME=/home/node - NODEENV=production - TERM=xterm-256color - OPENCLAWGATEWAYBIND=${OPENCLAWGATEWAYBIND} - OPENCLAWGATEWAYPORT=${OPENCLAWGATEWAYPORT} - OPENCLAWGATEWAYTOKEN=${OPENCLAWGATEWAYTOKEN} - GOGKEYRINGPASSWORD=${GOGKEYRINGPASSWORD} - XDGCONFIGHOME=${XDGCONFIGHOME} - PATH=/home/linuxbrew/.linuxbrew/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin volumes: - ${OPENCLAWCONFIGDIR}:/home/node/.openclaw - ${OPENCLAWWORKSPACEDIR}:/home/node/.openclaw/workspace ports: # 推荐：在 VPS 上保持 Gateway 网关仅限 loopback；通过 SSH 隧道访问。 # 要公开暴露，移除 127.0.0.1: 前缀并相应配置防火墙。 - "127.0.0.1:${OPENCLAWGATEWAYPORT}:18789" # 可选：仅当你对此 VPS 运行 iOS/Android 节点并需要 Canvas 主机时。 # 如果你公开暴露此端口，请阅读 /gateway/security 并相应配置防火墙。 # - "18793:18793" command: [ "node", "dist/index.js", "gateway", "--bind", "${OPENCLAWGATEWAYBIND}", "--port", "${OPENCLAWGATEWAY_PORT}", ]

7) 将所需二进制文件烘焙到镜像中（关键）

在运行中的容器内安装二进制文件是一个陷阱。 任何在运行时安装的东西都会在重启时丢失。 所有 skills 所需的外部二进制文件必须在镜像构建时安装。 以下示例仅展示三个常见二进制文件：

• gog用于 Gmail 访问
• goplaces用于 Google Places
• wacli用于 WhatsApp

这些是示例，不是完整列表。 你可以使用相同的模式安装任意数量的二进制文件。 如果你以后添加依赖额外二进制文件的新 skills，你必须：

1. 更新 Dockerfile
2. 重新构建镜像
3. 重启容器

示例 Dockerfile

FROM node:22-bookworm RUN apt-get update && apt-get install -y socat && rm -rf /var/lib/apt/lists/* # 示例二进制文件 1：Gmail CLI RUN curl -L https://github.com/steipete/gog/releases/latest/download/gogLinuxx8664.tar.gz \ | tar -xz -C /usr/local/bin && chmod +x /usr/local/bin/gog # 示例二进制文件 2：Google Places CLI RUN curl -L https://github.com/steipete/goplaces/releases/latest/download/goplacesLinuxx8664.tar.gz \ | tar -xz -C /usr/local/bin && chmod +x /usr/local/bin/goplaces # 示例二进制文件 3：WhatsApp CLI RUN curl -L https://github.com/steipete/wacli/releases/latest/download/wacliLinuxx8664.tar.gz \ | tar -xz -C /usr/local/bin && chmod +x /usr/local/bin/wacli # 使用相同模式在下方添加更多二进制文件 WORKDIR /app COPY package.json pnpm-lock.yaml pnpm-workspace.yaml .npmrc ./ COPY ui/package.json ./ui/package.json COPY scripts ./scripts RUN corepack enable RUN pnpm install --frozen-lockfile COPY . . RUN pnpm build RUN pnpm ui:install RUN pnpm ui:build ENV NODEENV=production CMD ["node","dist/index.js"]

8) 构建并启动

docker compose build docker compose up -d openclaw-gateway

验证二进制文件：

docker compose exec openclaw-gateway which gog docker compose exec openclaw-gateway which goplaces docker compose exec openclaw-gateway which wacli

预期输出：

/usr/local/bin/gog /usr/local/bin/goplaces /usr/local/bin/wacli

9) 验证 Gateway 网关

docker compose logs -f openclaw-gateway

成功：

[gateway] listening on ws://0.0.0.0:18789

从你的笔记本电脑：

ssh -N -L 18789:127.0.0.1:18789 root@YOURVPSIP

打开：http://127.0.0.1:18789/粘贴你的 Gateway 网关令牌。

持久化位置（事实来源）

OpenClaw 在 Docker 中运行，但 Docker 不是事实来源。 所有长期状态必须在重启、重建和重启后保留。