在 Hetzner 上运行 OpenClaw（Docker，生产 VPS 指南）

目标

在 Hetzner VPS 上使用 Docker 运行持久化 OpenClaw Gateway，带持久状态、预装二进制文件和安全的重启行为。

如果你想”每月约 $5 全天候运行 OpenClaw”，这是最简单靠谱的方案。 Hetzner 价格会变动；选最小的 Debian/Ubuntu VPS，内存不够再扩。

安全模型提醒：

• 公司共享 Agent 没问题，前提是大家在同一个信任边界内，且运行环境仅用于业务。
• 严格分离：专用 VPS/运行时 + 专用账号；不在该主机上使用个人 Apple/Google/浏览器/密码管理器配置文件。
• 如果用户之间互不信任，按网关/主机/系统用户做隔离。

参阅安全和 VPS 托管。

简单来说我们要做什么？

• 租一台小型 Linux 服务器（Hetzner VPS）
• 安装 Docker（隔离的应用运行时）
• 在 Docker 中启动 OpenClaw Gateway
• 在主机上持久化 ~/.openclaw + ~/.openclaw/workspace（重启/重建后不丢数据）
• 通过 SSH 隧道从你的笔记本访问 Control UI

网关可通过以下方式访问：

• 从笔记本做 SSH 端口转发
• 直接暴露端口（如果你自行管理防火墙和 token）

本指南假设在 Hetzner 上使用 Ubuntu 或 Debian。 如果是其他 Linux VPS，自行对应软件包名。 通用 Docker 流程请参阅 Docker。

快速上手（有经验的运维）

1. 开通 Hetzner VPS
2. 安装 Docker
3. 克隆 OpenClaw 仓库
4. 创建持久化主机目录
5. 配置 .env 和 docker-compose.yml
6. 将所需二进制文件写入镜像
7. docker compose up -d
8. 验证持久化和网关访问

前置条件

• Hetzner VPS，有 root 权限
• 笔记本可 SSH 访问
• 基本的 SSH + 复制粘贴操作能力
• 约 20 分钟时间
• Docker 和 Docker Compose
• 模型认证凭据
• 可选的渠道凭据
  • WhatsApp 二维码
  • Telegram bot token
  • Gmail OAuth

1) 开通 VPS

在 Hetzner 创建一台 Ubuntu 或 Debian VPS。

以 root 身份连接：

ssh root@YOUR_VPS_IP

本指南假设 VPS 是有状态的。不要把它当一次性基础设施。

2) 安装 Docker（在 VPS 上）

apt-get update
apt-get install -y git curl ca-certificates
curl -fsSL https://get.docker.com | sh

验证：

docker --version
docker compose version

3) 克隆 OpenClaw 仓库

git clone https://github.com/openclaw/openclaw.git
cd openclaw

本指南假设你会构建自定义镜像以保证二进制文件的持久化。

4) 创建持久化主机目录

Docker 容器是临时性的。所有长期状态都必须放在主机上。

mkdir -p /root/.openclaw/workspace

# 将所有者设为容器用户（uid 1000）：
chown -R 1000:1000 /root/.openclaw

5) 配置环境变量

在仓库根目录创建 .env 文件。

OPENCLAW_IMAGE=openclaw:latest
OPENCLAW_GATEWAY_TOKEN=change-me-now
OPENCLAW_GATEWAY_BIND=lan
OPENCLAW_GATEWAY_PORT=18789

OPENCLAW_CONFIG_DIR=/root/.openclaw
OPENCLAW_WORKSPACE_DIR=/root/.openclaw/workspace

GOG_KEYRING_PASSWORD=change-me-now
XDG_CONFIG_HOME=/home/node/.openclaw

生成强密钥：

openssl rand -hex 32

不要提交此文件。

6) Docker Compose 配置

创建或更新 docker-compose.yml。

services:
  openclaw-gateway:
    image: ${OPENCLAW_IMAGE}
    build: .
    restart: unless-stopped
    env_file:
      - .env
    environment:
      - HOME=/home/node
      - NODE_ENV=production
      - TERM=xterm-256color
      - OPENCLAW_GATEWAY_BIND=${OPENCLAW_GATEWAY_BIND}
      - OPENCLAW_GATEWAY_PORT=${OPENCLAW_GATEWAY_PORT}
      - OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}
      - GOG_KEYRING_PASSWORD=${GOG_KEYRING_PASSWORD}
      - XDG_CONFIG_HOME=${XDG_CONFIG_HOME}
      - PATH=/home/linuxbrew/.linuxbrew/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
    volumes:
      - ${OPENCLAW_CONFIG_DIR}:/home/node/.openclaw
      - ${OPENCLAW_WORKSPACE_DIR}:/home/node/.openclaw/workspace
    ports:
      # 推荐：在 VPS 上保持网关仅回环访问；通过 SSH 隧道访问。
      # 要公开暴露，去掉 `127.0.0.1:` 前缀并做好防火墙配置。
      - "127.0.0.1:${OPENCLAW_GATEWAY_PORT}:18789"
    command:
      [
        "node",
        "dist/index.js",
        "gateway",
        "--bind",
        "${OPENCLAW_GATEWAY_BIND}",
        "--port",
        "${OPENCLAW_GATEWAY_PORT}",
        "--allow-unconfigured",
      ]

--allow-unconfigured 只是为了方便初次引导，不能替代正式的网关配置。仍需设置认证（gateway.auth.token 或密码）并使用安全的绑定设置。

7) 共享 Docker VM 运行时步骤

使用共享运行时指南完成通用 Docker 主机流程：

• 将所需二进制文件写入镜像
• 构建并启动
• 持久化存储说明
• 更新

8) Hetzner 特有的访问方式

完成共享构建和启动步骤后，从笔记本建立隧道：

ssh -N -L 18789:127.0.0.1:18789 root@YOUR_VPS_IP

打开：

http://127.0.0.1:18789/

粘贴你的网关 token。

共享持久化说明位于 Docker VM 运行时。

基础设施即代码（Terraform）

如果团队偏好基础设施即代码的工作流，社区维护的 Terraform 配置提供：

• 模块化 Terraform 配置，带远程状态管理
• 通过 cloud-init 自动化供给
• 部署脚本（引导、部署、备份/恢复）
• 安全加固（防火墙、UFW、仅 SSH 访问）
• 网关访问的 SSH 隧道配置

仓库：

• 基础设施：openclaw-terraform-hetzner
• Docker 配置：openclaw-docker-config

这套方案补充了上述 Docker 部署，提供可复现的部署、版本控制的基础设施和自动化灾难恢复。

注意： 社区维护。问题或贡献请参阅上述仓库链接。