Was Sie benötigen
- Installierte flyctl CLI
- Fly.io-Konto (kostenlose Stufe reicht aus)
- Modell-Authentifizierung: API-Schlüssel für Ihren gewählten Modell-Provider
- Kanal-Zugangsdaten: Discord-Bot-Token, Telegram-Token usw.
Schneller Einstieg für Anfänger
- Repository klonen →
fly.tomlanpassen - App + Volume erstellen → Secrets setzen
- Mit
fly deploybereitstellen - Per SSH verbinden, um die Konfiguration zu erstellen, oder Control UI verwenden
Fly-App erstellen
lhr (London), iad (Virginia), sjc (San Jose).fly.toml konfigurieren
Bearbeiten Sie Das OpenClaw-Docker-Image verwendet
fly.toml, damit sie zu Ihrem App-Namen und Ihren Anforderungen passt.Sicherheitshinweis: Die Standardkonfiguration stellt eine öffentliche URL bereit. Für eine gehärtete Bereitstellung ohne öffentliche IP siehe Private Bereitstellung, oder verwenden Sie deploy/fly.private.toml.tini als Entry Point. Fly-Prozessbefehle ersetzen Docker CMD, ohne ENTRYPOINT zu ersetzen, sodass der Prozess weiterhin unter tini läuft.Wichtige Einstellungen:| Einstellung | Warum |
|---|---|
--bind lan | Bindet an 0.0.0.0, damit Flys Proxy das Gateway erreichen kann |
--allow-unconfigured | Startet ohne Konfigurationsdatei (Sie erstellen sie anschließend) |
internal_port = 3000 | Muss für Fly-Healthchecks zu --port 3000 (oder OPENCLAW_GATEWAY_PORT) passen |
memory = "2048mb" | 512 MB sind zu wenig; 2 GB werden empfohlen |
OPENCLAW_STATE_DIR = "/data" | Persistiert den Zustand auf dem Volume |
Secrets setzen
- Nicht-loopback-Bindings (
--bind lan) erfordern einen gültigen Gateway-Authentifizierungspfad. Dieses Fly.io-Beispiel verwendetOPENCLAW_GATEWAY_TOKEN, abergateway.auth.passwordoder eine korrekt konfigurierte Nicht-loopback-trusted-proxy-Bereitstellung erfüllen die Anforderung ebenfalls. - Behandeln Sie diese Token wie Passwörter.
- Bevorzugen Sie Umgebungsvariablen gegenüber der Konfigurationsdatei für alle API-Schlüssel und Token. So bleiben Secrets aus
openclaw.jsonheraus, wo sie versehentlich offengelegt oder protokolliert werden könnten.
Bereitstellen
Konfigurationsdatei erstellen
Verbinden Sie sich per SSH mit der Maschine, um eine geeignete Konfiguration zu erstellen:Erstellen Sie das Konfigurationsverzeichnis und die Datei:Hinweis: Mit
OPENCLAW_STATE_DIR=/data lautet der Konfigurationspfad /data/openclaw.json.Hinweis: Ersetzen Sie https://my-openclaw.fly.dev durch den tatsächlichen Ursprung Ihrer Fly-App. Der Gateway-Start setzt lokale Control-UI-Ursprünge aus den Laufzeitwerten --bind und --port, sodass der erste Start erfolgen kann, bevor die Konfiguration vorhanden ist. Browserzugriff über Fly benötigt aber weiterhin den exakten HTTPS-Ursprung in gateway.controlUi.allowedOrigins.Hinweis: Der Discord-Token kann aus einer der folgenden Quellen kommen:- Umgebungsvariable:
DISCORD_BOT_TOKEN(für Secrets empfohlen) - Konfigurationsdatei:
channels.discord.token
DISCORD_BOT_TOKEN automatisch.Zum Anwenden neu starten:Auf das Gateway zugreifen
Control UI
Im Browser öffnen:https://my-openclaw.fly.dev/ besuchenAuthentifizieren Sie sich mit dem konfigurierten gemeinsamen Secret. Dieser Leitfaden verwendet das Gateway-Token aus OPENCLAW_GATEWAY_TOKEN; wenn Sie zu Passwortauthentifizierung gewechselt haben, verwenden Sie stattdessen dieses Passwort.Logs
SSH-Konsole
Fehlerbehebung
„App lauscht nicht auf der erwarteten Adresse“
Das Gateway bindet an127.0.0.1 statt an 0.0.0.0.
Lösung: Fügen Sie --bind lan zu Ihrem Prozessbefehl in fly.toml hinzu.
Healthchecks schlagen fehl / Verbindung abgelehnt
Fly kann das Gateway auf dem konfigurierten Port nicht erreichen. Lösung: Stellen Sie sicher, dassinternal_port zum Gateway-Port passt (setzen Sie --port 3000 oder OPENCLAW_GATEWAY_PORT=3000).
OOM-/Speicherprobleme
Der Container startet ständig neu oder wird beendet. Anzeichen:SIGABRT, v8::internal::Runtime_AllocateInYoungGeneration oder stille Neustarts.
Lösung: Erhöhen Sie den Speicher in fly.toml:
Gateway-Sperrprobleme
Das Gateway verweigert den Start mit „already running“-Fehlern. Das passiert, wenn der Container neu startet, aber die PID-Sperrdatei auf dem Volume bestehen bleibt. Lösung: Löschen Sie die Sperrdatei:/data/gateway.*.lock (nicht in einem Unterverzeichnis).
Konfiguration wird nicht gelesen
--allow-unconfigured umgeht nur die Startprüfung. Es erstellt oder repariert /data/openclaw.json nicht. Stellen Sie also sicher, dass Ihre echte Konfiguration vorhanden ist und gateway.mode="local" enthält, wenn Sie einen normalen lokalen Gateway-Start wünschen.
Prüfen Sie, ob die Konfiguration vorhanden ist:
Konfiguration per SSH schreiben
Der Befehlfly ssh console -C unterstützt keine Shell-Umleitung. So schreiben Sie eine Konfigurationsdatei:
fly sftp kann fehlschlagen, wenn die Datei bereits vorhanden ist. Löschen Sie sie zuerst:
Zustand wird nicht persistiert
Wenn Sie Authentifizierungsprofile, Kanal-/Provider-Zustand oder Sitzungen nach einem Neustart verlieren, schreibt das Zustandsverzeichnis in das Container-Dateisystem. Lösung: Stellen Sie sicher, dassOPENCLAW_STATE_DIR=/data in fly.toml gesetzt ist, und stellen Sie erneut bereit.
Updates
Maschinenbefehl aktualisieren
Wenn Sie den Startbefehl ohne vollständige erneute Bereitstellung ändern müssen:fly deploy kann der Maschinenbefehl auf den Inhalt von fly.toml zurückgesetzt werden. Wenn Sie manuelle Änderungen vorgenommen haben, wenden Sie sie nach der Bereitstellung erneut an.
Private Bereitstellung (gehärtet)
Standardmäßig weist Fly öffentliche IPs zu, sodass Ihr Gateway unterhttps://your-app.fly.dev erreichbar ist. Das ist praktisch, bedeutet aber, dass Ihre Bereitstellung von Internet-Scannern (Shodan, Censys usw.) gefunden werden kann.
Für eine gehärtete Bereitstellung mit keiner öffentlichen Exponierung verwenden Sie die private Vorlage.
Wann Sie eine private Bereitstellung verwenden sollten
- Sie führen nur ausgehende Aufrufe/Nachrichten aus (keine eingehenden Webhooks)
- Sie verwenden ngrok- oder Tailscale-Tunnel für Webhook-Callbacks
- Sie greifen über SSH, Proxy oder WireGuard statt über den Browser auf das Gateway zu
- Sie möchten, dass die Bereitstellung vor Internet-Scannern verborgen bleibt
Einrichtung
Verwenden Siedeploy/fly.private.toml statt der Standardkonfiguration:
fly ips list nur eine IP vom Typ private anzeigen:
Zugriff auf eine private Bereitstellung
Da es keine öffentliche URL gibt, verwenden Sie eine dieser Methoden: Option 1: Lokaler Proxy (am einfachsten)Webhooks mit privater Bereitstellung
Wenn Sie Webhook-Callbacks (Twilio, Telnyx usw.) ohne öffentliche Exposition benötigen:- ngrok-Tunnel - Führen Sie ngrok im Container oder als Sidecar aus
- Tailscale Funnel - Stellen Sie bestimmte Pfade über Tailscale bereit
- Nur ausgehend - Einige Provider (Twilio) funktionieren für ausgehende Anrufe auch ohne Webhooks problemlos
webhookSecurity.allowedHosts auf den öffentlichen Tunnel-Hostnamen, damit weitergeleitete Host-Header akzeptiert werden.
Sicherheitsvorteile
| Aspekt | Öffentlich | Privat |
|---|---|---|
| Internet-Scanner | Auffindbar | Verborgen |
| Direkte Angriffe | Möglich | Blockiert |
| Zugriff auf Steuerungs-UI | Browser | Proxy/VPN |
| Webhook-Zustellung | Direkt | Über Tunnel |
Hinweise
- Fly.io verwendet x86-Architektur (nicht ARM)
- Das Dockerfile ist mit beiden Architekturen kompatibel
- Verwenden Sie für das Onboarding von WhatsApp/Telegram
fly ssh console - Persistente Daten liegen auf dem Volume unter
/data - Signal erfordert Java + signal-cli; verwenden Sie ein eigenes Image und belassen Sie den Arbeitsspeicher bei mindestens 2 GB.
Kosten
Mit der empfohlenen Konfiguration (shared-cpu-2x, 2 GB RAM):
- ca. 10-15 USD/Monat, abhängig von der Nutzung
- Das kostenlose Kontingent enthält eine gewisse Freimenge
Nächste Schritte
- Messaging-Kanäle einrichten: Kanäle
- Gateway konfigurieren: Gateway-Konfiguration
- OpenClaw aktuell halten: Aktualisierung