- Los agentes compartidos por la empresa están bien cuando todos están dentro del mismo límite de confianza y el entorno de ejecución es solo empresarial.
- Mantén una separación estricta: VPS/entorno de ejecución dedicado + cuentas dedicadas; sin perfiles personales de Apple/Google/navegador/gestor de contraseñas en ese host.
- Si los usuarios son adversarios entre sí, sepáralos por gateway/host/usuario del SO.
Qué necesitas
- VPS de Hetzner con acceso root
- Acceso SSH desde tu portátil
- Docker y Docker Compose
- Credenciales de autenticación del modelo
- Credenciales opcionales de proveedores (QR de WhatsApp, token de bot de Telegram, OAuth de Gmail)
- ~20 minutos
Ruta rápida
- Aprovisionar el VPS de Hetzner
- Instalar Docker
- Clonar el repositorio de OpenClaw
- Crear directorios persistentes en el host
- Configurar
.envydocker-compose.yml - Integrar los binarios requeridos en la imagen
docker compose up -d- Verificar la persistencia y el acceso al Gateway
Aprovisionar el VPS
Crea un VPS Ubuntu o Debian en Hetzner y luego conéctate como root:Trata el VPS como infraestructura con estado, no desechable.
Clonar el repositorio de OpenClaw
Crear directorios persistentes en el host
Los contenedores Docker son efímeros; todo el estado de larga duración debe vivir en el host.
Configurar variables de entorno
Crea Define No confirmes este archivo en Git. Contiene variables de entorno del contenedor/entorno de ejecución como
.env en la raíz del repositorio:OPENCLAW_GATEWAY_TOKEN para gestionar el token estable del gateway mediante
.env; de lo contrario, configura gateway.auth.token antes de depender de clientes
entre reinicios. Si no se define ninguno, OpenClaw usa un token solo de entorno de ejecución
para ese arranque. Genera una contraseña de llavero para GOG_KEYRING_PASSWORD:OPENCLAW_GATEWAY_TOKEN. La autenticación OAuth/clave de API almacenada del proveedor vive en el
~/.openclaw/agents/<agentId>/agent/auth-profiles.json montado.Configuración de Docker Compose
Crea o actualiza
docker-compose.yml:--allow-unconfigured es solo para facilitar el arranque inicial, no un sustituto de una configuración real del gateway. Aun así, define autenticación (gateway.auth.token o contraseña) y un modo de enlace seguro para tu despliegue.Pasos compartidos del entorno de ejecución de VM Docker
Sigue la guía compartida del entorno de ejecución para el flujo común de host Docker:
Acceso específico de Hetzner
Después de los pasos compartidos de compilación y lanzamiento, abre el túnel.Requisito previo: asegúrate de que la configuración de sshd de tu VPS permita el reenvío TCP. Si
endureciste tu configuración SSH, revisa Abre
/etc/ssh/sshd_config y define:local permite reenvíos locales ssh -L desde tu portátil mientras bloquea
reenvíos remotos desde el servidor. Establecerlo en no hace que el túnel falle con:
channel 3: open failed: administratively prohibited: open failedTras confirmar que el reenvío TCP está habilitado, reinicia el servicio SSH
(systemctl restart ssh) y ejecuta el túnel desde tu portátil:http://127.0.0.1:18789/ y pega el secreto compartido configurado.
Esta guía usa el token del gateway de forma predeterminada; usa tu contraseña configurada
en su lugar si cambiaste a autenticación por contraseña.Infraestructura como código (Terraform)
Para equipos que prefieren flujos de trabajo de infraestructura como código, una configuración de Terraform mantenida por la comunidad proporciona:- Configuración modular de Terraform con gestión remota de estado
- Aprovisionamiento automatizado mediante cloud-init
- Scripts de despliegue (arranque inicial, despliegue, copia de seguridad/restauración)
- Endurecimiento de seguridad (firewall, UFW, acceso solo por SSH)
- Configuración de túnel SSH para el acceso al gateway
- Infraestructura: openclaw-terraform-hetzner
- Configuración de Docker: openclaw-docker-config
Mantenido por la comunidad. Para problemas o contribuciones, consulta los enlaces de repositorio anteriores.
Próximos pasos
- Configura canales de mensajería: Canales
- Configura el Gateway: Configuración del Gateway
- Mantén OpenClaw actualizado: Actualización