必要なもの
- flyctl CLI がインストール済み
- Fly.io アカウント(無料枠で可)
- モデル認証: 選択したモデルプロバイダーの API キー
- チャネル認証情報: Discord bot token、Telegram token など
初心者向けクイック手順
- リポジトリをクローンし、
fly.tomlをカスタマイズする - アプリとボリュームを作成し、シークレットを設定する
fly deployでデプロイする- SSH で入って設定を作成するか、Control UI を使用する
fly.toml を設定する
アプリ名と要件に合わせて OpenClaw Docker イメージのエントリポイントは
fly.toml を編集する。リポジトリで管理されている fly.toml は下記の公開テンプレートで、deploy/fly.private.toml は強化済みのパブリック IP なしバリアント(プライベートデプロイ を参照)。tini で、デフォルトでは node openclaw.mjs gateway を実行する。Fly の [processes] は Docker の CMD を置き換える(ここでは同じコンパイル済みエントリポイントである node dist/index.js gateway ... を直接実行する)が、ENTRYPOINT には触れないため、プロセスは引き続き tini 配下で実行される。主要設定:| 設定 | 理由 |
|---|---|
--bind lan | Fly のプロキシが Gateway に到達できるように 0.0.0.0 にバインドする |
--allow-unconfigured | 設定ファイルなしで起動する(後で作成する) |
internal_port = 3000 | Fly のヘルスチェックのために --port 3000(または OPENCLAW_GATEWAY_PORT)と一致している必要がある |
memory = "2048mb" | 512MB は小さすぎるため、2GB を推奨 |
OPENCLAW_STATE_DIR = "/data" | ボリューム上に状態を永続化する |
シークレットを設定する
--bind lan)には、有効な Gateway 認証パスが必要。この例では OPENCLAW_GATEWAY_TOKEN を使用するが、gateway.auth.password または正しく設定された非ループバックの信頼済みプロキシデプロイでも要件を満たす。SecretRef コントラクトについては シークレット管理 を参照。これらのトークンはパスワードのように扱う。API キーとトークンは、シークレットが openclaw.json に入らないように、設定ファイルではなく env vars/fly secrets を優先する。デプロイする
gateway ready が出力される。Fly 独自のヘルスチェックは fly.toml に従って internal_port = 3000 を監視する。さらに、イメージの Docker HEALTHCHECK ディレクティブはデフォルトポート 18789 の /healthz をポーリングするが、このデプロイでは Gateway を --port 3000 に上書きしているため使用されない。設定ファイルを作成する
マシンに SSH で入り、適切な設定を作成する:
OPENCLAW_STATE_DIR=/data の場合、設定パスは /data/openclaw.json。https://my-openclaw.fly.dev を実際の Fly アプリのオリジンに置き換える。Gateway 起動時には、設定が存在する前の初回起動を進められるように、ランタイムの --bind と --port 値からローカル Control UI オリジンがシードされる。ただし、Fly 経由でブラウザアクセスするには、正確な HTTPS オリジンを gateway.controlUi.allowedOrigins に列挙する必要がある。Discord トークンは次のいずれかから取得できる:- 環境変数
DISCORD_BOT_TOKEN(シークレットには推奨)。設定に追加する必要はなく、Gateway が自動的に読み取る - 設定ファイル
channels.discord.token
トラブルシューティング
「App is not listening on expected address」
Gateway が0.0.0.0 ではなく 127.0.0.1 にバインドしている。
修正: fly.toml のプロセスコマンドに --bind lan を追加する。
ヘルスチェック失敗 / connection refused
Fly が設定済みポートで Gateway に到達できない。 修正:internal_port が Gateway ポート(--port 3000 または OPENCLAW_GATEWAY_PORT=3000)と一致していることを確認する。
OOM / メモリ問題
コンテナが再起動し続ける、または kill される。兆候:SIGABRT、v8::internal::Runtime_AllocateInYoungGeneration、または無言の再起動。
修正: fly.toml でメモリを増やす:
Gateway ロックの問題
コンテナ再起動後に「already running」エラーで Gateway が起動を拒否する。 シングルインスタンスロックファイルは、永続/data ボリューム上ではなく <tmpdir>/openclaw-<uid>/gateway.<hash>.lock(Linux: /tmp/openclaw-<uid>/gateway.<hash>.lock)にあるため、通常は完全なコンテナ再起動でコンテナファイルシステムの残りと一緒に消える。ロックが残り(たとえばコンテナファイルシステムを保持する fly machine restart)、起動を妨げる場合は手動で削除する:
設定が読み取られない
--allow-unconfigured は起動ガードを迂回するだけで、/data/openclaw.json を作成または修復しない。そのため、実際の設定が存在し、通常のローカル Gateway 起動のために "gateway": { "mode": "local" } が含まれていることを確認する。
設定が存在することを確認する:
SSH 経由で設定を書き込む
fly ssh console -C はシェルリダイレクトをサポートしない。設定ファイルを書き込むには:
fly sftp はファイルがすでに存在する場合に失敗することがある。先に削除する:
状態が永続化されない
再起動後に認証プロファイル、チャネル/プロバイダー状態、またはセッションが失われる場合、状態ディレクトリがボリュームではなくコンテナファイルシステムに書き込まれている。 修正:fly.toml に OPENCLAW_STATE_DIR=/data が設定されていることを確認し、再デプロイする。
更新
git pull + fly deploy が管理された手順になる。Dockerfile からイメージを再ビルドするため、CLI/Gateway バージョン、ベース OS イメージ、Dockerfile の変更がすべて一緒に更新される。実行中のコンテナ内での openclaw update は同じ操作ではない。イメージは Docker ビルド済みの dist/ ツリーとして出荷され、検出対象となる .git チェックアウトも npm 管理のグローバルインストールも含まないため。VM スタイルのインストールでのそのフローについては 更新 を参照。
マシンコマンドを更新する
完全な再デプロイなしで起動コマンドを変更するには:fly deploy すると、マシンコマンドは fly.toml にある内容へ戻る。再デプロイ後に手動変更を再適用する。
プライベートデプロイ(強化済み)
デフォルトでは、Fly はパブリック IP を割り当てるため、Gateway はhttps://your-app.fly.dev で到達可能になり、インターネットスキャナー(Shodan、Censys など)から発見可能になる。
パブリック IP なし の強化済みデプロイには deploy/fly.private.toml を使用する。これは [http_service] を省略するため、パブリック ingress は割り当てられない。
プライベートデプロイを使用する場合
- アウトバウンドの呼び出し/メッセージのみ(インバウンド Webhook なし)
- ngrok または Tailscale トンネルが Webhook コールバックを処理する
- Gateway アクセスはブラウザではなく SSH、プロキシ、または WireGuard 経由
- デプロイをインターネットスキャナーから隠したい
セットアップ
fly ips list には private 型の IP だけが表示されるはずです。
プライベートデプロイへのアクセス
オプション 1: ローカルプロキシ(最も簡単)プライベートデプロイでの Webhook
公開せずに Webhook コールバック(Twilio、Telnyx など)を使う場合:- ngrok トンネル: コンテナ内、またはサイドカーとして ngrok を実行する
- Tailscale Funnel: Tailscale 経由で特定のパスを公開する
- アウトバウンドのみ: 一部のプロバイダー(Twilio)は Webhook なしでアウトバウンド通話に対応します
plugins.entries.voice-call.config 配下の ngrok を使った音声通話設定例:
webhookSecurity.allowedHosts をトンネルのホスト名に設定してください。
セキュリティ上のトレードオフ
| 観点 | 公開 | プライベート |
|---|---|---|
| インターネットスキャナー | 発見可能 | 非表示 |
| 直接攻撃 | 可能 | ブロック |
| Control UI アクセス | ブラウザー | プロキシ/VPN |
| Webhook 配信 | 直接 | トンネル経由 |
メモ
- Fly.io は x86 アーキテクチャを使用します。この Dockerfile は x86 と ARM の両方に対応しています。
- WhatsApp/Telegram のオンボーディングには、
fly ssh consoleを使用します。 - 永続データは
/dataのボリューム上にあります。 - Signal にはイメージ上に signal-cli(Java ベースの CLI)が必要です。カスタムイメージを使用し、メモリは 2GB 以上を維持してください。
コスト
推奨設定(shared-cpu-2x、2GB RAM)では、使用量にもよりますが月額およそ $10-15 を想定してください。無料枠には一部のベースライン枠が含まれます。現在の料金は Fly.io の料金 を参照してください。
次のステップ
- メッセージングチャネルを設定する: チャネル
- Gateway を設定する: Gateway 設定
- OpenClaw を最新の状態に保つ: 更新