- 会社共有のエージェントは、全員が同じ信頼境界内にいて、ランタイムが業務専用であれば問題ありません。
- 厳密に分離してください: 専用 VPS/ランタイム + 専用アカウントを使い、そのホスト上に個人用の Apple/Google/ブラウザ/パスワードマネージャーのプロファイルを置かないでください。
- ユーザー同士が敵対的である場合は、gateway/ホスト/OS ユーザー単位で分離してください。
必要なもの
- root アクセス権を持つ Hetzner VPS
- ノート PC からの SSH アクセス
- Docker と Docker Compose
- モデル認証情報
- 任意のプロバイダー認証情報 (WhatsApp QR、Telegram bot token、Gmail OAuth)
- 約 20 分
最短手順
- Hetzner VPS をプロビジョニングする
- Docker をインストールする
- OpenClaw リポジトリをクローンする
- 永続的なホストディレクトリを作成する
.envとdocker-compose.ymlを設定する- 必要なバイナリをイメージに組み込む
docker compose up -d- 永続化と Gateway アクセスを確認する
VPS をプロビジョニングする
Hetzner で Ubuntu または Debian の VPS を作成し、root として接続します:VPS は使い捨てインフラではなく、状態を持つものとして扱ってください。
環境変数を設定する
リポジトリルートに このファイルをコミットしないでください。 これには
.env を作成します:OPENCLAW_GATEWAY_TOKEN を設定すると、安定した gateway token を
.env で管理できます。そうしない場合は、再起動をまたいでクライアントに依存する前に
gateway.auth.token を設定してください。どちらも設定されていない場合、OpenClaw は
その起動時だけ有効なランタイム専用トークンを使用します。GOG_KEYRING_PASSWORD 用の keyring password を生成します:OPENCLAW_GATEWAY_TOKEN などのコンテナ/ランタイム env が含まれます。保存済みの provider OAuth/API-key auth は、マウントされた
~/.openclaw/agents/<agentId>/agent/auth-profiles.json にあります。Docker Compose 設定
docker-compose.yml を作成または更新します:--allow-unconfigured はブートストラップを便利にするためだけのものであり、実際の gateway 設定の代わりにはなりません。デプロイに合わせて auth (gateway.auth.token または password) と安全な bind mode を必ず設定してください。共有 Docker VM ランタイム手順
一般的な Docker ホストフローについては、共有ランタイムガイドに従ってください:
Hetzner 固有のアクセス
共有のビルドと起動の手順が終わったら、トンネルを開きます。前提条件: VPS の sshd 設定で TCP forwarding が許可されていることを確認してください。
SSH 設定を強化している場合は、
/etc/ssh/sshd_config を確認し、次のように設定します:local は、サーバーからのリモートフォワードをブロックしつつ、ノート PC からの ssh -L ローカルフォワードを許可します。no に設定すると、トンネルは次のエラーで失敗します:
channel 3: open failed: administratively prohibited: open failedTCP forwarding が有効であることを確認したら、SSH サービスを再起動し
(systemctl restart ssh)、ノート PC からトンネルを実行します:http://127.0.0.1:18789/ を開き、設定した共有シークレットを貼り付けます。
このガイドではデフォルトで gateway token を使用します。password auth に切り替えた場合は、代わりに設定済みのパスワードを使用してください。Infrastructure as Code (Terraform)
infrastructure-as-code ワークフローを好むチーム向けに、コミュニティ管理の Terraform セットアップでは次を提供しています:- リモート状態管理を備えたモジュール式 Terraform 設定
- cloud-init による自動プロビジョニング
- デプロイスクリプト (bootstrap、deploy、backup/restore)
- セキュリティ強化 (firewall、UFW、SSH-only access)
- gateway アクセス用の SSH トンネル設定
- インフラストラクチャ: openclaw-terraform-hetzner
- Docker 設定: openclaw-docker-config
コミュニティ管理です。問題や貢献については、上記のリポジトリリンクを参照してください。
次のステップ
- メッセージングチャネルを設定する: チャネル
- Gateway を設定する: Gateway 設定
- OpenClaw を最新に保つ: 更新