필요한 것
- flyctl CLI 설치
- Fly.io 계정(무료 티어 사용 가능)
- 모델 인증: 선택한 모델 제공자의 API 키
- 채널 자격 증명: Discord 봇 토큰, Telegram 토큰 등
초보자 빠른 경로
- 저장소 클론 →
fly.toml사용자 지정 - 앱 + 볼륨 생성 → 시크릿 설정
fly deploy로 배포- SSH로 접속해 설정을 만들거나 Control UI 사용
fly.toml 구성
앱 이름과 요구 사항에 맞게 OpenClaw Docker 이미지는
fly.toml을 편집하세요.보안 참고: 기본 설정은 공개 URL을 노출합니다. 공개 IP가 없는 강화된 배포는 비공개 배포를 보거나 deploy/fly.private.toml을 사용하세요.tini를 엔트리포인트로 사용합니다. Fly 프로세스 명령은 Docker ENTRYPOINT를 바꾸지 않고 CMD만 대체하므로, 프로세스는 여전히 tini 아래에서 실행됩니다.핵심 설정:| 설정 | 이유 |
|---|---|
--bind lan | Fly의 프록시가 Gateway에 도달할 수 있도록 0.0.0.0에 바인딩합니다 |
--allow-unconfigured | 설정 파일 없이 시작합니다(나중에 만들 예정) |
internal_port = 3000 | Fly 상태 확인을 위해 --port 3000(또는 OPENCLAW_GATEWAY_PORT)과 일치해야 합니다 |
memory = "2048mb" | 512MB는 너무 작으며, 2GB를 권장합니다 |
OPENCLAW_STATE_DIR = "/data" | 볼륨에 상태를 영구 저장합니다 |
시크릿 설정
- 비루프백 바인드(
--bind lan)에는 유효한 Gateway 인증 경로가 필요합니다. 이 Fly.io 예시는OPENCLAW_GATEWAY_TOKEN을 사용하지만,gateway.auth.password또는 올바르게 구성된 비루프백trusted-proxy배포도 요구 사항을 충족합니다. - 이러한 토큰은 비밀번호처럼 취급하세요.
- 모든 API 키와 토큰에는 설정 파일보다 환경 변수를 권장합니다. 이렇게 하면 시크릿이 실수로 노출되거나 로그에 기록될 수 있는
openclaw.json밖에 유지됩니다.
설정 파일 생성
머신에 SSH로 접속해 적절한 설정을 만드세요.설정 디렉터리와 파일을 만드세요.참고:
OPENCLAW_STATE_DIR=/data를 사용하면 설정 경로는 /data/openclaw.json입니다.참고: https://my-openclaw.fly.dev를 실제 Fly 앱
origin으로 바꾸세요. Gateway 시작 시 런타임 --bind 및 --port
값에서 로컬 Control UI origin을 시드하므로 설정이 없더라도 첫 부팅은
진행될 수 있지만, Fly를 통한 브라우저 접근에는
gateway.controlUi.allowedOrigins에 정확한 HTTPS origin이 여전히 필요합니다.참고: Discord 토큰은 다음 중 하나에서 가져올 수 있습니다.- 환경 변수:
DISCORD_BOT_TOKEN(시크릿에 권장) - 설정 파일:
channels.discord.token
DISCORD_BOT_TOKEN을 자동으로 읽습니다.적용하려면 재시작하세요.문제 해결
”앱이 예상 주소에서 수신 대기하지 않음”
Gateway가0.0.0.0 대신 127.0.0.1에 바인딩하고 있습니다.
해결: fly.toml의 프로세스 명령에 --bind lan을 추가하세요.
상태 확인 실패 / 연결 거부
Fly가 구성된 포트에서 Gateway에 도달할 수 없습니다. 해결:internal_port가 Gateway 포트와 일치하는지 확인하세요(--port 3000 또는 OPENCLAW_GATEWAY_PORT=3000 설정).
OOM / 메모리 문제
컨테이너가 계속 재시작되거나 종료됩니다. 징후:SIGABRT, v8::internal::Runtime_AllocateInYoungGeneration 또는 조용한 재시작.
해결: fly.toml에서 메모리를 늘리세요.
Gateway 잠금 문제
Gateway가 “already running” 오류와 함께 시작을 거부합니다. 컨테이너가 재시작되었지만 PID 잠금 파일이 볼륨에 남아 있을 때 발생합니다. 해결: 잠금 파일을 삭제하세요./data/gateway.*.lock에 있습니다.
설정을 읽지 못함
--allow-unconfigured는 시작 가드만 우회합니다. /data/openclaw.json을 만들거나 복구하지 않으므로, 일반적인 로컬 Gateway 시작을 원할 때 실제 설정이 존재하고 gateway.mode="local"을 포함하는지 확인하세요.
설정이 있는지 확인하세요.
SSH로 설정 쓰기
fly ssh console -C 명령은 셸 리디렉션을 지원하지 않습니다. 설정 파일을 쓰려면:
fly sftp가 실패할 수 있습니다. 먼저 삭제하세요.
상태가 영구 저장되지 않음
재시작 후 인증 프로필, 채널/제공자 상태 또는 세션이 사라진다면 상태 디렉터리가 컨테이너 파일시스템에 쓰이고 있는 것입니다. 해결:fly.toml에 OPENCLAW_STATE_DIR=/data가 설정되어 있는지 확인하고 다시 배포하세요.
업데이트
머신 명령 업데이트
전체 재배포 없이 시작 명령을 변경해야 하는 경우:fly deploy 후에는 머신 명령이 fly.toml의 내용으로 재설정될 수 있습니다. 수동 변경을 했다면 배포 후 다시 적용하세요.
비공개 배포(강화)
기본적으로 Fly는 공개 IP를 할당하여 Gateway를https://your-app.fly.dev에서 접근할 수 있게 합니다. 이는 편리하지만 배포가 인터넷 스캐너(Shodan, Censys 등)에 발견될 수 있음을 의미합니다.
공개 노출이 없는 강화된 배포에는 비공개 템플릿을 사용하세요.
비공개 배포를 사용할 때
- 아웃바운드 호출/메시지만 보냅니다(인바운드 Webhook 없음)
- Webhook 콜백에 ngrok 또는 Tailscale 터널을 사용합니다
- 브라우저 대신 SSH, 프록시 또는 WireGuard로 Gateway에 접근합니다
- 배포를 인터넷 스캐너로부터 숨기고 싶습니다
설정
표준 설정 대신deploy/fly.private.toml을 사용하세요.
fly ips list에는 private 유형 IP만 표시되어야 합니다.
비공개 배포 접근
공개 URL이 없으므로 다음 방법 중 하나를 사용하세요. 옵션 1: 로컬 프록시(가장 간단함)비공개 배포에서 Webhook 사용
공개 노출 없이 Webhook 콜백(Twilio, Telnyx 등)이 필요한 경우:- ngrok 터널 - 컨테이너 내부 또는 사이드카로 ngrok 실행
- Tailscale Funnel - Tailscale을 통해 특정 경로 노출
- 아웃바운드 전용 - 일부 제공업체(Twilio)는 Webhook 없이도 아웃바운드 호출이 정상 작동합니다
webhookSecurity.allowedHosts를 공개 터널 호스트 이름으로 설정하세요.
보안 이점
| 측면 | 공개 | 비공개 |
|---|---|---|
| 인터넷 스캐너 | 발견 가능 | 숨김 |
| 직접 공격 | 가능 | 차단됨 |
| Control UI 액세스 | 브라우저 | 프록시/VPN |
| Webhook 전달 | 직접 | 터널 경유 |
참고
- Fly.io는 x86 아키텍처를 사용합니다(ARM 아님)
- Dockerfile은 두 아키텍처 모두와 호환됩니다
- WhatsApp/Telegram 온보딩에는
fly ssh console을 사용하세요 - 영구 데이터는
/data의 볼륨에 저장됩니다 - Signal에는 Java + signal-cli가 필요합니다. 사용자 지정 이미지를 사용하고 메모리는 2GB 이상으로 유지하세요.
비용
권장 설정(shared-cpu-2x, 2GB RAM)을 사용하는 경우:
- 사용량에 따라 월 약 $10-15
- 무료 티어에는 일부 허용량이 포함됩니다
다음 단계
- 메시징 채널 설정: 채널
- Gateway 설정: Gateway 설정
- OpenClaw를 최신 상태로 유지: 업데이트