Naar hoofdinhoud gaan

Documentation Index

Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Voer een persistente OpenClaw Gateway uit op de Always Free ARM-laag van Oracle Cloud (tot 4 OCPU, 24 GB RAM, 200 GB opslag) zonder kosten.

Vereisten

Installatie

1

Maak een OCI-instantie aan

  1. Log in op de Oracle Cloud Console.
  2. Ga naar Compute > Instances > Create Instance.
  3. Configureer:
    • Naam: openclaw
    • Image: Ubuntu 24.04 (aarch64)
    • Shape: VM.Standard.A1.Flex (Ampere ARM)
    • OCPU’s: 2 (of tot 4)
    • Geheugen: 12 GB (of tot 24 GB)
    • Bootvolume: 50 GB (tot 200 GB gratis)
    • SSH-sleutel: Voeg je publieke sleutel toe
  4. Klik op Create en noteer het openbare IP-adres.
Als het aanmaken van de instantie mislukt met “Out of capacity”, probeer dan een ander beschikbaarheidsdomein of probeer het later opnieuw. De capaciteit van de gratis laag is beperkt.
2

Maak verbinding en werk het systeem bij

ssh ubuntu@YOUR_PUBLIC_IP

sudo apt update && sudo apt upgrade -y
sudo apt install -y build-essential
build-essential is vereist voor ARM-compilatie van sommige afhankelijkheden.
3

Configureer gebruiker en hostnaam

sudo hostnamectl set-hostname openclaw
sudo passwd ubuntu
sudo loginctl enable-linger ubuntu
Het inschakelen van linger houdt gebruikersservices actief na afmelden.
4

Installeer Tailscale

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --ssh --hostname=openclaw
Maak vanaf nu verbinding via Tailscale: ssh ubuntu@openclaw.
5

Installeer OpenClaw

curl -fsSL https://openclaw.ai/install.sh | bash
source ~/.bashrc
Wanneer je wordt gevraagd “How do you want to hatch your bot?”, selecteer je Do this later.
6

Configureer de Gateway

Gebruik token-authenticatie met Tailscale Serve voor veilige externe toegang.
openclaw config set gateway.bind loopback
openclaw config set gateway.auth.mode token
openclaw doctor --generate-gateway-token
openclaw config set gateway.tailscale.mode serve
openclaw config set gateway.trustedProxies '["127.0.0.1"]'

systemctl --user restart openclaw-gateway.service
gateway.trustedProxies=["127.0.0.1"] is hier alleen bedoeld voor de verwerking van doorgestuurde IP’s/lokale clients door de lokale Tailscale Serve-proxy. Het is niet gateway.auth.mode: "trusted-proxy". Diff-viewerroutes behouden fail-closed gedrag in deze configuratie: ruwe viewerverzoeken naar 127.0.0.1 zonder doorgestuurde proxyheaders kunnen Diff not found retourneren. Gebruik mode=file / mode=both voor bijlagen, of schakel bewust externe viewers in en stel plugins.entries.diffs.config.viewerBaseUrl in (of geef een proxy-baseUrl door) als je deelbare viewerlinks nodig hebt.
7

Vergrendel VCN-beveiliging

Blokkeer al het verkeer behalve Tailscale aan de netwerkrand:
  1. Ga naar Networking > Virtual Cloud Networks in de OCI Console.
  2. Klik op je VCN en daarna op Security Lists > Default Security List.
  3. Verwijder alle ingress-regels behalve 0.0.0.0/0 UDP 41641 (Tailscale).
  4. Behoud de standaard egress-regels (alle uitgaande verbindingen toestaan).
Dit blokkeert SSH op poort 22, HTTP, HTTPS en al het andere aan de netwerkrand. Vanaf dit punt kun je alleen nog via Tailscale verbinding maken.
8

Verifieer

openclaw --version
systemctl --user status openclaw-gateway.service
tailscale serve status
curl http://localhost:18789
Open de Control UI vanaf elk apparaat op je tailnet:
https://openclaw.<tailnet-name>.ts.net/
Vervang <tailnet-name> door je tailnetnaam (zichtbaar in tailscale status).

Verifieer de beveiligingshouding

Met de VCN vergrendeld (alleen UDP 41641 open) en de Gateway gebonden aan loopback, wordt openbaar verkeer aan de netwerkrand geblokkeerd en is beheertoegang alleen via het tailnet mogelijk. Daardoor zijn meerdere traditionele VPS-hardeningstappen niet meer nodig:
Traditionele stapNodig?Waarom
UFW-firewallNeeDe VCN blokkeert verkeer voordat het de instantie bereikt.
fail2banNeePoort 22 is geblokkeerd op de VCN; geen brute-force-oppervlak.
sshd-hardeningNeeTailscale SSH gebruikt geen sshd.
Root-login uitschakelenNeeTailscale authenticeert via tailnetidentiteit, niet via systeemgebruikers.
Alleen SSH-sleutel-authNeeHetzelfde — tailnetidentiteit vervangt systeem-SSH-sleutels.
IPv6-hardeningMeestal nietAfhankelijk van VCN-/subnetinstellingen; verifieer wat werkelijk is toegewezen/blootgesteld.
Nog steeds aanbevolen:
  • chmod 700 ~/.openclaw om machtigingen voor credentialbestanden te beperken.
  • openclaw security audit voor een OpenClaw-specifieke controle van de beveiligingshouding.
  • Regelmatig sudo apt update && sudo apt upgrade voor OS-patches.
  • Controleer periodiek apparaten in de Tailscale-beheerconsole.
Snelle verificatieopdrachten: 
# Confirm no public ports are listening
sudo ss -tlnp | grep -v '127.0.0.1\|::1'

# Verify Tailscale SSH is active
tailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active"

# Optional: disable sshd entirely once Tailscale SSH is confirmed working
sudo systemctl disable --now ssh

ARM-opmerkingen

De Always Free-laag is ARM (aarch64). De meeste OpenClaw-functies werken prima; een klein aantal native binaries heeft ARM-builds nodig:
  • Node.js, Telegram, WhatsApp (Baileys): pure JavaScript, geen problemen.
  • De meeste npm-pakketten met native code: vooraf gebouwde linux-arm64-artefacten beschikbaar.
  • Optionele CLI-helpers (bijv. Go-/Rust-binaries geleverd door Skills): controleer op een aarch64- / linux-arm64-release voordat je ze installeert.
Verifieer de architectuur met uname -m (moet aarch64 afdrukken). Installeer binaries zonder ARM-build vanuit broncode of sla ze over.

Persistentie en back-ups

OpenClaw-status bevindt zich onder:
  • ~/.openclaw/openclaw.json, per-agent auth-profiles.json, kanaal-/providerstatus en sessiegegevens.
  • ~/.openclaw/workspace/ — de agentworkspace (SOUL.md, geheugen, artefacten).
Deze blijven behouden na herstarts. Maak een draagbare snapshot met: 
openclaw backup create

Fallback: SSH-tunnel

Als Tailscale Serve niet werkt, gebruik dan een SSH-tunnel vanaf je lokale machine: 
ssh -L 18789:127.0.0.1:18789 ubuntu@openclaw
Open daarna http://localhost:18789.

Probleemoplossing

Het aanmaken van de instantie mislukt (“Out of capacity”) — Gratis ARM-instanties zijn populair. Probeer een ander beschikbaarheidsdomein of probeer het opnieuw buiten piekuren. Tailscale maakt geen verbinding — Voer sudo tailscale up --ssh --hostname=openclaw --reset uit om opnieuw te authenticeren. Gateway start niet — Voer openclaw doctor --non-interactive uit en controleer logs met journalctl --user -u openclaw-gateway.service -n 50. ARM-binaryproblemen — De meeste npm-pakketten werken op ARM64. Zoek voor native binaries naar linux-arm64- of aarch64-releases. Verifieer de architectuur met uname -m.

Volgende stappen

Gerelateerd