O que você precisa
- flyctl CLI instalado
- Conta Fly.io (o plano gratuito funciona)
- Autenticação de modelo: chave de API para o provedor de modelo escolhido
- Credenciais de canal: token de bot do Discord, token do Telegram, etc.
Caminho rápido para iniciantes
- Clone o repositório → personalize
fly.toml - Crie o app + volume → defina secrets
- Faça deploy com
fly deploy - Entre via SSH para criar a configuração ou use a Control UI
Criar o app Fly
lhr (Londres), iad (Virgínia), sjc (San Jose).Configurar fly.toml
Edite A imagem Docker do OpenClaw usa
fly.toml para corresponder ao nome e aos requisitos do seu app.Nota de segurança: A configuração padrão expõe uma URL pública. Para um deploy reforçado sem IP público, consulte Deploy privado ou use deploy/fly.private.toml.tini como entrypoint. Os comandos de processo do Fly substituem o CMD do Docker sem substituir o ENTRYPOINT, então o processo ainda executa sob tini.Configurações principais:| Configuração | Por quê |
|---|---|
--bind lan | Vincula a 0.0.0.0 para que o proxy do Fly consiga alcançar o Gateway |
--allow-unconfigured | Inicia sem um arquivo de configuração (você criará um depois) |
internal_port = 3000 | Deve corresponder a --port 3000 (ou OPENCLAW_GATEWAY_PORT) para health checks do Fly |
memory = "2048mb" | 512 MB é pouco demais; 2 GB recomendado |
OPENCLAW_STATE_DIR = "/data" | Persiste o estado no volume |
Definir secrets
- Bindings não loopback (
--bind lan) exigem um caminho válido de autenticação do Gateway. Este exemplo do Fly.io usaOPENCLAW_GATEWAY_TOKEN, masgateway.auth.passwordou um deploytrusted-proxynão loopback configurado corretamente também atendem ao requisito. - Trate esses tokens como senhas.
- Prefira variáveis de ambiente ao arquivo de configuração para todas as chaves de API e tokens. Isso mantém secrets fora de
openclaw.json, onde poderiam ser expostos ou registrados acidentalmente.
Fazer deploy
Criar arquivo de configuração
Entre via SSH na máquina para criar uma configuração adequada:Crie o diretório e o arquivo de configuração:Observação: Com
OPENCLAW_STATE_DIR=/data, o caminho da configuração é /data/openclaw.json.Observação: Substitua https://my-openclaw.fly.dev pela origem real do seu app Fly. A inicialização do Gateway semeia origens locais da Control UI a partir dos valores de runtime --bind e --port para que a primeira inicialização possa prosseguir antes de a configuração existir, mas o acesso pelo navegador via Fly ainda precisa da origem HTTPS exata listada em gateway.controlUi.allowedOrigins.Observação: O token do Discord pode vir de:- Variável de ambiente:
DISCORD_BOT_TOKEN(recomendado para secrets) - Arquivo de configuração:
channels.discord.token
DISCORD_BOT_TOKEN automaticamente.Reinicie para aplicar:Solução de problemas
”App is not listening on expected address”
O Gateway está fazendo bind em127.0.0.1 em vez de 0.0.0.0.
Correção: Adicione --bind lan ao comando de processo em fly.toml.
Health checks falhando / conexão recusada
O Fly não consegue alcançar o Gateway na porta configurada. Correção: Garanta queinternal_port corresponda à porta do Gateway (defina --port 3000 ou OPENCLAW_GATEWAY_PORT=3000).
OOM / Problemas de memória
O contêiner continua reiniciando ou sendo encerrado. Sinais:SIGABRT, v8::internal::Runtime_AllocateInYoungGeneration ou reinicializações silenciosas.
Correção: Aumente a memória em fly.toml:
Problemas de lock do Gateway
O Gateway se recusa a iniciar com erros de “already running”. Isso acontece quando o contêiner reinicia, mas o arquivo de lock de PID persiste no volume. Correção: Exclua o arquivo de lock:/data/gateway.*.lock (não em um subdiretório).
Configuração não está sendo lida
--allow-unconfigured apenas ignora a proteção de inicialização. Ele não cria nem repara /data/openclaw.json, então garanta que sua configuração real exista e inclua gateway.mode="local" quando quiser uma inicialização normal do Gateway local.
Verifique se a configuração existe:
Escrevendo configuração via SSH
O comandofly ssh console -C não oferece suporte a redirecionamento de shell. Para escrever um arquivo de configuração:
fly sftp pode falhar se o arquivo já existir. Exclua primeiro:
Estado não persistindo
Se você perder perfis de autenticação, estado de canal/provedor ou sessões após uma reinicialização, o diretório de estado está gravando no sistema de arquivos do contêiner. Correção: Garanta queOPENCLAW_STATE_DIR=/data esteja definido em fly.toml e faça redeploy.
Atualizações
Atualizando o comando da máquina
Se você precisar alterar o comando de inicialização sem um redeploy completo:fly deploy, o comando da máquina pode ser redefinido para o que está em fly.toml. Se você fez alterações manuais, reaplique-as após o deploy.
Deploy privado (reforçado)
Por padrão, o Fly aloca IPs públicos, tornando seu Gateway acessível emhttps://your-app.fly.dev. Isso é conveniente, mas significa que seu deploy pode ser descoberto por scanners da internet (Shodan, Censys, etc.).
Para um deploy reforçado sem nenhuma exposição pública, use o template privado.
Quando usar deploy privado
- Você faz apenas chamadas/mensagens de saída (sem webhooks de entrada)
- Você usa túneis ngrok ou Tailscale para quaisquer callbacks de Webhook
- Você acessa o Gateway via SSH, proxy ou WireGuard em vez do navegador
- Você quer o deploy oculto de scanners da internet
Configuração
Usedeploy/fly.private.toml em vez da configuração padrão:
fly ips list deve mostrar apenas um IP do tipo private:
Acessando um deploy privado
Como não há URL pública, use um destes métodos: Opção 1: Proxy local (mais simples)Webhooks com implantação privada
Se você precisar de callbacks de Webhook (Twilio, Telnyx etc.) sem exposição pública:- Túnel ngrok - Execute o ngrok dentro do contêiner ou como sidecar
- Tailscale Funnel - Exponha caminhos específicos via Tailscale
- Somente saída - Alguns provedores (Twilio) funcionam bem para chamadas de saída sem Webhooks
webhookSecurity.allowedHosts como o nome de host público do túnel para que os cabeçalhos de host encaminhados sejam aceitos.
Benefícios de segurança
| Aspecto | Público | Privado |
|---|---|---|
| Scanners da internet | Detectável | Oculto |
| Ataques diretos | Possíveis | Bloqueados |
| Acesso à UI de controle | Navegador | Proxy/VPN |
| Entrega de Webhook | Direta | Via túnel |
Observações
- O Fly.io usa arquitetura x86 (não ARM)
- O Dockerfile é compatível com ambas as arquiteturas
- Para onboarding do WhatsApp/Telegram, use
fly ssh console - Dados persistentes ficam no volume em
/data - O Signal requer Java + signal-cli; use uma imagem personalizada e mantenha a memória em 2 GB ou mais.
Custo
Com a configuração recomendada (shared-cpu-2x, 2 GB de RAM):
- ~US$ 10-15/mês, dependendo do uso
- O nível gratuito inclui alguma cota
Próximos passos
- Configure canais de mensagens: Canais
- Configure o Gateway: Configuração do Gateway
- Mantenha o OpenClaw atualizado: Atualização