Neden Helm değil?
OpenClaw, bazı yapılandırma dosyalarına sahip tek bir container’dır. Asıl özelleştirme altyapı şablonlamasında değil, agent içeriğindedir (markdown dosyaları, Skills, yapılandırma geçersiz kılmaları). Kustomize, Helm chart ek yükü olmadan overlay’leri yönetir. Dağıtımınız daha karmaşık hale gelirse, bu manifestlerin üzerine bir Helm chart katman olarak eklenebilir.Gerekenler
- Çalışan bir Kubernetes kümesi (AKS, EKS, GKE, k3s, kind, OpenShift vb.)
- Kümenize bağlı
kubectl - En az bir model sağlayıcısı için API anahtarı
Hızlı başlangıç
./scripts/k8s/deploy.sh --show-token, dağıtımdan sonra token’ı yazdırır.
Kind ile yerel test
Bir kümeniz yoksa, Kind ile yerel olarak bir tane oluşturun:./scripts/k8s/deploy.sh ile dağıtın.
Adım adım
1) Dağıt
Seçenek A — Ortamda API anahtarı (tek adım):--show-token kullanın.
2) Gateway’e eriş
Neler dağıtılır?
Özelleştirme
Agent talimatları
scripts/k8s/manifests/configmap.yaml içindeki AGENTS.md dosyasını düzenleyin ve yeniden dağıtın:
Gateway yapılandırması
scripts/k8s/manifests/configmap.yaml içindeki openclaw.json dosyasını düzenleyin. Tam başvuru için Gateway yapılandırması bölümüne bakın.
Sağlayıcı ekleme
Ek anahtarlar dışa aktarılmış şekilde yeniden çalıştırın:Özel namespace
Özel image
scripts/k8s/manifests/deployment.yaml içindeki image alanını düzenleyin:
Port-forward ötesine açma
Varsayılan manifestler, Gateway’i pod içinde loopback’e bağlar. Bu,kubectl port-forward ile çalışır, ancak pod IP’sine ulaşması gereken bir Kubernetes Service veya Ingress yolu ile çalışmaz.
Gateway’i bir Ingress veya yük dengeleyici üzerinden açmak istiyorsanız:
scripts/k8s/manifests/configmap.yamliçindeki Gateway bind değeriniloopbackyerine dağıtım modelinizle eşleşen loopback olmayan bir bind olarak değiştirin- Gateway kimlik doğrulamasını etkin tutun ve doğru TLS sonlandırmalı bir giriş noktası kullanın
- Desteklenen web güvenliği modelini kullanarak Control UI’ı uzak erişim için yapılandırın (örneğin gerektiğinde HTTPS/Tailscale Serve ve açıkça izin verilen origin’ler)
Yeniden dağıtma
Kaldırma
Mimari notları
- Gateway varsayılan olarak pod içinde loopback’e bağlanır, bu nedenle dahil edilen kurulum
kubectl port-forwardiçindir - Küme kapsamlı kaynak yoktur; her şey tek bir namespace içinde bulunur
- Güvenlik:
readOnlyRootFilesystem,drop: ALLyetenekleri, root olmayan kullanıcı (UID 1000) - Varsayılan yapılandırma, Control UI’ı daha güvenli yerel erişim yolunda tutar: loopback bind artı
http://127.0.0.1:18789adresinekubectl port-forward - localhost erişiminin ötesine geçerseniz, desteklenen uzak modeli kullanın: HTTPS/Tailscale artı uygun Gateway bind ve Control UI origin ayarları
- Secret’lar geçici bir dizinde oluşturulur ve doğrudan kümeye uygulanır; repo checkout’a hiçbir secret materyali yazılmaz