Що потрібно
- Установлений flyctl CLI
- Обліковий запис Fly.io (безплатного рівня достатньо)
- Автентифікація моделі: API-ключ для вибраного постачальника моделі
- Облікові дані каналу: токен бота Discord, токен Telegram тощо.
Швидкий шлях для початківців
- Клонуйте репозиторій → налаштуйте
fly.toml - Створіть застосунок і том → задайте секрети
- Розгорніть за допомогою
fly deploy - Увійдіть через SSH, щоб створити конфігурацію, або скористайтеся Control UI
Створіть застосунок Fly
lhr (Лондон), iad (Вірджинія), sjc (Сан-Хосе).Налаштуйте fly.toml
Відредагуйте Docker-образ OpenClaw використовує
fly.toml, щоб він відповідав назві вашого застосунку та вимогам.Примітка щодо безпеки: Типова конфігурація відкриває публічну URL-адресу. Для посиленого розгортання без публічної IP-адреси див. Приватне розгортання або використовуйте deploy/fly.private.toml.tini як свою точку входу. Команди процесів Fly замінюють Docker CMD, не замінюючи ENTRYPOINT, тому процес усе ще працює під tini.Ключові параметри:| Параметр | Навіщо |
|---|---|
--bind lan | Прив’язує до 0.0.0.0, щоб проксі Fly міг досягти Gateway |
--allow-unconfigured | Запускає без файлу конфігурації (ви створите його пізніше) |
internal_port = 3000 | Має відповідати --port 3000 (або OPENCLAW_GATEWAY_PORT) для перевірок працездатності Fly |
memory = "2048mb" | 512 МБ замало; рекомендовано 2 ГБ |
OPENCLAW_STATE_DIR = "/data" | Зберігає стан на томі |
Задайте секрети
- Прив’язки не до loopback (
--bind lan) потребують чинного шляху автентифікації Gateway. Цей приклад Fly.io використовуєOPENCLAW_GATEWAY_TOKEN, алеgateway.auth.passwordабо правильно налаштоване розгортання не-loopbacktrusted-proxyтакож задовольняють вимогу. - Поводьтеся з цими токенами як із паролями.
- Надавайте перевагу змінним середовища замість файлу конфігурації для всіх API-ключів і токенів. Так секрети не потраплять до
openclaw.json, де їх можна випадково розкрити або записати в журнали.
Розгорніть
Створіть файл конфігурації
Увійдіть на машину через SSH, щоб створити правильну конфігурацію:Створіть каталог і файл конфігурації:Примітка: З
OPENCLAW_STATE_DIR=/data шлях до конфігурації — /data/openclaw.json.Примітка: Замініть https://my-openclaw.fly.dev на справжнє походження
вашого застосунку Fly. Під час запуску Gateway початково додає локальні походження Control UI з runtime-значень
--bind і --port, щоб перше завантаження могло пройти ще до появи конфігурації,
але доступ через браузер через Fly усе одно потребує точного HTTPS-походження, указаного в
gateway.controlUi.allowedOrigins.Примітка: Токен Discord може надходити з будь-якого з цих місць:- Змінна середовища:
DISCORD_BOT_TOKEN(рекомендовано для секретів) - Файл конфігурації:
channels.discord.token
DISCORD_BOT_TOKEN.Перезапустіть, щоб застосувати:Отримайте доступ до Gateway
Control UI
Відкрийте в браузері:https://my-openclaw.fly.dev/Автентифікуйтеся за допомогою налаштованого спільного секрету. У цьому посібнику використовується токен Gateway
з OPENCLAW_GATEWAY_TOKEN; якщо ви перейшли на автентифікацію паролем, використовуйте
натомість цей пароль.Журнали
SSH-консоль
Усунення несправностей
”Застосунок не слухає на очікуваній адресі”
Gateway прив’язується до127.0.0.1 замість 0.0.0.0.
Виправлення: Додайте --bind lan до команди процесу в fly.toml.
Перевірки працездатності не проходять / з’єднання відхилено
Fly не може досягти Gateway на налаштованому порту. Виправлення: Переконайтеся, щоinternal_port відповідає порту Gateway (задайте --port 3000 або OPENCLAW_GATEWAY_PORT=3000).
OOM / проблеми з пам’яттю
Контейнер постійно перезапускається або завершується примусово. Ознаки:SIGABRT, v8::internal::Runtime_AllocateInYoungGeneration або тихі перезапуски.
Виправлення: Збільште пам’ять у fly.toml:
Проблеми з блокуванням Gateway
Gateway відмовляється запускатися з помилками “already running”. Це трапляється, коли контейнер перезапускається, але файл PID-блокування зберігається на томі. Виправлення: Видаліть файл блокування:/data/gateway.*.lock (не в підкаталозі).
Конфігурація не читається
--allow-unconfigured лише обходить захист запуску. Він не створює й не відновлює /data/openclaw.json, тож переконайтеся, що ваша справжня конфігурація існує та містить gateway.mode="local", коли вам потрібен звичайний запуск локального Gateway.
Перевірте, що конфігурація існує:
Запис конфігурації через SSH
Командаfly ssh console -C не підтримує перенаправлення shell. Щоб записати файл конфігурації:
fly sftp може завершитися помилкою, якщо файл уже існує. Спочатку видаліть його:
Стан не зберігається
Якщо після перезапуску ви втрачаєте профілі автентифікації, стан каналів/постачальників або сесії, каталог стану записується у файлову систему контейнера. Виправлення: Переконайтеся, щоOPENCLAW_STATE_DIR=/data задано в fly.toml, і розгорніть повторно.
Оновлення
Оновлення команди машини
Якщо потрібно змінити команду запуску без повного повторного розгортання:fly deploy команда машини може скинутися до того, що вказано у fly.toml. Якщо ви вносили зміни вручну, застосуйте їх знову після розгортання.
Приватне розгортання (посилене)
За замовчуванням Fly виділяє публічні IP-адреси, роблячи ваш Gateway доступним заhttps://your-app.fly.dev. Це зручно, але означає, що ваше розгортання можуть знайти інтернет-сканери (Shodan, Censys тощо).
Для посиленого розгортання без публічного доступу використовуйте приватний шаблон.
Коли використовувати приватне розгортання
- Ви робите лише вихідні виклики/повідомлення (без вхідних Webhook)
- Ви використовуєте тунелі ngrok або Tailscale для будь-яких callback Webhook
- Ви отримуєте доступ до Gateway через SSH, проксі або WireGuard замість браузера
- Ви хочете, щоб розгортання було приховане від інтернет-сканерів
Налаштування
Використовуйтеdeploy/fly.private.toml замість стандартної конфігурації:
fly ips list має показувати лише IP типу private:
Доступ до приватного розгортання
Оскільки публічної URL-адреси немає, використовуйте один із цих методів: Варіант 1: Локальний проксі (найпростіше)Webhook із приватним розгортанням
Якщо вам потрібні зворотні виклики webhook (Twilio, Telnyx тощо) без публічного доступу:- тунель ngrok - запустіть ngrok у контейнері або як sidecar
- Tailscale Funnel - відкрийте доступ до певних шляхів через Tailscale
- Лише вихідний трафік - деякі провайдери (Twilio) нормально працюють для вихідних викликів без webhook
webhookSecurity.allowedHosts на публічне ім’я хоста тунелю, щоб переслані заголовки host приймалися.
Переваги безпеки
| Аспект | Публічне | Приватне |
|---|---|---|
| Інтернет-сканери | Видиме | Приховане |
| Прямі атаки | Можливі | Заблоковані |
| Доступ до Control UI | Браузер | Проксі/VPN |
| Доставка webhook | Напряму | Через тунель |
Примітки
- Fly.io використовує архітектуру x86 (не ARM)
- Dockerfile сумісний з обома архітектурами
- Для підключення WhatsApp/Telegram використовуйте
fly ssh console - Постійні дані зберігаються на томі в
/data - Signal потребує Java + signal-cli; використовуйте власний образ і залишайте пам’ять на рівні 2 ГБ+.
Вартість
З рекомендованою конфігурацією (shared-cpu-2x, 2 ГБ RAM):
- ~$10-15/місяць залежно від використання
- Безкоштовний рівень містить певний ліміт
Наступні кроки
- Налаштуйте канали повідомлень: Канали
- Налаштуйте Gateway: Конфігурація Gateway
- Підтримуйте OpenClaw в актуальному стані: Оновлення