跳转到主要内容

OpenClaw 在 GCP Compute Engine 上 (Docker,生产环境 VPS 指南)

目标

在 GCP Compute Engine 虚拟机上使用 Docker 运行持久化的 OpenClaw Gateway 网关,具备持久化状态、内置二进制文件和安全重启行为。 如果您希望“OpenClaw 全天候 (24/7) 运行,月费约 $5-12”,这是在 Google Cloud 上的可靠设置。 价格因机器类型和地区而异;请选择适合您工作负载的最小虚拟机,如果遇到内存不足 (OOM) 再进行扩容。

我们要做什么(简单来说)?

  • 创建一个 GCP 项目并启用计费
  • 创建一个 Compute Engine 虚拟机
  • 安装 Docker (隔离的应用运行时)
  • 在 Docker 中启动 OpenClaw Gateway 网关
  • 在主机上持久化 ~/.openclaw + ~/.openclaw/workspace(在重启/重建后仍然存在)
  • 通过 SSH 隧道从您的笔记本电脑访问控制 UI
可以通过以下方式访问 Gateway 网关:
  • 从您的笔记本电脑进行 SSH 端口转发
  • 如果您自行管理防火墙和令牌,可直接暴露端口
本指南在 GCP Compute Engine 上使用 Debian。 Ubuntu 也可以;请相应地映射软件包。 有关通用的 Docker 流程,请参阅 Docker

快速路径(经验丰富的操作员)

  1. 创建 GCP 项目 + 启用 Compute Engine API
  2. 创建 Compute Engine VM (e2-small, Debian 12, 20GB)
  3. SSH 进入 VM
  4. 安装 Docker
  5. 克隆 OpenClaw 仓库
  6. 创建持久化主机目录
  7. 配置 .envdocker-compose.yml
  8. 烘焙所需的二进制文件,构建并启动

您需要什么

  • GCP 账户(免费层级适用于 e2-micro)
  • 已安装 gcloud CLI(或使用 Cloud Console)
  • 从您的笔记本电脑进行 SSH 访问
  • 对 SSH + 复制/粘贴有基本了解
  • 约 20-30 分钟
  • Docker 和 Docker Compose
  • 模型身份验证凭据
  • 可选提供商凭据
    • WhatsApp 二维码
    • Telegram 机器人令牌
    • Gmail OAuth
1

安装 gcloud CLI(或使用控制台)

选项 A:gcloud CLI(推荐用于自动化)https://cloud.google.com/sdk/docs/install 安装初始化并验证身份:
gcloud init
gcloud auth login
选项 B:Cloud Console所有步骤均可通过 https://console.cloud.google.com 的 Web UI 完成
2

创建 GCP 项目

CLI:
gcloud projects create my-openclaw-project --name="OpenClaw Gateway"
gcloud config set project my-openclaw-project
https://console.cloud.google.com/billing 启用计费(Compute Engine 必需)。启用 Compute Engine API:
gcloud services enable compute.googleapis.com
控制台:
  1. 转到 IAM & Admin > Create Project
  2. 命名并创建
  3. 为项目启用计费
  4. 导航到 APIs & Services > Enable APIs > 搜索 “Compute Engine API” > Enable
3

创建 VM

机器类型:
TypeSpecsCostNotes
e2-medium2 vCPU, 4GB RAM~$25/mo本地 Docker 构建最可靠
e2-small2 vCPU, 2GB RAM~$12/moDocker 构建的最低推荐
e2-micro2 vCPU (shared), 1GB RAMFree tier eligibleDocker 构建经常因 OOM 失败 (exit 137)
CLI:
gcloud compute instances create openclaw-gateway \
  --zone=us-central1-a \
  --machine-type=e2-small \
  --boot-disk-size=20GB \
  --image-family=debian-12 \
  --image-project=debian-cloud
控制台:
  1. 转到 Compute Engine > VM instances > Create instance
  2. 名称: openclaw-gateway
  3. 区域: us-central1, 可用区: us-central1-a
  4. 机器类型: e2-small
  5. 启动盘: Debian 12, 20GB
  6. 创建
4

SSH 进入虚拟机

CLI:
gcloud compute ssh openclaw-gateway --zone=us-central1-a
控制台:点击 Compute Engine 仪表板中虚拟机旁边的“SSH”按钮。注意:SSH 密钥传播在虚拟机创建后可能需要 1-2 分钟。如果连接被拒绝,请稍后重试。
5

安装 Docker(在虚拟机上)

sudo apt-get update
sudo apt-get install -y git curl ca-certificates
curl -fsSL https://get.docker.com | sudo sh
sudo usermod -aG docker $USER
注销并重新登录以使组更改生效:
exit
然后 SSH 重新登录:
gcloud compute ssh openclaw-gateway --zone=us-central1-a
验证:
docker --version
docker compose version
6

克隆 OpenClaw 仓库

git clone https://github.com/openclaw/openclaw.git
cd openclaw
本指南假设您将构建自定义镜像以保证二进制文件的持久性。
7

创建持久化主机目录

Docker 容器是临时的。 所有长期存在的状态必须存在于主机上。
mkdir -p ~/.openclaw
mkdir -p ~/.openclaw/workspace
8

配置环境变量

在仓库根目录中创建 .env
OPENCLAW_IMAGE=openclaw:latest
OPENCLAW_GATEWAY_TOKEN=change-me-now
OPENCLAW_GATEWAY_BIND=lan
OPENCLAW_GATEWAY_PORT=18789

OPENCLAW_CONFIG_DIR=/home/$USER/.openclaw
OPENCLAW_WORKSPACE_DIR=/home/$USER/.openclaw/workspace

GOG_KEYRING_PASSWORD=change-me-now
XDG_CONFIG_HOME=/home/node/.openclaw
生成强密钥:
openssl rand -hex 32
不要提交此文件。
9

Docker Compose 配置

创建或更新 docker-compose.yml
services:
  openclaw-gateway:
    image: ${OPENCLAW_IMAGE}
    build: .
    restart: unless-stopped
    env_file:
      - .env
    environment:
      - HOME=/home/node
      - NODE_ENV=production
      - TERM=xterm-256color
      - OPENCLAW_GATEWAY_BIND=${OPENCLAW_GATEWAY_BIND}
      - OPENCLAW_GATEWAY_PORT=${OPENCLAW_GATEWAY_PORT}
      - OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}
      - GOG_KEYRING_PASSWORD=${GOG_KEYRING_PASSWORD}
      - XDG_CONFIG_HOME=${XDG_CONFIG_HOME}
      - PATH=/home/linuxbrew/.linuxbrew/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
    volumes:
      - ${OPENCLAW_CONFIG_DIR}:/home/node/.openclaw
      - ${OPENCLAW_WORKSPACE_DIR}:/home/node/.openclaw/workspace
    ports:
      # Recommended: keep the Gateway loopback-only on the VM; access via SSH tunnel.
      # To expose it publicly, remove the `127.0.0.1:` prefix and firewall accordingly.
      - "127.0.0.1:${OPENCLAW_GATEWAY_PORT}:18789"
    command:
      [
        "node",
        "dist/index.js",
        "gateway",
        "--bind",
        "${OPENCLAW_GATEWAY_BIND}",
        "--port",
        "${OPENCLAW_GATEWAY_PORT}",
        "--allow-unconfigured",
      ]
--allow-unconfigured 仅为了引导方便,它不能替代适当的网关配置。仍然需要设置身份验证(gateway.auth.token 或密码),并为您的部署使用安全的绑定设置。
10

共享 Docker 虚拟机运行时步骤

使用共享运行时指南了解常见的 Docker 主机流程:
11

GCP 特定的启动说明

在 GCP 上,如果在 pnpm install --frozen-lockfile 期间构建失败并出现 Killedexit code 137,则表示虚拟机内存不足。请至少使用 e2-small,或使用 e2-medium 以获得更可靠的初次构建。绑定到 LAN (OPENCLAW_GATEWAY_BIND=lan) 时,请先配置受信任的浏览器源 (origin) 再继续:
docker compose run --rm openclaw-cli config set gateway.controlUi.allowedOrigins '["http://127.0.0.1:18789"]' --strict-json
如果您更改了网关端口,请将 18789 替换为您配置的端口。
12

从笔记本电脑访问

创建 SSH 隧道以转发 Gateway(网关) 端口:
gcloud compute ssh openclaw-gateway --zone=us-central1-a -- -L 18789:127.0.0.1:18789
在浏览器中打开:http://127.0.0.1:18789/获取一个新的带令牌的仪表板链接:
docker compose run --rm openclaw-cli dashboard --no-open
从该 URL 中粘贴令牌。如果控制 UI 显示 unauthorizeddisconnected (1008): pairing required,请批准浏览器设备:
docker compose run --rm openclaw-cli devices list
docker compose run --rm openclaw-cli devices approve <requestId>
再次需要共享持久化和更新参考? 请参阅 Docker VM RuntimeDocker VM Runtime 更新

故障排除

SSH 连接被拒绝 SSH 密钥传播可能需要在虚拟机创建后等待 1-2 分钟。请稍后重试。 OS Login 问题 检查您的 OS Login 个人资料: 
gcloud compute os-login describe-profile
确保您的帐户具有所需的 IAM 权限 (Compute OS Login 或 Compute OS Admin Login)。 内存不足 (OOM) 如果 Docker 构建失败并显示 Killedexit code 137,则表示虚拟机已被 OOM 终止。请升级到 e2-small (最低) 或 e2-medium (建议用于可靠的本地构建): 
# Stop the VM first
gcloud compute instances stop openclaw-gateway --zone=us-central1-a

# Change machine type
gcloud compute instances set-machine-type openclaw-gateway \
  --zone=us-central1-a \
  --machine-type=e2-small

# Start the VM
gcloud compute instances start openclaw-gateway --zone=us-central1-a

服务帐户 (安全最佳实践)

对于个人使用,您的默认用户帐户即可正常工作。 对于自动化或 CI/CD 流水线,请创建一个具有最小权限的专用服务帐户:
  1. 创建服务帐户: 
    gcloud iam service-accounts create openclaw-deploy \
  --display-name="OpenClaw Deployment"
  2. 授予 Compute Instance Admin 角色 (或范围更窄的自定义角色): 
    gcloud projects add-iam-policy-binding my-openclaw-project \
  --member="serviceAccount:openclaw-deploy@my-openclaw-project.iam.gserviceaccount.com" \
  --role="roles/compute.instanceAdmin.v1"
避免在自动化中使用 Owner 角色。请遵循最小权限原则。 有关 IAM 角色的详细信息,请参阅 https://cloud.google.com/iam/docs/understanding-roles

后续步骤

本页面源自 openclaw/openclaw,由 BeaversLab 翻译,遵循 MIT 协议 发布。
Last modified on March 27, 2026