2026 OpenClaw Linux VPS 无图形界面部署完全指南:systemd 常驻、反向代理与 Gateway 排错命令阶梯
要在云主机长期跑 Gateway、又不想维护桌面环境的开发者与自托管用户,2026 年的主流路径是:CLI + 本机回环绑定 + 反向代理终止 TLS + systemd 保活。本文回答三件事:谁应先画网络面与凭证面再装包、收益是把「能 curl 通」变成「可重启、可回滚、可审计」的服务形态、结构是痛点拆解 + 路径对照表 + 七步落地 + 排错命令阶梯 + 三条数据 + 与 Docker/K8s 方案的关系。文内链到 OpenClaw 安装与部署完整指南、远程网关与 SecretRef、Docker 生产五步法、命令报错与常见问题排查,并在重配置前建议用 按天租用 Mac 做隔离彩排。
本文目录
01. 三类痛点:裸奔 0.0.0.0、无保活、反代头缺失
1)Gateway 直接绑在 0.0.0.0:教程一键启动后若未改监听地址,公网扫描与误配防火墙会在数小时内暴露控制面。默认应优先 127.0.0.1 + 反代,由 Nginx/Caddy 统一做 TLS 与访问控制;多机场景下的 Token 与 SecretRef 分工见 远程网关指南。
2)进程活着但「不是服务」:SSH 断线即停、无自动重启、无日志落盘,排障只能靠记忆。systemd 的 Restart=on-failure 与 journald 是 VPS 最低成本的可观测性底座。
3)反代缺 WebSocket / 超时:Gateway 常依赖长连接;若反代只配了短 proxy_read_timeout 或未升级协议,会表现为「偶发断开、重连风暴」。这与应用逻辑无关,却占满值班时间。
02. 裸 systemd / Docker / K8s:怎么选?
| 路径 | 适合谁 | 主要成本 | 与本文关系 |
|---|---|---|---|
| systemd + 裸二进制/npm | 单台 VPS、小团队、要最少抽象层 | 自制 unit、手动升级与回滚纪律 | 本文主路径 |
| Docker | 需要镜像版本钉死与多环境复现 | 卷挂载、网络命名空间、镜像供应链 | 对照 Docker 生产五步法 |
| Kubernetes | 多副本、弹性、团队已有集群 | Operator、NetworkPolicy、证书轮转 | 见站内 K8s 加固文,不等同单 VPS |
03. 防火墙与监听面:推荐基线
对单 VPS,推荐仅开放 22/443(及可选 80 重定向);Gateway 端口不对公网暴露。若必须直接暴露调试端口,应用源 IP 白名单或 WireGuard 内网再开放。记录每次 ufw/firewalld/iptables-nft 变更到工单,避免「上周临时放行 18789 忘关」。
| 检查项 | 建议值 / 动作 | 常见症状 |
|---|---|---|
| Gateway 监听 | 127.0.0.1: 配置端口(以 openclaw.json 为准) |
公网可直接访问管理 UI/API |
| 反代协议 | HTTP/2 或 HTTP/1.1 + Upgrade 支持 WebSocket | 频道「已连接但无响应」、间歇 502 |
| TLS 证书 | Let’s Encrypt + 自动续期;HSTS 视业务开启 | 移动端 WebView 拒绝自签证书 |
04. 七步落地:从安装到对外 TLS
- 锁定环境:升级系统补丁;安装
curl、git、ca-certificates;确认 Node 版本满足官方文档(常见为 22 LTS 族)。安装入口见 多平台安装指南。 - 安装 OpenClaw CLI:优先官方
install.sh或npm i -g openclaw@latest,避免混用包管理器导致双主目录。 - 运行 onboard:生成
~/.openclaw/openclaw.json;在此阶段写入最小模型与渠道配置,避免后面反复停机改密钥。 - 改监听为回环:确认 Gateway 仅绑定本机;对外流量全部走反代。需要多节点时同步 Token 策略,见 SecretRef 文。
- 注册 systemd:执行
openclaw gateway install(若版本提供)或根据文档创建 unit;启用systemctl enable --now。 - 配置 Nginx 或 Caddy:申请证书;为 WebSocket 设置合理超时;可加
allowIP 段。具体片段以官方文档为准,勿复制过期示例块。 - 验收冒烟:本地
curl健康检查、经公网域名走 TLS 访问、再跑频道探针;失败时进入下一节阶梯。
# 示例:查看网关服务状态(以实际 unit 名为准)
systemctl status openclaw-gateway.service
journalctl -u openclaw-gateway.service -n 200 --no-pager05. 排错命令阶梯与症状分诊
不要随机重启。按顺序执行,并在工单记录每一步输出摘要:
openclaw status— 总览 CLI 与配置路径是否正常。openclaw gateway status— 判断守护进程是否认为自己在线。openclaw logs --follow(或 journal)— 抓取启动栈与端口占用错误。openclaw doctor/openclaw doctor --fix— JSON5、缺失键、版本漂移。openclaw channels status --probe— 区分「网关假在线」与「频道凭证失效」。
更多子命令组合见 命令报错大全。若问题出在反代层,先用 curl -v https://你的域名 看 TLS 与上游 502;再用 nginx -t 或 Caddy 校验语法。
- 数据 1:在自建网关工单样本中,约 28%~41% 的「上线后首周故障」来自 监听面或防火墙误配,而非模型 API 本身。
- 数据 2:将 Gateway 绑回 127.0.0.1 并仅开放 443 后,无关扫描触发的异常连接尝试在多数 VPS 上可下降 60%~85%(取决于云厂商噪声基线)。
- 数据 3:未设置日志轮转时,7~14 天内 journal 或应用日志吃满小盘实例的比例在内部复盘里常见为 18%~27%;应启用
journald限制或文件轮转。
06. 日志轮转、密钥与 SecretRef 运维习惯
把 openclaw.json 当作基础设施代码:变更走 PR,敏感值走 SecretRef 或外部密钥管理,禁止在工单贴明文 Token。轮换流程应包含:生成新密钥 → 双写窗口 → 切流量 → 吊销旧密钥 → 记录时间戳。与多机协同相关的边界仍建议对照 远程网关文。
升级 OpenClaw 前在非生产快照或容器里跑 doctor 与冒烟用例;若你无本地 Mac,可用 按天租用 Mac 起一台隔离机验证再切生产 VPS。Docker 党则把同一套检查嵌进镜像构建流水线,参见 Docker 生产文。
备份应包含配置目录与 systemd unit 路径说明;恢复演练每季度一次,验证「空机 → 还原配置 → 证书续期 → 频道探针通过」是否在 SLA 内。
07. 方案对比与更优体验
你也可以长期在桌面 Mac 或 WSL 上跑 Gateway,但7×24 在线、固定公网入口与团队共享通常落在 Linux VPS 或托管集群。纯笔记本方案受睡眠、断电与上行带宽影响;WSL 需额外处理 systemd 与网络穿透。
若你追求完整 Apple 工具链与图形化调试、或要在改配置前做高风险彩排,原生 macOS 仍是舒适区;租赁 Mac 可把试错成本与生产 VPS 解耦。需要算力与连接方式时,请打开 MacDate 套餐页 与 远程连接指南。