腾讯云CVM云服务器从零搭建OpenClaw龙虾:一键安装脚本+安全组放行完整实操指南
一、OpenClaw龙虾项目简介
OpenClaw(社区昵称“龙虾”)是2026年增长最快的开源AI Agent项目之一,在GitHub上已获得超过28万星标。它本质上是一个自托管的AI网关,采用TypeScript编写,部署一个实例即可同时接入WhatsApp、Telegram、Slack、Discord等十多个消息渠道。OpenClaw采用本地优先架构,让AI能够直接执行终端命令、读写文件、调用各种服务——不仅能聊天,还能真正“干活”。
与传统云端SaaS不同,OpenClaw作为常驻在你自己机器上的本地守护进程(Gateway),把一个能调用工具、能干活的编码型Agent接到你已经在用的聊天软件上。你不用再开一个新App、不用把对话和密钥交给某个云端SaaS,数据完全存在本地的SQLite里,隐私安全有保障。
本文的目标是在腾讯云CVM(云服务器)上从零开始部署OpenClaw,通过一键安装脚本完成环境配置与安装,再通过安全组放行18789端口实现外网访问,最终打造一套7×24小时在线的私有化AI助手。
需要先登录腾讯云控制台,点击:腾讯云控制台,还没有账号,点击:注册后再关联,已有账号点击:登录后再关联
二、CVM服务器选购与环境准备
2.1 服务器配置建议
部署OpenClaw的服务器需满足以下配置要求:
- 最低配置:1核CPU,2GB内存,20GB存储(SSD或HDD)
- 推荐配置:2核CPU,4GB内存,40GB+ NVMe存储
- 操作系统:Ubuntu 22.04 LTS Server或TencentOS Server 3.1
推荐配置能够提升高并发任务的处理效率,NVMe存储的读写速度优势明显。对于个人开发者和小团队,2核4GB的配置足以满足日常使用需求。
2.2 创建CVM实例
登录腾讯云控制台后,进入云服务器CVM产品页面,点击“新建实例”。在实例配置中,建议选择以下参数:
- 地域:选择离你最近的地域以降低网络延迟
- 机型:推荐SA3.MEDIUM4(2核4G)或更高配置
- 镜像:选择Ubuntu 22.04 LTS或TencentOS Server 3.1
- 系统盘:50GB SSD起步
- 公网IP:确保实例分配了公网IP
如果希望更省心,腾讯云轻量应用服务器(Lighthouse)提供了OpenClaw专属镜像,开箱即用、运维成本低,完美适配OpenClaw私有化部署需求。不过本文面向CVM标准实例,以展示更通用的部署流程。
2.3 SSH登录服务器
实例创建完成后,通过SSH登录服务器。可以在腾讯云控制台直接点击“登录”使用OrcaTerm免密连接,也可以在本地终端执行:
ssh root@你的公网IP输入实例密码后即可进入服务器命令行界面。
三、环境准备:Node.js与基础工具
OpenClaw需要Node.js 22+版本。在安装OpenClaw之前,需要先准备好运行环境。
3.1 更新系统与安装基础工具
首先更新系统包并安装必要工具:
# Ubuntu/Debian系统
sudo apt update && sudo apt upgrade -y
sudo apt install curl git vim -y
# TencentOS/CentOS系统
sudo yum update -y
sudo yum install curl git vim -y3.2 安装Node.js 22+
推荐使用NodeSource官方源安装Node.js 22:
# Ubuntu/Debian
curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt install -y nodejs
# TencentOS/CentOS
curl -fsSL https://rpm.nodesource.com/setup_22.x | sudo bash -
sudo yum install nodejs -y验证安装:
node -v # 应显示v22.x
npm -v # 应显示对应版本3.3 配置npm国内镜像(加速下载)
国内用户建议配置淘宝镜像源,避免因网络问题导致下载失败:
npm config set registry https://registry.npmmirror.com如果使用pnpm,也可以配置镜像源:
npm install -g pnpm
pnpm config set registry https://registry.npmmirror.com四、OpenClaw一键安装脚本
4.1 官方一键安装脚本
OpenClaw官方提供了一键安装脚本,能够自动检测操作系统、安装Node.js(如未安装)、安装OpenClaw并启动配置向导。执行以下命令:
curl -fsSL https://openclaw.ai/install.sh | bash该脚本会自动完成以下步骤:
- 检测并安装Node.js v22+(支持nvm或直接下载)
- 检测并安装Git
- 设置npm国内镜像(加速依赖下载)
- 安装pnpm
- 安装OpenClaw(GitHub连不上时提供镜像方案)
- 验证安装结果
- 启动交互式配置
安装过程大约需要3-8分钟。脚本执行期间会提示多项配置确认,建议选择默认选项(按回车键)。
4.2 交互式配置向导
安装完成后,脚本会自动进入交互式配置向导(onboard)。主要配置步骤包括:
- 安全警示确认:使用键盘方向键选择“Yes”,点击回车
- 引导模式选择:直接回车使用默认模式
- 大语言模型接入:选择“Custom Provider”接入自定义API,或选择官方支持的厂商(如腾讯云TokenHub、DeepSeek等)
- API Key配置:填写从模型提供商获取的API Key
- 默认模型设置:选择默认使用的模型
配置完成后,OpenClaw会自动生成配置文件并启动Gateway服务。
4.3 国内用户备选方案
如果官方脚本下载缓慢,可以使用国内社区提供的镜像安装脚本:
bash curl -fsSL https://codefather.cn/openclaw_install/install-openclaw.sh | bash或者使用npm直接安装:
npm install -g openclaw --registry=https://registry.npmmirror.com五、安全组放行:让外网访问OpenClaw后台
5.1 为什么需要配置安全组
很多用户在服务器上部署了OpenClaw后,在浏览器里输入`http://你的公网IP:18789`,页面却死活打不开。绝大多数情况下,问题都出在安全组上。腾讯云CVM默认的网络安全策略相当严格,如果不主动在安全组里“开个门”,外部流量根本进不来。
安全组是腾讯云提供的一种有状态的包过滤虚拟防火墙。可以把它想象成小区的门禁系统——入站规则控制哪些外部流量可以访问服务器,出站规则控制服务器可以访问哪些外部资源。安全组还有“有状态”的特性:它会自动“记住”由CVM主动发起的出站连接,当这些连接的返回数据包回来时,即使入站规则里没有明确允许,安全组也会自动放行。
5.2 OpenClaw默认端口
OpenClaw Gateway默认监听在18789端口。要实现外网访问OpenClaw后台,核心操作就是配置安全组入站规则,放行18789端口的TCP流量。
5.3 安全组配置步骤(控制台操作)
按照以下步骤在腾讯云控制台完成安全组配置:
- 登录腾讯云控制台,进入云服务器CVM产品页面
- 在左侧导航栏点击「安全组」,进入安全组管理页面
- 选择实例所在地域,找到绑定了CVM实例的安全组
- 点击安全组名称进入规则详情页
- 选择「入站规则」标签页,点击「添加规则」
- 配置规则参数:
- 类型:选择“自定义”或“TCP”
- 协议端口:填写“TCP:18789”
- 来源:填写“0.0.0.0/0”(允许所有IP访问)或指定IP段
- 策略:选择“允许”
- 点击「完成」保存规则
安全提示:为降低安全风险,建议将来源设置为仅允许自己常用设备的公网IP访问,而非全放通(0.0.0.0/0)。
5.4 验证端口放行
配置完成后,可以通过以下命令验证18789端口是否已开放:
netstat -tulnp | grep 18789如果看到类似`tcp 0 0 0.0.0.0:18789 0.0.0.0:* LISTEN`的输出,说明服务已正确监听。
也可以使用nmap从外部扫描:
nmap -p 18789 你的公网IP六、启动OpenClaw并验证外网访问
6.1 启动Gateway服务
如果一键安装脚本已自动完成配置和启动,可以直接跳过此步。否则手动启动Gateway:
openclaw gateway start如果希望保持前台运行以便查看日志:
openclaw gateway start --foreground6.2 验证外网访问
在浏览器中输入以下地址:
http://你的公网IP:18789如果看到OpenClaw后台登录页面或配置界面,说明部署成功!
如果仍然无法访问,按以下顺序排查:
- 确认安全组入站规则已正确添加18789端口
- 确认服务器防火墙(如ufw、firewalld)未阻挡端口
- 确认OpenClaw服务正在运行
- 确认OpenClaw监听的地址是0.0.0.0而非127.0.0.1
七、服务托管:配置systemd实现开机自启
为了让OpenClaw在服务器重启后自动恢复运行,需要配置systemd服务。
7.1 创建专用用户(安全考量)
建议创建专用服务账户而非直接使用root用户运行OpenClaw:
sudo useradd claw
sudo passwd claw
sudo usermod -aG wheel claw # TencentOS使用wheel组
# Ubuntu/Debian使用sudo组
sudo usermod -aG sudo claw7.2 迁移配置文件
如果之前以root运行过`openclaw onboard`,配置保存在`/root/.openclaw`。将其迁移到claw用户:
sudo cp -r /root/.openclaw /home/claw/
sudo chown -R claw:claw /home/claw/.openclaw
sudo chmod -R 700 /home/claw/.openclaw7.3 创建systemd服务文件
创建`/etc/systemd/system/openclaw.service`:
[Unit]
Description=OpenClaw Gateway
After=network.target
[Service]
User=claw
WorkingDirectory=/home/claw
ExecStart=/home/claw/.nvm/versions/node/v22.22.1/bin/openclaw gateway start --foreground
Restart=on-failure
RestartSec=10
Environment="PATH=/home/claw/.nvm/versions/node/v22.22.1/bin:/usr/local/bin:/usr/bin:/bin"
[Install]
WantedBy=multi-user.target注意:ExecStart中的Node.js路径需根据实际安装位置调整。可使用以下命令查找:
which openclaw
# 或
find /home/claw -name "openclaw" -type f7.4 启动并启用服务
sudo systemctl daemon-reload
sudo systemctl enable openclaw.service
sudo systemctl start openclaw.service
sudo systemctl status openclaw.service如果状态显示`active (running)`,说明服务已成功托管。
八、高级配置:Nginx反向代理与HTTPS
8.1 为什么要配置反向代理
在生产环境中,建议使用Nginx作为反向代理。好处包括:
- 隐藏后端服务真实端口
- 支持HTTPS加密传输
- 负载均衡与高可用
- 日志管理与访问控制
8.2 Nginx安装与基础配置
安装Nginx:
sudo apt install nginx -y # Ubuntu/Debian
sudo yum install nginx -y # TencentOS/CentOS创建Nginx配置文件`/etc/nginx/conf.d/openclaw.conf`:
server {
listen 80;
server_name your_domain.com; # 替换为你的域名或公网IP
location / {
proxy_pass http://127.0.0.1:18789;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# WebSocket支持(OpenClaw控制台需要)
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}测试配置并重启Nginx:
sudo nginx -t
sudo systemctl restart nginx8.3 配置HTTPS(SSL证书)
使用Certbot自动获取Let's Encrypt免费SSL证书:
sudo apt install certbot python3-certbot-nginx -y
sudo certbot --nginx -d your_domain.com按照提示完成证书申请与自动配置。完成后即可通过`https://your_domain.com`安全访问OpenClaw后台。
九、常见问题与故障排查
9.1 端口18789无法访问
现象:浏览器输入`http://公网IP:18789`无法打开页面。
排查步骤:
- 检查安全组入站规则是否放行TCP:18789
- 检查服务器本地防火墙:
sudo ufw status或sudo firewall-cmd --list-all - 检查OpenClaw是否监听0.0.0.0而非127.0.0.1
- 检查服务状态:
sudo systemctl status openclaw
9.2 Gateway服务启动失败
现象:`systemctl status openclaw`显示`Active: failed`。
解决方法:
- 检查配置文件是否初始化:
ls -la ~/.openclaw/ - 重新运行配置向导:
openclaw onboard - 检查端口是否被占用:
sudo netstat -tulnp | grep 18789
9.3 npm安装速度慢或失败
原因:npm默认从国外源下载,中国大陆网络访问慢。
解决方法:
npm config set registry https://registry.npmmirror.com
# 重新运行安装脚本
curl -fsSL https://openclaw.ai/install.sh | bash9.4 内存不足导致服务卡死
解决方法:创建Swap交换空间:
sudo fallocate -l 4G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
# 永久生效
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab9.5 控制台频繁断连
原因:OpenClaw包含大量实时日志流,必须配置WebSocket支持。
解决方法:确保Nginx配置中包含WebSocket相关配置(参见第八章)。
十、总结与后续优化方向
本文完整讲解了从零开始在腾讯云CVM上部署OpenClaw龙虾的全过程,涵盖服务器选购、环境准备、一键安装脚本、安全组端口放行、外网访问验证、systemd服务托管以及Nginx反向代理与HTTPS配置。按照本文步骤操作,即可在30分钟内拥有一套7×24小时在线的私有化AI助手。
后续可以进一步探索的优化方向包括:
- 接入企业微信、飞书、钉钉等消息渠道
- 配置腾讯云COS存储Skill资产
- 接入腾讯云TDSQL-C存储记忆数据
- 配置CLB负载均衡实现高可用
- 通过CLS日志服务实现日志采集与告警
OpenClaw作为一个能真正“干活”的AI Agent,其潜力远不止于聊天——它能执行终端命令、读写文件、调用各种服务。将其部署在云端CVM上,意味着你拥有了一个随时在线的数字员工,可以帮你盯盘、写报告、回邮件、抓数据。希望本文能帮助你顺利开启OpenClaw之旅!
常见问题问答
问1:部署OpenClaw需要什么配置的服务器?
答:最低配置为1核CPU、2GB内存、20GB存储;推荐配置为2核CPU、4GB内存、40GB+ NVMe存储。操作系统推荐Ubuntu 22.04 LTS或TencentOS Server 3.1。
问2:OpenClaw默认使用哪个端口?
答:OpenClaw Gateway默认监听18789端口。需要在腾讯云安全组入站规则中放行TCP:18789才能从外网访问。
问3:一键安装脚本执行失败怎么办?
答:首先检查网络连接,国内用户可配置npm淘宝镜像源(`npm config set registry https://registry.npmmirror.com`)后重试。也可使用国内社区镜像脚本。
问4:OpenClaw支持哪些大模型?
答:OpenClaw支持通义千问、腾讯混元、DeepSeek等主流大模型。可以通过`openclaw onboard`交互式配置选择模型提供商并填写API Key。
问5:如何让OpenClaw开机自启?
答:配置systemd服务即可实现开机自启。创建`/etc/systemd/system/openclaw.service`文件,然后执行`sudo systemctl enable openclaw.service`。
问6:外网无法访问OpenClaw后台怎么办?
答:按顺序排查:①安全组是否放行18789端口;②服务器本地防火墙是否阻挡;③OpenClaw是否监听0.0.0.0而非127.0.0.1;④服务是否正常运行。





