Обзор развертывания Openclaw на сервере¶
Предварительные условия и основные требования¶
Для успешного развертывания Openclaw должны быть соблюдены следующие требования:
-
Операционная система: Linux (использование
aptподразумевает системы на базе Ubuntu/Debian). -
Привилегии: Требуется доступ root или sudo для установки пакетов, создания директорий и управления сервисами.
-
Сетевые порты:
-
Порт
80(HTTP) для прохождения проверок Let's Encrypt (challenges) и перенаправления. -
Порт
443(HTTPS) для защищенного веб-трафика. -
Порт
18789(Gateway) для бэкенда приложения.
-
FQDN финальной панели в домене hostkey.in¶
Точка доступа к интерфейсу управления соответствует следующему шаблону: <prefix>Server ID.hostkey.in:<port>
(Примечание: конкретный префикс — openclaw).
Структура файлов и директорий¶
Приложение использует несколько специфических директорий для конфигурации, сертификатов и хранения данных:
| Путь | Описание |
|---|---|
/root/nginx | Содержит файлы развертывания Docker Compose. |
/data/nginx | Основная директория для конфигураций Nginx и файлов окружения (environment files). |
/data/nginx/user_conf.d | Хранит пользовательские конфигурации server block для Nginx. |
/data/nginx/letsencrypt | Webroot для ACME-проверок Let's Encrypt. |
/data/nginx/nginx-certbot.env | Переменные окружения для контейнера Nginx. |
~/.ansible/openclaw | Директория для хранения токенов gateway. |
Docker-контейнеры и их развертывание¶
Развертывание использует контейнеризированный экземпляр Nginx с интеграцией Certbot для обработки SSL termination. Сервис управляется через Docker Compose.
-
Image:
jonasal/nginx-certbot:6.2.0-nginx1.31.0 -
Метод развертывания: Docker Compose
-
Network Mode:
host(для обеспечения прямого доступа к локальным сервисам и упрощения обработки SSL). -
Restart Policy:
unless-stopped
Прокси-серверы¶
Nginx выступает в роли reverse proxy, управляя SSL termination с помощью сертификатов Let's Encrypt.
-
Конфигурация SSL:
-
Используется Certbot для автоматизированного управления сертификатами.
-
Реализован HSTS (
Strict-Transport-Security) сmax-ageравным одному году. -
Настроено перенаправление (redirection) с HTTP на HTTPS.
-
-
Настройки прокси:
-
Проксирует трафик с порта
443на локальный gateway по адресу127.0.0.1:18789. -
Поддерживает обновление WebSocket (
Upgrade $http_upgrade). -
Передает реальные IP-адреса клиентов и оригинальные host headers через заголовки
X-Forwarded-*.
-
Настройки прав доступа¶
При развертывании применяются следующие права доступа к директориям:
| Директория/Файл | Владелец | Группа | Режим (Mode) |
|---|---|---|---|
/root/nginx | root | root | 0755 |
/data/nginx | root | root | 0755 |
/data/nginx/user_conf.d | root | root | 0755 |
/data/nginx/letsencrypt/.well-known/acme-challenge | root | root | 0755 |
/root/nginx/compose.yml | root | root | 0644 |
/data/nginx/*.conf | root | root | 0644 |
Доступные порты для подключения¶
Система использует следующие порты:
-
80: Публичный доступ по HTTP (перенаправляется на HTTPS).
-
443: Защищенный веб-интерфейс по HTTPS.
-
18789: Внутренний порт приложения gateway.