1. 项目概述:一个开箱即用的 OpenClaw Docker 部署方案
如果你和我一样,对市面上那些需要把个人数据上传到云端才能工作的 AI 助手感到不安,同时又对本地部署的复杂性望而却步,那么这个名为openclaw-docker的项目模板,可能就是你在寻找的“甜点”。简单来说,它把 OpenClaw 这个开源的、强调数据自主权的 AI 助手,连同其核心插件,打包进了一个 Docker 容器里。你不需要从零开始配置 Node.js 环境、安装依赖、处理各种兼容性问题,只需要几条 Docker 命令,就能在自己的服务器或 NAS 上拉起一个完全由你掌控的 AI 助手服务。这个项目最大的价值在于“开箱即用”和“可定制化”的结合。它提供了一个经过验证的、生产就绪的 Docker 镜像构建模板,预装了像 Matrix 这样的常用通信插件,并且通过集成 Homebrew 来方便你安装任何额外的系统级工具。更贴心的是,它附带了完整的docker-compose.yml示例和详尽的 GitHub Actions 自动化流水线,从构建、测试到部署,形成了一条龙解决方案。无论你是想快速体验 OpenClaw,还是希望将其作为长期稳定的个人 AI 基础设施,这个模板都能极大地降低你的入门和维护门槛。
2. 核心架构与设计思路拆解
2.1 为什么选择 Docker 化 OpenClaw?
OpenClaw 本身是一个基于 Node.js 的应用程序。传统的部署方式要求你在目标机器上安装特定版本的 Node.js、npm 或 yarn,然后克隆代码库、安装依赖、配置环境变量,最后启动服务。这个过程对于新手来说充满了陷阱:Node.js 版本不兼容、系统库缺失、权限问题、进程管理(如何保证服务 7x24 小时运行?)等等。Docker 完美地解决了这些问题。通过将应用及其所有依赖(运行时、系统工具、库、设置)打包成一个独立的镜像,我们实现了环境一致性。这意味着,你在自己的 MacBook 上测试通过的镜像,可以毫无差异地运行在云服务器、树莓派或者家庭 NAS 上。此外,Docker 提供了强大的隔离性和资源控制,OpenClaw 服务运行在独立的容器中,不会污染主机环境,也便于进行 CPU、内存限制。最后,Docker Compose 工具允许我们以声明式的方式定义和运行多容器应用,在这个模板中,它清晰地定义了主服务(gateway)和临时工具容器(cli)之间的关系,使得服务管理和运维变得异常清晰和简单。
2.2 双容器服务模式的设计考量
项目模板的docker-compose.yml设计了一个精巧的双服务架构:一个长期运行的gateway服务和一个按需创建的cli服务。这种分离是经过深思熟虑的,主要基于两个核心原则:关注点分离和避免副作用。
Gateway 服务(持久化):这是 OpenClaw 的核心大脑,负责处理所有的 AI 推理、插件调度、API 服务等。它需要持续稳定地运行,因此被设计为一个
detached(后台)服务。它的配置目录(~/.openclaw)通过卷(Volume)映射到宿主机,确保配置和数据在容器重启后不会丢失。预装的插件则被放在一个匿名卷中,这样在更新镜像时,用户自己安装的插件数据可以得到保留(取决于具体插件的设计)。CLI 服务(临时性):OpenClaw 提供丰富的命令行工具用于管理(如初始化
onboard、列出设备devices list)。如果将这些 CLI 命令直接安装在 gateway 容器里并执行,会带来严重问题。例如,onboard初始化过程会多次读写openclaw.json配置文件,而 gateway 容器可能监听着这个文件的变化并自动重启。这会导致初始化流程被中断,甚至造成配置文件损坏。因此,创建一个干净的、临时的cli容器来执行这些管理命令是最佳实践。它使用相同的镜像和配置卷,但执行完命令后容器即被销毁,不会影响主服务的稳定运行。
这种模式在运维中非常常见,比如数据库的迁移操作、缓存的重建命令等,都会采用单独的“任务容器”来执行,以避免对主应用容器造成干扰。
2.3 插件与生态的预集成策略
OpenClaw 的强大在于其插件生态,允许它连接不同的消息平台(如 Slack, Discord, Matrix)、工具和服务。本项目模板选择了@openclaw/matrix插件进行预装,这是一个很有代表性的选择。Matrix 是一个开放、去中心化的实时通信协议,强调隐私和安全,这与 OpenClaw “拥有你的数据” 的理念高度契合。预装一个核心通信插件,使得用户在部署后能立即有一个可用的交互界面(通过 Matrix 客户端),极大地提升了初始体验。
注意:预装插件是一把双刃剑。好处是开箱即用,减少了用户的第一步操作成本。但潜在问题是,如果用户根本不需要 Matrix,那么这个插件就占用了不必要的镜像空间。因此,模板将 Dockerfile 的设计权完全交给用户,你可以轻松地注释掉安装 Matrix 插件的行,或者添加其他你需要的官方、社区插件。这种“提供范例,支持定制”的思路,平衡了易用性和灵活性。
3. 从零开始的完整部署与配置指南
3.1 环境准备与仓库获取
在开始之前,你需要一个可以运行 Docker 的环境。这可以是你的本地开发机(macOS, Windows with WSL2, Linux),也可以是云服务器(如 AWS EC2, DigitalOcean Droplet, 腾讯云 CVM)或家庭服务器。确保 Docker 和 Docker Compose 已正确安装。你可以通过运行docker --version和docker compose version来验证。
获取项目模板有两种推荐方式:
Fork 到自己的 GitHub 账户(推荐):这是最符合开源协作精神的方式。点击项目页面的 “Fork” 按钮,在你的账号下创建一个副本。这样做的好处是,你可以自由地修改 Dockerfile、docker-compose.yml,并利用模板中已配置好的 GitHub Actions 进行自动化构建和部署,而不会影响原始仓库。后续你的所有定制都将在你自己的仓库中进行。
直接克隆(Clone):如果你只是想快速测试,或者不打算使用 GitHub 的自动化功能,可以直接克隆原仓库。
git clone https://github.com/Fanccy315/openclaw-docker.git cd openclaw-docker
我个人强烈推荐 Fork 的方式,特别是当你计划长期使用并可能进行自定义时。它为你自己的配置版本管理提供了一个完美的起点。
3.2 镜像构建:本地与云端流水线
拿到代码后,第一步是构建 Docker 镜像。模板提供了两种方式,适用于不同场景。
方式一:本地构建(适合开发、测试和快速迭代)
本地构建简单直接,适合在修改 Dockerfile 后立即验证。命令如下:
docker build -t openclaw:my-custom-tag .这里的-t参数用于给镜像打标签,my-custom-tag可以替换为你喜欢的任何名字,例如openclaw:v1.0-personal。最后的.表示使用当前目录下的 Dockerfile。
构建过程会依次执行 Dockerfile 中的指令:从 Node.js 22 官方镜像开始,设置非 root 用户node以增强安全性,安装 Homebrew 作为辅助包管理器,然后通过 npm 全局安装openclaw核心及其matrix插件。整个流程大约需要几分钟,取决于你的网络速度。
方式二:使用 GitHub Actions 自动化构建(适合生产部署和持续集成)
对于生产环境,我们通常希望构建过程是可重复、可审计且自动化的。模板内置的 GitHub Actions 工作流完美实现了这一点。它的触发条件是version.txt文件被修改。
- 修改版本号:编辑
version.txt文件,将里面的版本号(如1.0.0)更新为你想要的版本,例如1.0.1。这个版本号会作为镜像标签的一部分。 - 提交并推送:
git add version.txt git commit -m “bump version to 1.0.1” git push origin main - 触发构建:推送代码后,GitHub Actions 会自动开始工作。你可以在仓库的 “Actions” 标签页下查看实时日志。工作流会基于你的代码构建 Docker 镜像,并将其推送到 GitHub Container Registry (ghcr.io)。镜像的完整名称格式为
ghcr.io/<你的GitHub用户名>/openclaw:<version.txt中的版本号>。
实操心得:将镜像托管在 ghcr.io 而非 Docker Hub 有几个优势。首先,它与你的 GitHub 账户深度集成,权限管理方便。其次,对于公开仓库,ghcr.io 提供免费的存储和流量,足够个人项目使用。最后,这保持了整个工具链都在 GitHub 生态系统内,简化了管理。
3.3 关键配置详解与调优
在运行容器之前,理解并调整docker-compose.yml是关键一步。我们来拆解几个核心配置点。
网络与端口映射:
ports: - “3000:3000”这行配置将容器内部的 3000 端口映射到宿主机的 3000 端口。OpenClaw 的网关服务默认在此端口监听。如果你宿主机上的 3000 端口已被占用(例如被另一个 Node.js 应用使用),可以将其改为- “8080:3000”,这样你就可以通过宿主机的 8080 端口访问 OpenClaw。
数据持久化卷映射:
volumes: - ./data:/home/node/.openclaw - extensions:/home/node/.openclaw/extensions- 第一行将宿主机的
./data目录(相对于 docker-compose.yml 的位置)挂载到容器内 OpenClaw 的配置目录。这是最重要的配置,它保证了你的账号信息、插件配置、对话历史等所有数据在容器删除后依然存在。务必确保./data目录存在且具有正确的写权限。 - 第二行使用了一个命名卷
extensions来挂载扩展目录。预装的插件(如 Matrix)的持久化数据会存储在这里。使用命名卷的好处是 Docker 可以更好地管理其生命周期,与匿名卷相比更容易查找和备份。
Homebrew 镜像源配置(针对特定网络环境):
environment: HOMEBREW_BREW_GIT_REMOTE: https://mirrors.ustc.edu.cn/brew.git HOMEBREW_API_DOMAIN: https://mirrors.ustc.edu.cn/homebrew-bottles/api HOMEBREW_BOTTLE_DOMAIN: https://mirrors.ustc.edu.cn/homebrew-bottles模板默认配置了国内的中科大镜像源以加速 Homebrew 包的下载。如果你不在相关网络环境,或者希望使用官方源或其他镜像,必须修改或删除这三个环境变量。例如,要换回官方源,直接移除这三行即可。Homebrew 在容器内主要用于安装一些 OpenClaw 插件可能依赖的本地二进制工具(如ffmpeg、python等),虽然不是必须,但提供了极大的灵活性。
3.4 服务启动与初始化流程
配置妥当后,启动服务就非常简单了:
docker compose up -d gateway-d参数表示在后台运行。这条命令会启动gateway服务,并自动创建和关联所需的卷。
接下来是最关键的一步:初始化 OpenClaw。正如模板强调的,我们必须使用临时的cli容器来完成,以避免干扰正在运行的 gateway 服务。
docker compose run --rm cli onboard --no-install-daemondocker compose run:运行一个一次性容器。--rm:容器退出后自动删除,保持环境清洁。cli:指定使用 docker-compose.yml 中定义的cli服务配置。onboard:OpenClaw 的初始化命令。--no-install-daemon:这个参数很重要,它告诉初始化流程不要尝试安装或管理后台守护进程,因为我们的服务已经通过 Docker Compose 管理了。
执行命令后,你会进入一个交互式初始化向导。它会问你一系列问题,比如:
- OpenClaw 服务器的 URL:通常就是你宿主机映射的地址,例如
http://你的服务器IP:3000。 - 管理员账户信息:设置你的用户名和密码。
- 绑定模式(Bind Mode):这里务必选择
lan。这个模式允许 OpenClaw 服务在本地网络内被访问,与 Docker 的桥接网络模式兼容。如果选择其他模式(如local),可能会导致后续设备无法正确连接到服务。
初始化完成后,配置会自动保存到宿主机./data目录下的openclaw.json文件中。此时,你的 OpenClaw 网关服务已经就绪。
4. 设备配对、插件管理与日常运维
4.1 设备配对流程详解
OpenClaw 支持多设备接入。你的手机、电脑都可以作为客户端连接到同一个 OpenClaw 服务器。连接前需要进行“配对”授权。配对操作必须在运行着主服务的gateway容器内执行,这是由 OpenClaw 的安全设计决定的。
进入 gateway 容器:
docker exec -u node -it openclaw-gateway-1 /bin/bashdocker exec:在运行的容器内执行命令。-u node:以node用户身份执行,这是 Dockerfile 中创建的非 root 用户,拥有对应用目录的恰当权限。-it:分配一个交互式终端。openclaw-gateway-1:这是由 Docker Compose 默认生成的容器名称(项目名_服务名_序号)。你可以通过docker ps查看确切的容器名。/bin/bash:启动 bash shell。
在容器内列出待配对请求:
openclaw devices list这个命令会列出所有正在尝试连接但尚未被批准的设备请求,并显示它们的
request id。批准设备:
openclaw devices approve <request-id>将
<request-id>替换为上一步列表中你想批准的设备 ID。批准后,该设备就可以正式连接到你的 OpenClaw 服务器了。
注意事项:为什么不在
cli容器里做这个?因为devices approve命令需要修改 gateway 服务内存中的状态以及持久化存储,这些资源只有正在运行的gateway容器才拥有。cli容器是一个临时、独立的环境,无法访问到主服务的运行时状态。
4.2 插件安装与管理进阶
模板预装了 Matrix 插件,但 OpenClaw 的插件生态远不止于此。你可以在容器运行后安装更多插件。
方法一:在运行的 gateway 容器内安装(临时性)进入 gateway 容器的 shell,然后使用 npm 安装:
docker exec -u node -it openclaw-gateway-1 /bin/bash npm install -g @openclaw/slack这种方式安装的插件会存在于容器的文件系统中。但是,一旦你删除并重建容器(例如更新镜像时),这些后安装的插件就会丢失。除非它们的数据和配置保存在持久化卷里。
方法二:修改 Dockerfile 并重建镜像(持久化,推荐)这是管理自定义插件集的最佳实践。编辑Dockerfile,在安装 Matrix 插件的那一行附近,添加你需要的其他官方插件:
RUN npm install -g @openclaw/matrix @openclaw/slack @openclaw/github保存后,重新构建镜像(docker build -t openclaw:new-tag .),并更新docker-compose.yml中的镜像标签,最后重启服务。这样,你的插件集合就成为了镜像的一部分,可以被版本化管理,并且在新容器启动时自动可用。
插件配置:每个插件安装后,通常都需要进行配置。配置过程一般是通过 OpenClaw 的 Web 界面或 CLI 完成,配置信息会保存在/home/node/.openclaw目录下,由于该目录已通过卷持久化,因此你的插件配置在容器重启后也会保留。
4.3 利用 GitHub Actions 实现自动部署
对于部署在远程服务器的生产环境,手动构建、上传、拉取镜像再重启容器是一套繁琐的操作。模板提供的 GitHub Actions 工作流可以自动化整个流程。
要让自动部署生效,你需要在你的 GitHub 仓库设置中配置以下 Secrets:
| Secret 名称 | 说明 | 示例值 |
|---|---|---|
SSH_HOST | 你的服务器公网 IP 或域名 | 123.45.67.89或myserver.example.com |
SSH_PORT | SSH 端口,通常为 22 | 22 |
SSH_USERNAME | 用于登录服务器的用户名 | deploy |
SSH_PRIVATE_KEY | 拥有服务器登录权限的 SSH 私钥全文 | -----BEGIN OPENSSH PRIVATE KEY-----... |
IMAGE_DIR_PATH | 服务器上存放镜像 tar 包的路径 | /home/deploy/images |
工作流(.github/workflows/build-and-deploy.yml)的部署部分逻辑如下:
- 在 Actions 环境中构建 Docker 镜像。
- 将镜像保存为
.tar文件。 - 通过
scp使用 SSH 密钥将.tar文件传输到你的服务器指定目录。 - 通过 SSH 在服务器上执行命令:加载新的镜像、停止旧容器、用新镜像启动容器。
安全提示:务必为部署创建一个专用的、具有最小必要权限的系统用户(如
deploy),并配置其通过 SSH 密钥登录。私钥千万不要泄露。这个用户应该只有权限操作 Docker 和特定的项目目录,以遵循最小权限原则。
5. 故障排查与运维经验实录
即使有了完善的模板,在实际操作中仍可能遇到问题。下面是我在多次部署和运维中积累的一些常见问题与解决方法。
5.1 容器启动失败与日志查看
问题现象:执行docker compose up -d gateway后,服务状态很快变为Exited。排查步骤:
- 查看容器日志:这是第一步,也是最有效的一步。
或者查看最近日志:docker compose logs gatewaydocker compose logs --tail 100 -f gateway - 常见错误:
- 端口冲突:日志中可能出现
Error: listen EADDRINUSE: address already in use :::3000。解决方法是修改docker-compose.yml中的宿主机端口映射。 - 权限错误:如果宿主机
./data目录的权限不对,导致node用户无法写入,日志会显示权限拒绝(Permission denied)。确保该目录对 Docker 的运行时用户可写。一个简单粗暴的测试方法是sudo chmod -R 777 ./data(生产环境请使用更精细的权限控制)。 - 卷挂载路径错误:检查
docker-compose.yml中的volumes路径是否正确,宿主机路径是否存在。
- 端口冲突:日志中可能出现
5.2 初始化流程卡住或报错
问题现象:执行docker compose run --rm cli onboard时,流程中断或报错。排查步骤:
- 检查网络连通性:确保
cli临时容器能访问到你指定的 OpenClaw 服务器 URL。如果是在本地机器上测试,使用http://host.docker.internal:3000通常比localhost更可靠,因为localhost在容器内指向容器自己。 - 确认绑定模式:初始化时必须选择
lan模式,其他模式可能导致服务绑定到错误的网络接口,致使无法访问。 - 清理旧配置:如果初始化中途失败,
./data目录下可能会留下不完整的openclaw.json。你可以尝试停止所有容器,备份后删除./data目录,然后重新启动并初始化。
5.3 设备无法配对或连接
问题现象:在客户端 App 中输入服务器地址后,一直等待或提示连接失败。排查步骤:
- 检查网关服务状态:首先确认
gateway容器正在运行 (docker compose ps)。 - 检查网络与防火墙:确保客户端设备能访问到宿主机的映射端口(如
3000)。如果服务器在云上,检查安全组/防火墙规则是否放行了该端口。如果服务器在本地局域网,检查客户端是否在同一网络。 - 验证配对流程:务必在gateway 容器内执行
devices list和devices approve命令。在cli容器内执行是无效的。 - 查看网关日志:在 gateway 容器日志中搜索与设备连接相关的错误信息 (
docker compose logs gateway | grep -i device)。
5.4 镜像更新与数据备份策略
更新 OpenClaw 版本:当 OpenClaw 发布新版本时,你需要更新镜像。
- 修改
Dockerfile中的npm install -g openclaw行,可以指定版本号,如openclaw@latest或openclaw@1.2.3。 - 更新
version.txt并推送,触发 GitHub Actions 自动构建和部署。 - 或者,在服务器上手动执行:
# 在项目目录下 docker compose pull # 如果使用远程镜像仓库 # 或 docker compose build --pull # 重新本地构建 docker compose down docker compose up -d --force-recreate gateway
数据备份:你的所有核心数据(配置、插件数据)都在./data目录下。定期备份这个目录即可。你可以使用简单的tar命令,或者集成到你的服务器备份脚本中。
tar -czf openclaw-backup-$(date +%Y%m%d).tar.gz ./data插件卷备份:命名卷extensions的数据也需要备份。你可以使用docker volume inspect找到它在宿主机上的实际路径,然后进行备份,或者使用docker run --rm -v 卷名:/data -v 宿主机路径:/backup alpine tar czf /backup/backup.tar.gz /data这样的命令来备份卷内容。
经过以上步骤,你应该已经拥有了一个完全在自己掌控下、稳定运行的 OpenClaw AI 助手服务。这个 Docker 模板将复杂的部署标准化、自动化,让你能更专注于使用 AI 助手本身,而不是陷在环境配置的泥潭里。
