在GCP Compute Engine 上运行OpenClaw（Docker，生产级 VPS 指南）

目标

使用 Docker ?GCP Compute Engine VM 上运行持久的 OpenClaw Gateway，具有持久化状态、内置二进制文件和安全的重启行为?

如果你想?每月?$5-12 的全天?OpenClaw”，这是在 Google Cloud 上的可靠设置? 价格因机器类型和区域而异；选择适合你工作负载的最?VM，如果遇?OOM 则扩容?

我们在做什么（简单说明）?

• 创建 GCP 项目并启用计?
• 创建 Compute Engine VM
• 安装 Docker（隔离的应用运行时）
• ?Docker 中启?OpenClaw Gateway
• 在主机上持久?~/.openclaw + ~/.openclaw/workspace（在重启/重建后保留）
• 通过 SSH 隧道从笔记本电脑访问 Control UI

Gateway 可以通过以下方式访问?

• 从笔记本电脑进行 SSH 端口转发
• 如果你自己管理防火墙?token，可以直接暴露端?

本指南在 GCP Compute Engine 上使?Debian? Ubuntu 也可以工作；请相应地映射包? 有关通用 Docker 流程，参?Docker?

快速路径（经验丰富的运维人员）

1. 创建 GCP 项目 + 启用 Compute Engine API
2. 创建 Compute Engine VM（e2-small，Debian 12?0GB?
3. SSH 进入 VM
4. 安装 Docker
5. 克隆 OpenClaw 仓库
6. 创建持久化的主机目录
7. 配置 .env ?docker-compose.yml
8. 烘焙所需的二进制文件，构建并启动

你需要的

• GCP 账户（e2-micro 符合免费层条件）
• 安装 gcloud CLI（或使用 Cloud Console?
• 从笔记本电脑 SSH 连接
• 基本?SSH + 复制/粘贴熟练?
• ?20-30 分钟
• Docker ?Docker Compose
• 模型认证凭证
• 可选的 provider 凭证
  • WhatsApp QR
  • Telegram bot token
  • Gmail OAuth

1) 安装 gcloud CLI（或使用 Console?

选项 A：gcloud CLI（推荐用于自动化?

?https://cloud.google.com/sdk/docs/install 安装

初始化并认证?

gcloud init
gcloud auth login

选项 B：Cloud Console

所有步骤都可以通过 https://console.cloud.google.com ?Web UI 完成?

2) 创建 GCP 项目

*CLI?

gcloud projects create my-openclaw-project --name="OpenClaw Gateway"
gcloud config set project my-openclaw-project

?https://console.cloud.google.com/billing 启用计费（Compute Engine 需要）?

启用 Compute Engine API?

gcloud services enable compute.googleapis.com

*Console?

1. 转到 IAM & Admin > 创建项目
2. 命名并创?
3. 为项目启用计?
4. 转到 APIs & Services > 启用 APIs > 搜索 “Compute Engine API” > 启用

3) 创建 VM

*机器类型?

*CLI?

gcloud compute instances create openclaw-gateway \
  --zone=us-central1-a \
  --machine-type=e2-small \
  --boot-disk-size=20GB \
  --image-family=debian-12 \
  --image-project=debian-cloud

*Console?

1. 转到 Compute Engine > VM instances > 创建实例
2. 名称：openclaw-gateway
3. 区域：us-central1，区域：us-central1-a
4. 机器类型：e2-small
5. 启动磁盘：Debian 12?0GB
6. 创建

4) SSH 进入 VM

*CLI?

gcloud compute ssh openclaw-gateway --zone=us-central1-a

*Console?

点击 Compute Engine 仪表板中 VM 旁边?SSH”按钮?

注意：SSH 密钥传播?VM 创建后可能需?1-2 分钟。如果连接被拒绝，请等待并重试?

5) 安装 Docker（在 VM 上）

sudo apt-get update
sudo apt-get install -y git curl ca-certificates
curl -fsSL https://get.docker.com | sudo sh
sudo usermod -aG docker $USER

注销并重新登录以使组更改生效?

exit

然后重新 SSH 进入?

gcloud compute ssh openclaw-gateway --zone=us-central1-a

验证?

docker --version
docker compose version

6) 克隆 OpenClaw 仓库

git clone https://github.com/openclaw/openclaw.git
cd openclaw

本指南假设你将构建自定义镜像以保证二进制文件持久化?

7) 创建持久化的主机目录

Docker 容器是临时的? 所有长期状态必须保存在主机上?

mkdir -p ~/.openclaw
mkdir -p ~/.openclaw/workspace

8) 配置环境变量

在仓库根目录创建 .env?

OPENCLAW_IMAGE=openclaw:latest
OPENCLAW_GATEWAY_TOKEN=change-me-now
OPENCLAW_GATEWAY_BIND=lan
OPENCLAW_GATEWAY_PORT=18789

OPENCLAW_CONFIG_DIR=/home/$USER/.openclaw
OPENCLAW_WORKSPACE_DIR=/home/$USER/.openclaw/workspace

GOG_KEYRING_PASSWORD=change-me-now
XDG_CONFIG_HOME=/home/node/.openclaw

生成?secrets?

openssl rand -hex 32

*不要提交此文件?

9) Docker Compose 配置

创建或更?docker-compose.yml?

services:
  openclaw-gateway:
    image: ${OPENCLAW_IMAGE}
    build: .
    restart: unless-stopped
    env_file:
      - .env
    environment:
      - HOME=/home/node
      - NODE_ENV=production
      - TERM=xterm-256color
      - OPENCLAW_GATEWAY_BIND=${OPENCLAW_GATEWAY_BIND}
      - OPENCLAW_GATEWAY_PORT=${OPENCLAW_GATEWAY_PORT}
      - OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}
      - GOG_KEYRING_PASSWORD=${GOG_KEYRING_PASSWORD}
      - XDG_CONFIG_HOME=${XDG_CONFIG_HOME}
      - PATH=/home/linuxbrew/.linuxbrew/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
    volumes:
      - ${OPENCLAW_CONFIG_DIR}:/home/node/.openclaw
      - ${OPENCLAW_WORKSPACE_DIR}:/home/node/.openclaw/workspace
    ports:
      # 推荐：保?Gateway ?VM 上仅限环回访问；通过 SSH 隧道访问?
      # 要公开暴露，删?`127.0.0.1:` 前缀并相应配置防火墙?
      - "127.0.0.1:${OPENCLAW_GATEWAY_PORT}:18789"
    command:
      [
        "node",
        "dist/index.js",
        "gateway",
        "--bind",
        "${OPENCLAW_GATEWAY_BIND}",
        "--port",
        "${OPENCLAW_GATEWAY_PORT}",
      ]

10) 将所需的二进制文件烘焙到镜像中（关键）

在运行中的容器内安装二进制文件是一个陷阱? 运行时安装的任何东西都将在重启时丢失?

技能所需的所有外部二进制文件必须在镜像构建时安装?

以下示例仅显示三个常见的二进制文件：

• gog 用于 Gmail 访问
• goplaces 用于 Google Places
• wacli 用于 WhatsApp

这些是示例，不是完整列表? 你可以使用相同的模式安装尽可能多的二进制文件?

如果你稍后添加依赖额外二进制文件的新技能，你必须：

1. 更新 Dockerfile
2. 重新构建镜像
3. 重启容器

示例 Dockerfile

FROM node:22-bookworm

RUN apt-get update && apt-get install -y socat && rm -rf /var/lib/apt/lists/*

# 示例二进制文?1：Gmail CLI
RUN curl -L https://github.com/steipete/gog/releases/latest/download/gog_Linux_x86_64.tar.gz \
  | tar -xz -C /usr/local/bin && chmod +x /usr/local/bin/gog

# 示例二进制文?2：Google Places CLI
RUN curl -L https://github.com/steipete/goplaces/releases/latest/download/goplaces_Linux_x86_64.tar.gz \
  | tar -xz -C /usr/local/bin && chmod +x /usr/local/bin/goplaces

# 示例二进制文?3：WhatsApp CLI
RUN curl -L https://github.com/steipete/wacli/releases/latest/download/wacli_Linux_x86_64.tar.gz \
  | tar -xz -C /usr/local/bin && chmod +x /usr/local/bin/wacli

# 使用相同模式在下面添加更多二进制文件

WORKDIR /app
COPY package.json pnpm-lock.yaml pnpm-workspace.yaml .npmrc ./
COPY ui/package.json ./ui/package.json
COPY scripts ./scripts

RUN corepack enable
RUN pnpm install --frozen-lockfile

COPY . .
RUN pnpm build
RUN pnpm ui:install
RUN pnpm ui:build

ENV NODE_ENV=production

CMD ["node","dist/index.js"]

11) 构建并启?

docker compose build
docker compose up -d openclaw-gateway

如果构建?pnpm install --frozen-lockfile 期间?Killed / 退出码 137 失败，说?VM 内存不足。至少使?e2-small，或使用 e2-medium 以获得更可靠的首次构建?

当绑定到 LAN（OPENCLAW_GATEWAY_BIND=lan）时，继续之前配置受信任的浏览器源：

docker compose run --rm openclaw-cli config set gateway.controlUi.allowedOrigins '["http://127.0.0.1:18789"]' --strict-json

如果更改?gateway 端口，将 18789 替换为你的配置端口?

验证二进制文件：

docker compose exec openclaw-gateway which gog
docker compose exec openclaw-gateway which goplaces
docker compose exec openclaw-gateway which wacli

预期输出?

/usr/local/bin/gog
/usr/local/bin/goplaces
/usr/local/bin/wacli

12) 验证 Gateway

docker compose logs -f openclaw-gateway

成功?

[gateway] listening on ws://0.0.0.0:18789

13) 从笔记本电脑访问

创建 SSH 隧道以转?Gateway 端口?

gcloud compute ssh openclaw-gateway --zone=us-central1-a -- -L 18789:127.0.0.1:18789

在浏览器中打开?

http://127.0.0.1:18789/

获取新的?token 的仪表板链接?

docker compose run --rm openclaw-cli dashboard --no-open

粘贴?URL 中的 token?

如果 Control UI 显示 未授权 ?已断开连接?008）：需要配对，请批准浏览器设备：

docker compose run --rm openclaw-cli devices list
docker compose run --rm openclaw-cli devices approve <requestId>

什么在哪里持久化（真实来源?

OpenClaw ?Docker 中运行，?Docker 不是真实来源? 所有长期状态必须在重启、重建和重新启动后保留?

更新

要在 VM 上更?OpenClaw?

cd ~/openclaw
git pull
docker compose build
docker compose up -d

故障排除

*SSH 连接被拒?

SSH 密钥传播?VM 创建后可能需?1-2 分钟。等待并重试?

OS Login 问题

检查你?OS Login profile?

gcloud compute os-login describe-profile

确保你的账户具有所需?IAM 权限（Compute OS Login ?Compute OS Admin Login）?

*内存不足（OOM?

如果 Docker 构建?Killed ?退出码 137 失败，说?VM ?OOM 杀死。升级到 e2-small（最低）?e2-medium（推荐用于可靠的本地构建）：

# 先停?VM
gcloud compute instances stop openclaw-gateway --zone=us-central1-a

# 更改机器类型
gcloud compute instances set-machine-type openclaw-gateway \
  --zone=us-central1-a \
  --machine-type=e2-small

# 启动 VM
gcloud compute instances start openclaw-gateway --zone=us-central1-a

服务账户（安全最佳实践）

对于个人使用，你的默认用户账户可以正常工作?

对于自动化或 CI/CD 管道，请创建具有最小权限的专用服务账户?

1. 创建服务账户?

   gcloud iam service-accounts create openclaw-deploy \
     --display-name="OpenClaw Deployment"

2. 授予 Compute Instance Admin 角色（或更窄的自定义角色）：

   gcloud projects add-iam-policy-binding my-openclaw-project \
     --member="serviceAccount:[email protected]" \
     --role="roles/compute.instanceAdmin.v1"

避免为自动化使用 Owner 角色。使用最小权限原则?

有关 IAM 角色详情，参?https://cloud.google.com/iam/docs/understanding-roles?

下一?

• 设置消息频道：频道
• 将本地设备配对为节点：节点
• 配置 Gateway：Gateway 配置