Hosting
Oracle Cloud
Oracle Cloud の Always Free ARM ティア(最大 4 OCPU、24 GB RAM、200 GB ストレージ)で、永続的な OpenClaw Gateway を無料で実行します。
前提条件
- Oracle Cloud アカウント(登録)-- 問題が発生した場合は、コミュニティの登録ガイドを参照してください
- Tailscale アカウント(tailscale.comで無料)
- SSH キーペア
- 約 30 分
セットアップ
OCI インスタンスを作成する
- Oracle Cloud Console にログインします。
- Compute > Instances > Create Instance に移動します。
- 次のように設定します。
- Name:
openclaw - Image: Ubuntu 24.04 (aarch64)
- Shape:
VM.Standard.A1.Flex(Ampere ARM) - OCPUs: 2(または最大 4)
- Memory: 12 GB(または最大 24 GB)
- Boot volume: 50 GB(最大 200 GB まで無料)
- SSH key: 公開鍵を追加
- Name:
- Create をクリックし、パブリック IP アドレスを控えます。
接続してシステムを更新する
ssh ubuntu@YOUR_PUBLIC_IP sudo apt update && sudo apt upgrade -ysudo apt install -y build-essential一部の依存関係を ARM 向けにコンパイルするには、build-essential が必要です。
ユーザーとホスト名を設定する
sudo hostnamectl set-hostname openclawsudo passwd ubuntusudo loginctl enable-linger ubuntulinger を有効にすると、ログアウト後もユーザーサービスが実行され続けます。
Tailscale をインストールする
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --ssh --hostname=openclaw以降は Tailscale 経由で接続します:ssh ubuntu@openclaw。
OpenClaw をインストールする
curl -fsSL https://openclaw.ai/install.sh | bashsource ~/.bashrc「How do you want to hatch your bot?」と表示されたら、Do this later を選択します。
Gateway を設定する
安全なリモートアクセスのために、Tailscale Serve とトークン認証を使用します。
openclaw config set gateway.bind loopbackopenclaw config set gateway.auth.mode tokenopenclaw doctor --generate-gateway-tokenopenclaw config set gateway.tailscale.mode serveopenclaw config set gateway.trustedProxies '["127.0.0.1"]' systemctl --user restart openclaw-gateway.serviceここでの gateway.trustedProxies=["127.0.0.1"] は、ローカルの Tailscale Serve プロキシによる転送元 IP/ローカルクライアントの処理にのみ使用されます。これは gateway.auth.mode: "trusted-proxy" ではありません。この設定では、差分ビューアーのルートは引き続きフェイルクローズ動作を維持します。転送プロキシヘッダーのない生の 127.0.0.1 ビューアーリクエストには Diff not found が返されます。添付ファイルには mode=file / mode=both を使用してください。共有可能なビューアーリンクが必要な場合は、リモートビューアーを意図的に有効にして plugins.entries.diffs.config.viewerBaseUrl を設定するか、プロキシの baseUrl を渡します。
VCN のセキュリティを強化する
ネットワーク境界で Tailscale 以外のすべてのトラフィックをブロックします。
- OCI Console で Networking > Virtual Cloud Networks に移動します。
- 対象の VCN をクリックし、Security Lists > Default Security List に移動します。
0.0.0.0/0 UDP 41641(Tailscale)以外のすべての受信ルールを削除します。- デフォルトの送信ルール(すべての送信を許可)は維持します。
これにより、ネットワーク境界でポート 22 の SSH、HTTP、HTTPS、およびその他すべてがブロックされます。以降は Tailscale 経由でのみ接続できます。
確認する
openclaw --versionsystemctl --user status openclaw-gateway.servicetailscale serve statuscurl http://localhost:18789tailnet 上の任意のデバイスからコントロール UI にアクセスします。
https://openclaw.<tailnet-name>.ts.net/<tailnet-name> を tailnet 名(tailscale status で確認可能)に置き換えます。
セキュリティ状態を確認する
VCN をロックダウンして UDP 41641 のみを開放し、Gateway をループバックにバインドすると、パブリックトラフィックはネットワーク境界でブロックされ、管理アクセスは tailnet 内に限定されます。そのため、従来の VPS 強化手順のいくつかは不要になります。
| 従来の手順 | 必要か | 理由 |
|---|---|---|
| UFW ファイアウォール | いいえ | VCN がインスタンスに到達する前にトラフィックをブロックします。 |
| fail2ban | いいえ | ポート 22 は VCN でブロックされるため、ブルートフォース攻撃の対象領域がありません。 |
| sshd の強化 | いいえ | Tailscale SSH は sshd を使用しません。 |
| root ログインの無効化 | いいえ | Tailscale はシステムユーザーではなく、tailnet のアイデンティティで認証します。 |
| SSH 鍵のみの認証 | いいえ | 同様に、tailnet のアイデンティティがシステムの SSH 鍵に代わります。 |
| IPv6 の強化 | 通常は不要 | VCN/サブネットの設定によって異なります。実際に割り当て/公開されているものを確認してください。 |
引き続き推奨される事項:
chmod 700 ~/.openclawで認証情報ファイルの権限を制限します。openclaw security auditで OpenClaw 固有のセキュリティ状態を確認します。- OS パッチを適用するため、定期的に
sudo apt update && sudo apt upgradeを実行します。 - Tailscale admin console でデバイスを定期的に確認します。
簡易確認コマンド:
# パブリックポートがリッスンしていないことを確認sudo ss -tlnp | grep -v '127.0.0.1\|::1' # Tailscale SSH が有効であることを確認tailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active" # 任意:Tailscale SSH が動作していることを確認した後、sshd を完全に無効化sudo systemctl disable --now sshARM に関する注意事項
Always Free ティアは ARM(aarch64)です。OpenClaw のほとんどの機能は問題なく動作しますが、少数のネイティブバイナリでは ARM ビルドが必要です。
- Node.js、Telegram、WhatsApp(Baileys):純粋な JavaScript のため、問題はありません。
- ネイティブコードを含むほとんどの npm パッケージ:ビルド済みの
linux-arm64アーティファクトを利用できます。 - オプションの CLI ヘルパー(例:Skills が提供する Go/Rust バイナリ):インストール前に
aarch64/linux-arm64リリースがあるか確認してください。
uname -m でアーキテクチャを確認します(aarch64 と表示されるはずです)。ARM ビルドのないバイナリは、ソースからインストールするか、使用を見送ってください。
永続化とバックアップ
OpenClaw の状態は次の場所に保存されます。
~/.openclaw/--openclaw.json、エージェントごとのauth-profiles.json、チャネル/プロバイダーの状態、セッションデータ。~/.openclaw/workspace/-- エージェントのワークスペース(SOUL.md、メモリ、アーティファクト)。
これらは再起動後も保持されます。移植可能なスナップショットを作成するには、次を実行します。
openclaw backup create代替手段:SSH トンネル
Tailscale Serve が動作しない場合は、ローカルマシンから SSH トンネルを使用します。
ssh -L 18789:127.0.0.1:18789 ubuntu@openclaw次に http://localhost:18789 を開きます。
トラブルシューティング
インスタンスの作成に失敗する(「Out of capacity」) -- 無料ティアの ARM インスタンスは人気があります。別の可用性ドメインを試すか、利用の少ない時間帯に再試行してください。
Tailscale が接続できない -- sudo tailscale up --ssh --hostname=openclaw --reset を実行して再認証します。
Gateway が起動しない -- openclaw doctor --non-interactive を実行し、journalctl --user -u openclaw-gateway.service -n 50 でログを確認します。
ARM バイナリの問題 -- ほとんどの npm パッケージは ARM64 で動作します。ネイティブバイナリについては、linux-arm64 または aarch64 リリースを探してください。uname -m でアーキテクチャを確認します。
次のステップ
- チャネル -- Telegram、WhatsApp、Discord などを接続する
- Gateway の設定 -- すべての設定オプション
- 更新 -- OpenClaw を最新の状態に保つ