# 8.2 国内云部署实战

> **生成模型**：gpt-5.4 (openai/gpt-5.4) **Token 消耗**：输入 \~16k tokens，输出 \~4.0k tokens（估算，本节）

***

把 OpenClaw 部署到中国大陆，跟普通海外 VPS 教程最大的差别，不是命令本身，而是环境条件完全不同。你要考虑的不只是“服务能不能启动”，还要考虑国内访问速度、备案、云厂商安全组、镜像源、反向代理，甚至是模型服务到底走不走得通。

这一节就按最常见的两条路线来讲：阿里云 ECS 和腾讯云 CVM。其实两家的思路差不多，你掌握一套，另一套很快就能照着做。

## 8.2.1 先定部署目标：别一上来就买太大的机器

如果你只是自己用，或者小团队内测，OpenClaw 对机器要求没那么夸张。一般来说：

* **最小可用**：2 vCPU / 4 GB RAM / 40 GB SSD
* **比较舒服**：4 vCPU / 8 GB RAM / 80 GB SSD
* **多人共用或带浏览器、沙箱**：4 vCPU / 16 GB RAM 起步

为什么不是越大越好？因为中国大陆云服务器除了机器本身，还有带宽、备案、快照、域名、证书这些外围成本。第一次部署，先买够用的，比一口气堆配置更实在。

## 8.2.2 地域怎么选

阿里云和腾讯云都提供很多地域。选的时候，主要看三件事：

* 用户大多在哪个城市。
* 你的模型服务在哪。
* 域名备案和业务合规要求怎么走。

经验上：

* 华东、华北通常比较稳，资源也多。
* 如果团队分布在上海、杭州一带，优先华东。
* 如果团队主要在北京、天津，优先华北。
* 如果你还有香港或海外链路需求，别把所有关键依赖都压在一台大陆机器上。

一个常见误区是：把 OpenClaw 部署到大陆，模型却还在境外，而且没有稳定代理。这样最终体验仍然会差，因为平台回调快了，模型响应却卡住了。

## 8.2.3 阿里云 ECS 实战流程

### 第一步：购买和初始化

阿里云 ECS 这边，建议直接选 Ubuntu 22.04 LTS 或 Debian 12。理由很简单：资料多，OpenClaw、Docker、Nginx 的命令基本都能直接套。

创建实例时注意这几个点：

* 系统盘不要太小，40 GB 起步。
* 公网带宽别选太抠，至少 3 Mbps，正式用建议 5 Mbps 到 10 Mbps。
* 开启公网 IP。
* 登录方式优先 SSH 密钥，不要只靠密码。

登录服务器：

```bash
ssh root@your-ecs-ip
```

创建普通用户：

```bash
adduser openclaw
usermod -aG sudo openclaw
su - openclaw
```

### 第二步：切国内镜像源

在大陆机房里，第一件事往往不是装 OpenClaw，而是换镜像源。不换的话，装依赖时经常会慢得让人怀疑人生。

```bash
sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak
sudo sed -i 's/archive.ubuntu.com/mirrors.aliyun.com/g' /etc/apt/sources.list
sudo sed -i 's/security.ubuntu.com/mirrors.aliyun.com/g' /etc/apt/sources.list
sudo apt update
```

再补几个常用工具：

```bash
sudo apt install -y curl git unzip ca-certificates gnupg nginx
```

### 第三步：安装 Docker 或 Node 运行环境

如果你打算直接用 Docker，装法如下：

```bash
curl -fsSL https://get.docker.com | sh
sudo usermod -aG docker $USER
newgrp docker
docker --version
```

如果你想先用 Node 直跑，也行：

```bash
curl -fsSL https://fnm.vercel.app/install | bash
source ~/.bashrc
fnm install 22
node -v
corepack enable
pnpm -v
```

### 第四步：放通安全组

阿里云安全组这一步很关键。很多人服务都起好了，结果外网还是访问不到，最后发现只是安全组没开。

至少要放这些端口：

* `22`：SSH
* `80`：HTTP
* `443`：HTTPS
* `8945`：如果你临时直连 OpenClaw Gateway 做调试

正式环境更推荐只开放 80 和 443，对外不要直接暴露内部管理端口。

## 8.2.4 腾讯云 CVM 实战流程

腾讯云 CVM 跟阿里云 ECS 的差别没有想象中那么大。你可以把它看成同一套部署脚本换个控制台。

### 第一步：购买实例

推荐配置和 ECS 基本一致：

* 2 核 4G 起步
* SSD 云硬盘 40 GB 起步
* Ubuntu 22.04 或 Debian 12
* 带宽至少 3 Mbps

### 第二步：配置防火墙和安全组

腾讯云这边通常既有安全组，也可能有系统内防火墙。两层都要注意。

如果系统开启了 UFW：

```bash
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
sudo ufw status
```

控制台安全组里，也要同步放行 22、80、443。不要只配一层。

### 第三步：部署 OpenClaw

先建目录：

```bash
mkdir -p ~/openclaw
cd ~/openclaw
```

如果你已经准备好配置文件和 `.env`，直接上传：

```bash
scp ./openclaw.json ./docker-compose.yml ./env.production openclaw@your-cvm-ip:~/openclaw/
```

然后再启动。容器化方案下一节细讲，这里先把云主机环境准备明白。

## 8.2.5 域名、备案和 HTTPS

在中国大陆正式部署，只要你不是纯 IP 内网访问，域名和备案基本绕不过去。

### ICP 备案为什么重要

如果你打算：

* 用大陆服务器承接飞书、钉钉、企业微信 Webhook
* 对外暴露控制台或 WebChat
* 长期稳定运行

那ICP备案通常就不是“可选项”，而是“迟早得做”。尤其是一些企业平台回调地址，管理员一看你用裸 IP 或没备案域名，立刻就会皱眉。

### HTTPS 怎么处理

Nginx 最常见，理由也简单：稳、文档多、和云厂商兼容好。

一个典型反向代理配置可以这样写：

```nginx
server {
    listen 80;
    server_name bot.example.cn;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name bot.example.cn;

    ssl_certificate     /etc/ssl/bot/fullchain.pem;
    ssl_certificate_key /etc/ssl/bot/privkey.pem;

    client_max_body_size 20m;

    location / {
        proxy_pass http://127.0.0.1:8945;
        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}
```

启用配置：

```bash
sudo ln -s /etc/nginx/sites-available/openclaw /etc/nginx/sites-enabled/openclaw
sudo nginx -t
sudo systemctl reload nginx
```

如果你用的是云厂商自带证书服务，也可以把证书直接部署到 Nginx。第一次上线时，不要嫌麻烦，先把 HTTPS 和跳转一次配对，后面平台回调会省掉很多问题。

## 8.2.6 OpenClaw 在国内云上的推荐部署结构

一个比较稳的结构是这样：

```
公网域名 -> Nginx -> OpenClaw Gateway
                    -> 平台回调入口
                    -> WebChat / 控制台
```

为什么不推荐把 OpenClaw 直接裸露在公网端口上？因为国内企业环境通常更看重入口统一、证书统一、日志统一。Nginx 放前面，很多事都好做：

* TLS 终止统一处理
* Webhook 路径统一管理
* 访问日志更清楚
* 以后做限流、IP 白名单也更方便

## 8.2.7 成本大概怎么算

第一次做国内部署时，很多人最容易低估的是“机器之外的成本”。可以粗略按下面估：

### 阿里云 ECS

* 2 核 4G 轻量或 ECS：大约每月 80 到 200 元
* 4 核 8G：大约每月 200 到 500 元
* 公网带宽、快照、云盘扩容：再加几十到一百多元

### 腾讯云 CVM

* 2 核 4G：大约每月 70 到 180 元
* 4 核 8G：大约每月 180 到 450 元
* 带宽和磁盘是单独变量，别只看实例标价

### 域名和证书

* `.cn` 域名通常几十元一年
* DV 证书有时可以免费，有时你会直接用云厂商证书服务
* ICP 备案本身一般不收费，但会花时间

如果只是团队内部试点，一个月控制在 150 到 400 元完全有可能。真到正式生产，成本更多取决于模型调用费用，而不是云主机本身。

## 8.2.8 中国大陆环境下最容易踩的坑

### 坑一：云主机在国内，模型服务在国外

这时平台回调很快，OpenClaw 处理也快，但模型响应慢，用户只会觉得“机器人时灵时不灵”。解决方法很直接：

* 优先选国内模型提供者。
* 或者给模型侧准备稳定代理和健康检查。
* 不要让平台、网关、模型三者都跨境。

### 坑二：安全组开了，系统防火墙没开

或者反过来。你以为是 OpenClaw 没启动，结果只是 `443` 没放开。部署时一定要养成习惯：云控制台看一遍，系统防火墙再看一遍。

### 坑三：Nginx 配好了，域名没备案

测试环境可能还能凑合，正式环境里就会很难受。平台管理员、公司安全同学、甚至浏览器本身都会给你制造阻力。

### 坑四：所有东西都堆在 root 账户下

短期方便，长期一定痛苦。日志权限、Docker 文件权限、自动化脚本、备份恢复，后面都会变得麻烦。

## 8.2.9 一套很实用的上线检查命令

```bash
# 1. 看服务监听
sudo ss -lntp | grep -E '80|443|8945'

# 2. 看 Nginx 状态
sudo systemctl status nginx

# 3. 看外网 HTTPS 是否通
curl -I https://bot.example.cn

# 4. 看 OpenClaw 日志
openclaw logs --follow

# 5. 看 Docker 容器状态（如果用了 Docker）
docker compose ps
```

别嫌这几条土。正式上线前，把这几条跑顺，比看十篇教程都值。

## 本节小结

国内云部署的关键，不是把 OpenClaw “扔到一台服务器上”就结束，而是把地域、带宽、安全组、域名、备案、Nginx 和模型链路一起考虑。阿里云 ECS 和腾讯云 CVM 的操作界面不一样，但本质相同：准备一台稳定的大陆主机，入口用 Nginx 收口，域名和 HTTPS 先配好，模型链路尽量别跨境太多。把这些基础打牢，后面的 Docker 化和生产配置就简单多了。