Aller au contenu
OpenClaw Docs

Oracle Cloud (Plateforme)

OpenClaw sur Oracle Cloud (OCI)

Section intitulée « OpenClaw sur Oracle Cloud (OCI) »

Objectif

Section intitulée « Objectif »

Exécuter une passerelle OpenClaw persistante sur le niveau ARM Always Free d’Oracle Cloud.

Le niveau gratuit d’Oracle peut être un bon choix pour OpenClaw (surtout si vous avez déjà un compte OCI), mais il présente des compromis :

  • Architecture ARM (la plupart des choses fonctionnent, mais certains binaires peuvent être uniquement x86)
  • La capacité et l’inscription peuvent être capricieuses

Comparaison des coûts (2026)

Section intitulée « Comparaison des coûts (2026) »
FournisseurPlanSpécificationsPrix/moisNotes
Oracle CloudAlways Free ARMjusqu’à 4 OCPU, 24 Go de RAM0 $ARM, capacité limitée
HetznerCX222 vCPU, 4 Go de RAM~ 4 $Option payante la moins chère
DigitalOceanBasic1 vCPU, 1 Go de RAM6 $Interface simple, bonne documentation
VultrCloud Compute1 vCPU, 1 Go de RAM6 $De nombreux emplacements
LinodeNanode1 vCPU, 1 Go de RAM5 $Fait désormais partie d’Akamai

Prérequis

Section intitulée « Prérequis »

1) Créer une instance OCI

Section intitulée « 1) Créer une instance OCI »
  1. Connectez-vous à la Console Oracle Cloud
  2. Accédez à Compute → Instances → Create Instance
  3. Configurez :
    • Nom : openclaw
    • Image : Ubuntu 24.04 (aarch64)
    • Forme (Shape) : VM.Standard.A1.Flex (Ampere ARM)
    • OCPUs : 2 (ou jusqu’à 4)
    • Mémoire : 12 Go (ou jusqu’à 24 Go)
    • Volume de démarrage : 50 Go (jusqu’à 200 Go gratuits)
    • Clé SSH : Ajoutez votre clé publique
  4. Cliquez sur Create
  5. Notez l’adresse IP publique

Conseil : Si la création de l’instance échoue avec “Out of capacity”, essayez un domaine de disponibilité différent ou réessayez plus tard. La capacité du niveau gratuit est limitée.

2) Se connecter et mettre à jour

Section intitulée « 2) Se connecter et mettre à jour »
Fenêtre de terminal
# Connect via public IP
ssh ubuntu@YOUR_PUBLIC_IP


# Update system
sudo apt update && sudo apt upgrade -y
sudo apt install -y build-essential

Remarque : build-essential est requis pour la compilation ARM de certaines dépendances.

3) Configurer l’utilisateur et le nom d’hôte

Section intitulée « 3) Configurer l’utilisateur et le nom d’hôte »
Fenêtre de terminal
# Set hostname
sudo hostnamectl set-hostname openclaw


# Set password for ubuntu user
sudo passwd ubuntu


# Enable lingering (keeps user services running after logout)
sudo loginctl enable-linger ubuntu

4) Installer Tailscale

Section intitulée « 4) Installer Tailscale »
Fenêtre de terminal
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --ssh --hostname=openclaw

Cela active le SSH Tailscale, vous permettant ainsi de vous connecter via ssh openclaw depuis n’importe quel appareil de votre tailnet — aucune adresse IP publique n’est nécessaire.

Vérifier :

Fenêtre de terminal
tailscale status

Désormais, connectez-vous via Tailscale : ssh ubuntu@openclaw (ou utilisez l’IP Tailscale).

5) Installer OpenClaw

Section intitulée « 5) Installer OpenClaw »
Fenêtre de terminal
curl -fsSL https://openclaw.ai/install.sh | bash
source ~/.bashrc

Lorsqu’on vous demande « How do you want to hatch your bot? », sélectionnez « Do this later ».

Remarque : Si vous rencontrez des problèmes de compilation natifs ARM, commencez par les paquets système (ex. sudo apt install -y build-essential) avant d’utiliser Homebrew.

6) Configurer Gateway (loopback + auth par token) et activer Tailscale Serve

Section intitulée « 6) Configurer Gateway (loopback + auth par token) et activer Tailscale Serve »

Utilisez l’authentification par token par défaut. Elle est prévisible et évite d’avoir besoin de drapeaux « insecure auth » dans l’interface de contrôle.

Fenêtre de terminal
# Keep the Gateway private on the VM
openclaw config set gateway.bind loopback


# Require auth for the Gateway + Control UI
openclaw config set gateway.auth.mode token
openclaw doctor --generate-gateway-token


# Expose over Tailscale Serve (HTTPS + tailnet access)
openclaw config set gateway.tailscale.mode serve
openclaw config set gateway.trustedProxies '["127.0.0.1"]'


systemctl --user restart openclaw-gateway

7) Vérifier

Section intitulée « 7) Vérifier »
Fenêtre de terminal
# Check version
openclaw --version


# Check daemon status
systemctl --user status openclaw-gateway


# Check Tailscale Serve
tailscale serve status


# Test local response
curl http://localhost:18789

8) Verrouiller la sécurité du VCN

Section intitulée « 8) Verrouiller la sécurité du VCN »

Maintenant que tout fonctionne, verrouillez le VCN pour bloquer tout le trafic sauf Tailscale. Le réseau cloud virtuel (VCN) d’OCI agit comme un pare-feu à la périphérie du réseau — le trafic est bloqué avant d’atteindre votre instance.

  1. Allez dans Networking → Virtual Cloud Networks dans la console OCI
  2. Cliquez sur votre VCN → Security Lists → Default Security List
  3. Supprimez toutes les règles d’ingress sauf :
    • 0.0.0.0/0 UDP 41641 (Tailscale)
  4. Conservez les règles d’egress par défaut (autoriser tout le trafic sortant)

Cela bloque le SSH sur le port 22, HTTP, HTTPS et tout autre chose à la périphérie du réseau. Désormais, vous ne pouvez vous connecter que via Tailscale.

Accéder à l’interface de contrôle

Section intitulée « Accéder à l’interface de contrôle »

Depuis n’importe quel appareil sur votre réseau Tailscale :

https://openclaw.<tailnet-name>.ts.net/

Remplacez <tailnet-name> par le nom de votre tailnet (visible dans tailscale status).

Aucun tunnel SSH nécessaire. Tailscale fournit :

  • Chiffrement HTTPS (certificats automatiques)
  • Authentification via l’identité Tailscale
  • Accès depuis n’importe quel appareil de votre tailnet (ordinateur portable, téléphone, etc.)

Sécurité : VCN + Tailscale (ligne de base recommandée)

Section intitulée « Sécurité : VCN + Tailscale (ligne de base recommandée) »

Avec le VCN verrouillé (seul le port UDP 41641 ouvert) et le Gateway lié au loopback, vous bénéficiez d’une défense en profondeur robuste : le trafic public est bloqué à la périphérie du réseau et l’accès administrateur s’effectue via votre tailnet.

Cette configuration élimine souvent le besoin de règles de pare-feu basées sur l’hôte supplémentaires uniquement pour arrêter les attaques par force brute SSH sur tout Internet — mais vous devez quand même garder le système à jour, exécuter openclaw security audit, et vérifier que vous n’écoutez pas accidentellement sur des interfaces publiques.

Already protected

Section intitulée « Already protected »
Étape traditionnelleNécessaire ?Pourquoi
Pare-feu UFWNonLe VCN bloque avant que le trafic n’atteigne l’instance
fail2banNonPas de force brute si le port 22 est bloqué au niveau du VCN
Durcissement sshdNonLe SSH Tailscale n’utilise pas sshd
Désactiver la connexion rootNonTailscale utilise l’identité Tailscale, pas les utilisateurs système
Authentification par clé SSH uniquementNonTailscale s’authentifie via votre tailnet
Durcissement IPv6Habituellement nonDépend de vos paramètres VCN/sous-réseau ; vérifiez ce qui est réellement assigné/exposé

Toujours recommandé

Section intitulée « Toujours recommandé »
  • Autorisations des informations d’identification : chmod 700 ~/.openclaw
  • Audit de sécurité : openclaw security audit
  • Mises à jour système : sudo apt update && sudo apt upgrade régulièrement
  • Surveiller Tailscale : Consultez les appareils dans la console d’administration Tailscale

Vérifier la posture de sécurité

Section intitulée « Vérifier la posture de sécurité »
Fenêtre de terminal
# Confirm no public ports listening
sudo ss -tlnp | grep -v '127.0.0.1\|::1'


# Verify Tailscale SSH is active
tailscale status | grep -q 'offers: ssh' && echo "Tailscale SSH active"


# Optional: disable sshd entirely
sudo systemctl disable --now ssh

Solution de secours : Tunnel SSH

Section intitulée « Solution de secours : Tunnel SSH »

Si Tailscale Serve ne fonctionne pas, utilisez un tunnel SSH :

Fenêtre de terminal
# From your local machine (via Tailscale)
ssh -L 18789:127.0.0.1:18789 ubuntu@openclaw

Ensuite, ouvrez http://localhost:18789.

Dépannage

Section intitulée « Dépannage »

Échec de la création de l’instance (“Out of capacity”)

Section intitulée « Échec de la création de l’instance (“Out of capacity”) »

Les instances ARM de niveau gratuit sont populaires. Essayez :

  • Un domaine de disponibilité différent
  • Réessayez hors des heures de pointe (tôt le matin)
  • Utilisez le filtre “Always Free” lors de la sélection de la forme

Tailscale ne se connectera pas

Section intitulée « Tailscale ne se connectera pas »
Fenêtre de terminal
# Check status
sudo tailscale status


# Re-authenticate
sudo tailscale up --ssh --hostname=openclaw --reset

Gateway ne démarrera pas

Section intitulée « Gateway ne démarrera pas »
Fenêtre de terminal
openclaw gateway status
openclaw doctor --non-interactive
journalctl --user -u openclaw-gateway -n 50

Impossible d’atteindre l’interface de contrôle

Section intitulée « Impossible d’atteindre l’interface de contrôle »
Fenêtre de terminal
# Verify Tailscale Serve is running
tailscale serve status


# Check gateway is listening
curl http://localhost:18789


# Restart if needed
systemctl --user restart openclaw-gateway

Problèmes de binaire ARM

Section intitulée « Problèmes de binaire ARM »

Certains outils n’ont peut-être pas de versions ARM. Vérifiez :

Fenêtre de terminal
uname -m  # Should show aarch64

La plupart des paquets npm fonctionnent bien. Pour les binaires, recherchez les versions linux-arm64 ou aarch64.

Persistance

Section intitulée « Persistance »

Tout l’état réside dans :

  • ~/.openclaw/ — config, informations d’identification, données de session
  • ~/.openclaw/workspace/ — espace de travail (SOUL.md, mémoire, artefacts)

Sauvegardez périodiquement :

Fenêtre de terminal
tar -czvf openclaw-backup.tar.gz ~/.openclaw ~/.openclaw/workspace

Voir aussi

Section intitulée « Voir aussi »