2026 OpenClaw 从零到上线:5 步完成首次部署(含端口 18789 与防火墙清单)

第一次部署 OpenClaw 的开发者与运维,常卡在「该先本地还是直接上云、安装后如何完成首次配置、端口与防火墙怎么放行」等环节。本文针对 2026 年推荐部署顺序,给出「先本地验证再上云」的理由、从 Node 22 到 install / onboard / doctor / dashboard 的 5 步完整流程、端口 18789 与防火墙/安全组必查清单(含主流云厂商要点),以及在 Mac 云主机上 24/7 运行 OpenClaw 的 3 条建议。

OpenClaw 从零到上线的 5 步部署流程示意

本文要点

1. 为什么建议「先本地验证再上云」:2026 推荐部署顺序

OpenClaw 在 2026 年官方推荐「本地或测试机先跑通,再迁移到云上 24/7」。原因有三:一是安装与配置(Node 版本、依赖、onboard 向导)在本地更容易排错,日志与终端直接可见;二是云主机通常需额外配置防火墙与安全组,若本地都未跑通就上云,难以判断问题是应用本身还是网络/策略导致;三是先本地验证可确认模型与消息平台(如 Slack、飞书)的连通性,避免上云后才发现 API 或密钥配置错误。

痛点可归纳为:

  1. 环境不一致:本地 macOS / Linux / WSL 与云主机系统版本、Node 版本若不一致,易出现「本地能跑、云上报错」;先统一 Node 22+ 与官方推荐环境可减少此类问题。
  2. 防火墙与端口盲区:云主机默认安全组往往不放行 18789,若不提前查文档或放行,dashboard 与 gateway 无法从外网或本机转发访问,排查时容易误以为安装失败。
  3. 密钥与配置泄露风险:在本地完成 onboard 与敏感配置测试,确认无误后再通过安全方式同步到云主机,可避免在云控制台多次粘贴密钥增加暴露面。

2. 5 步从零到上线:Node 22、install、onboard、doctor、dashboard

以下 5 步适用于 macOS、Linux 及 WSL2,按顺序执行即可完成首次部署并打开 Web 控制台。

步骤 1:安装 Node.js 22+。OpenClaw 2026 要求 Node.js 22 或更高。可用 nvm:nvm install 22 && nvm use 22,或从 nodejs.org 安装 LTS。执行 node -v 确认版本。

步骤 2:一键安装 OpenClaw。官方推荐:curl -fsSL https://openclaw.ai/install.sh | bash。脚本会安装 CLI 与依赖,全程约 5 分钟。若网络较慢,可配置 npm 镜像后再执行。

步骤 3:运行配置向导 onboard。执行 openclaw onboard,按提示选择运行模式、模型与消息平台(如 Slack、飞书),并填入必要 API Key 或 token。完成后会生成本地配置。

步骤 4:健康检查 doctor。执行 openclaw doctor 检查环境与依赖是否就绪,端口是否可用。若有报错按提示修复后再继续。

步骤 5:启动 dashboard。执行 openclaw dashboard 启动 Web 控制台,默认监听 18789 端口。在浏览器访问 http://127.0.0.1:18789(本地)或通过 SSH 隧道访问云主机上的实例。

# 完整命令序列示例(本地 macOS/Linux) nvm use 22 curl -fsSL https://openclaw.ai/install.sh | bash openclaw onboard # 交互式配置 openclaw doctor # 健康检查 openclaw dashboard # 启动 Web 控制台,浏览器访问 http://127.0.0.1:18789

3. 必查清单:端口 18789 与防火墙/安全组

OpenClaw gateway 与 dashboard 默认使用 TCP 18789。若部署在云主机上,必须在本机防火墙与云厂商安全组中放行该端口,否则无法从外网或 SSH 转发访问。下表汇总「本机防火墙」与「云安全组」的检查要点。

环境检查项操作示例
macOS防火墙是否放行 18789系统设置 → 网络 → 防火墙 → 选项,确保 OpenClaw 或终端允许入站;或临时关闭防火墙测试
Linux (firewalld)18789 端口sudo firewall-cmd --add-port=18789/tcp --permanent && sudo firewall-cmd --reload
Linux (ufw)18789 端口sudo ufw allow 18789/tcp && sudo ufw reload
云安全组(入站)TCP 18789 来源阿里云/腾讯云/AWS 等:添加入站规则,端口 18789,来源可为 0.0.0.0/0(仅测试)或指定 IP
生产建议不直暴露 18789通过 SSH 本地转发 ssh -L 18789:127.0.0.1:18789 user@host 或反向代理 + 认证访问

4. 各云厂商安全组放行要点

阿里云 ECS:安全组 → 配置规则 → 入方向 → 添加规则,端口范围 18789/18789,授权对象 0.0.0.0/0 或你的 IP。腾讯云 CVM:安全组 → 入站规则 → 添加规则,类型自定义,端口 18789,来源 0.0.0.0/0。AWS EC2:Security Group → Inbound rules → Add rule,Type Custom TCP,Port 18789,Source 0.0.0.0/0。华为云、Azure 等同理,找到「入站/入站规则」添加 TCP 18789。注意:生产环境建议仅对 VPN 或跳板机 IP 开放,或使用 SSH 转发/反向代理,避免 18789 直接暴露公网。

5. 在 Mac 云主机上 24/7 运行 OpenClaw 的 3 条建议

  1. 使用 launchd 托管进程:不要仅在前台运行 openclaw dashboard,应配置 launchd plist 让 OpenClaw 以服务方式常驻,断连自动重启;plist 中需设置 EnvironmentVariables 传递 PATH 与所需 API Key。
  2. 日志与磁盘:定期清理或轮转日志,避免占满磁盘;可配合 openclaw logs 与系统 log 做监控告警。
  3. 访问方式:生产环境不要将 18789 直接暴露公网,使用 SSH 本地转发(ssh -L 18789:127.0.0.1:18789 user@mac-cloud-host)或 Nginx 反向代理 + 认证,既安全又便于审计。

6. 为何生产环境更推荐 Mac 云主机

在本地 PC 或普通 Linux VPS 上跑 OpenClaw 可以完成开发与联调,但长期 24/7 运行会面临供电与睡眠、网络不稳定、以及缺乏 Apple 生态兼容(若需与 macOS 工具链或 Xcode 集成)等问题;自建物理 Mac 则需承担硬件与机房成本。租赁 VPSMAC 等 Mac 云主机部署 OpenClaw:节点常在线、电力与网络由供应商保障、且与 Xcode 及 Apple 生态同机兼容,适合需要稳定、可复现的 AI Agent 生产环境。确认 5 步部署与端口放行无误后,可将 OpenClaw 迁至 Mac 云节点并配合 launchd 实现 24/7 稳定运行。