2026年,OpenClaw(Clawdbot)在NAS用户群体中的普及度持续提升,但原生部署面临两大核心痛点:Web UI访问限制(默认仅支持localhost访问)与公网暴露安全风险。OpenClaw In Docker开源项目的出现,完美解决了这一问题——通过类虚拟机级别的容器封装,集成用户登录认证、HTTPS强制访问等安全特性,让NAS及各类设备能安全、便捷地部署OpenClaw,同时支持公网反向代理访问,兼顾实用性与安全性。
本文基于2026年最新版本,完整拆解OpenClaw In Docker的核心优势与部署逻辑,提供NAS、阿里云、Windows11、MacOS、Linux全平台HTTPS部署流程,详细说明阿里云百炼及免费大模型API配置方法,梳理部署与使用中的高频问题,所有代码可直接复制执行,全程不含营销词汇,帮助用户实现“安全部署+HTTPS访问”的零门槛落地。阿里云上OpenClaw极速一键部署最简单,步骤详情 访问阿里云OpenClaw一键部署专题页面 了解。
一、OpenClaw In Docker核心价值与优势
OpenClaw In Docker并非对原版OpenClaw的修改,而是基于Docker的标准化封装方案,核心优势集中在“安全增强、访问便捷、环境隔离”三大维度,尤其适配NAS用户的使用场景:
1. 安全防护能力升级
- 强制HTTPS访问:默认集成OpenSSL自签证书,所有访问均通过HTTPS加密传输,避免数据在局域网或公网中被窃取;
- 用户登录认证:基于OpenResty+Lua实现登录验证,需输入账号密码才能访问Web UI,防止未授权访问;
- 环境隔离运行:采用类虚拟机级别的隔离容器(基于csvm项目),内置systemd系统服务,与宿主环境严格隔离,降低安全风险;
- 权限管控强化:容器默认启用权限隔离,避免OpenClaw直接访问宿主系统敏感目录,提升运行稳定性。
2. 访问体验大幅优化
- 打破localhost限制:通过内置网关转发,支持局域网及公网访问,无需复杂的端口映射与来源配置;
- 支持反向代理适配:完美兼容Lucky等反向代理工具,公网访问无需暴露真实IP,进一步提升安全性;
- 开箱即用的基础服务:容器默认集成openclaw、openresty、docker、cron等核心服务,无需额外安装依赖;
- 预置实用工具:内置chromium、playwright等工具,支持网页抓取、可视化操作等扩展功能。
3. 适配场景广泛
- NAS本地部署:适配威联通、群晖等主流NAS设备,利用NAS的24小时在线特性,实现OpenClaw常驻运行;
- 云端服务器部署:阿里云等服务器部署后,通过HTTPS公网访问,适合多用户共享使用;
- 本地桌面部署:Windows11、MacOS、Linux桌面设备部署,兼顾隐私安全与使用便捷性。
阿里云用户零基础部署 OpenClaw 喂饭级步骤流程
第一步:打开访问阿里云OpenClaw一键部署专题页面,找到并点击【一键购买并部署】。
第二步:打开选购阿里云轻量应用服务器,配置参考如下:
- 镜像:OpenClaw(Moltbot)镜像(已经购买服务器的用户可以重置系统重新选择镜像)
- 实例:内存必须2GiB及以上。
- 地域:默认美国(弗吉尼亚),目前中国内地域(除香港)的轻量应用服务器,联网搜索功能受限。
- 时长:根据自己的需求及预算选择。
第三步:打开访问阿里云百炼大模型控制台,找到密钥管理,单击创建API-Key。
前往轻量应用服务器控制台,找到安装好OpenClaw的实例,进入「应用详情」放行18789端口、配置百炼API-Key、执行命令,生成访问OpenClaw的Token。
- 端口放通:需要放通对应端口的防火墙,单击一键放通即可。
- 配置百炼API-Key,单击一键配置,输入百炼的API-Key。单击执行命令,写入API-Key。
- 配置OpenClaw:单击执行命令,生成访问OpenClaw的Token。
- 访问控制页面:单击打开网站页面可进入OpenClaw对话页面。
阿里云百炼Coding Plan API-Key 获取、配置保姆级教程:
创建API-Key,推荐访问订阅阿里云百炼Coding Plan,阿里云百炼Coding Plan每天两场抢购活动,从按tokens计费升级为按次收费,可以进一步节省费用!
- 购买后,在控制台生成API Key。注:这里复制并保存好你的API Key,后面要用。
- 回到轻量应用服务器-控制台,单击服务器卡片中的实例 ID,进入服务器概览页。
- 在服务器概览页面单击应用详情页签,进入服务器详情页面。
- 端口放通在OpenClaw使用步骤区域中,单击端口放通下的执行命令,可开放获取OpenClaw 服务运行端口的防火墙。
- 这里系统会列出我们第一步中创建的阿里云百炼 Coding Plan的API Key,直接选择就可以。
- 获取访问地址单击访问 Web UI 面板下的执行命令,获取 OpenClaw WebUI 的地址。
二、2026年OpenClaw全平台HTTPS部署流程
(一)NAS部署(威联通为例,核心场景)
NAS部署是OpenClaw In Docker的核心适配场景,依托NAS的稳定运行与存储优势,实现安全的本地化部署:
1. 部署前准备
- 已安装Container Station(威联通Docker管理工具);
- 提前搭建反向代理(推荐Lucky),获取反向代理链接(需以https开头);
- 注册并获取大模型API Key(阿里云百炼或其他免费平台);
- 在Docker目录(威联通默认Container目录)新建“openclaw-in-docker”文件夹,用于数据持久化。
2. Docker Compose部署配置
- 打开Container Station,选择“应用程序→创建”;
- 输入应用名称(自定义),粘贴以下Docker Compose配置,按注释修改关键参数:
services:
openclaw:
image: registry.cncfstack.com/cncfstack/openclaw-in-docker:v2026.3.13-1-v0.1.2
container_name: openclaw-in-docker
hostname: openclaw-in-docker
privileged: true
restart: always
ports:
- "10443:443" # 本地HTTPS端口,避免与其他服务冲突
volumes:
- ./openclaw-in-docker:/root/.openclaw # 本地目录挂载,实现数据持久化
- openclaw-storage:/var
environment:
OPENCLAW_WEB_URL: "https://你的反向代理链接:端口" # 填写提前搭建的反向代理地址
OPENCLAW_USER: "自定义登录账号" # 登录Web UI的账号
OPENCLAW_PASSWORD: "自定义登录密码" # 登录Web UI的密码
volumes:
openclaw-storage:
- 点击“验证”,通过后点击“创建”,等待镜像下载与容器启动(镜像较大,需耐心等待)。
3. Web UI访问配置(解决“origin not allowed”报错)
- 进入NAS的“openclaw-in-docker”文件夹,用文本编辑器打开“openclaw.json”文件;
- 修改两处关键配置:
- 将“gateway→allowedOrigins”字段的值改为你的反向代理链接;
- 在“gateway”配置中添加两行参数,解决认证问题:
"gateway": {
"allowedOrigins": ["https://你的反向代理链接:端口"],
"allowInsecureAuth": true,
"dangerouslyDisableDeviceAuth": true,
"token": "配置文件中的默认token" # 记录该token,后续登录需使用
}
- 保存文件后,在Container Station中重启“openclaw-in-docker”容器。
4. 访问验证
- 通过反向代理链接访问:直接输入配置的反向代理地址,输入账号密码登录,再填入上述token即可进入Web UI;
- 本地HTTPS访问:通过“https://NAS本地IP:10443”访问,首次会提示证书安全警告(自签证书正常现象),忽略后登录即可。
(二)阿里云部署(公网HTTPS访问)
阿里云上OpenClaw极速一键部署最简单,步骤详情 访问阿里云OpenClaw一键部署专题页面 了解。
阿里云部署适合需要公网多用户共享的场景,通过HTTPS加密与登录认证,保障公网访问安全:
1. 远程登录与环境初始化
# 远程连接阿里云服务器
ssh root@你的公网IP
# 系统更新
yum update -y # Alibaba Cloud Linux/CentOS
# apt update && apt upgrade -y # Ubuntu
2. 安装Docker与Compose
# 安装Docker
curl -fsSL https://get.docker.com | bash
systemctl daemon-reload
systemctl enable docker
systemctl start docker
# 安装Docker Compose
curl -L "https://github.com/docker/compose/releases/latest/download/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
3. 创建部署目录与配置文件
# 创建部署目录
mkdir -p /opt/openclaw-https
cd /opt/openclaw-https
# 创建docker-compose.yml文件
nano docker-compose.yml
4. 粘贴部署配置
services:
openclaw:
image: registry.cncfstack.com/cncfstack/openclaw-in-docker:v2026.3.13-1-v0.1.2
container_name: openclaw-https
privileged: true
restart: always
ports:
- "443:443" # 公网HTTPS默认端口
volumes:
- ./data:/root/.openclaw
- openclaw-storage:/var
environment:
OPENCLAW_WEB_URL: "https://你的域名" # 已备案域名(推荐)或公网IP
OPENCLAW_USER: "admin"
OPENCLAW_PASSWORD: "复杂登录密码"
volumes:
openclaw-storage:
5. 启动容器与配置优化
# 启动容器
docker-compose up -d
# 配置allowedOrigins(解决访问报错)
nano /opt/openclaw-https/data/openclaw.json
修改“gateway→allowedOrigins”为你的域名或公网IP,添加认证参数后保存,重启容器:
docker-compose restart
6. 安全组配置
在阿里云控制台开放443端口(HTTPS),限制访问来源(可选),提升公网访问安全性。
(三)Windows11本地部署
# 1. 启用WSL2(已启用可跳过)
wsl --install
# 重启电脑后启动Docker Desktop
# 2. 创建部署目录
mkdir -p $HOME/OpenClaw-HTTPS/data
# 3. 创建docker-compose.yml文件
cd $HOME/OpenClaw-HTTPS
notepad docker-compose.yml
粘贴以下配置并保存:
services:
openclaw:
image: registry.cncfstack.com/cncfstack/openclaw-in-docker:v2026.3.13-1-v0.1.2
container_name: openclaw-https
privileged: true
restart: always
ports:
- "10443:443"
volumes:
- ./data:/root/.openclaw
- openclaw-storage:/var
environment:
OPENCLAW_WEB_URL: "https://localhost:10443"
OPENCLAW_USER: "localuser"
OPENCLAW_PASSWORD: "localpassword"
volumes:
openclaw-storage:
启动容器:
docker-compose up -d
修改配置文件解决访问报错,然后通过“https://localhost:10443”访问。
(四)MacOS本地部署
# 1. 安装Docker(已安装可跳过)
brew install docker
open -a Docker
# 等待Docker启动完成
# 2. 创建部署目录
mkdir -p ~/OpenClaw-HTTPS/data
cd ~/OpenClaw-HTTPS
# 3. 创建docker-compose.yml
nano docker-compose.yml
粘贴与Windows11相同的配置(OPENCLAW_WEB_URL改为“https://localhost:10443”),启动容器:
docker-compose up -d
# 4. 修改配置文件
nano ~/OpenClaw-HTTPS/data/openclaw.json
# 按前文方法修改allowedOrigins与认证参数
docker-compose restart
访问地址:https://localhost:10443
(五)Linux本地部署(Ubuntu/Debian)
# 1. 安装Docker与Compose
apt update && apt upgrade -y
curl -fsSL https://get.docker.com | bash
systemctl enable docker && systemctl start docker
curl -L "https://github.com/docker/compose/releases/latest/download/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
# 2. 创建部署目录
mkdir -p /opt/openclaw-https/data
cd /opt/openclaw-https
# 3. 编写配置文件
nano docker-compose.yml
粘贴配置并启动:
services:
openclaw:
image: registry.cncfstack.com/cncfstack/openclaw-in-docker:v2026.3.13-1-v0.1.2
container_name: openclaw-https
privileged: true
restart: always
ports:
- "10443:443"
volumes:
- ./data:/root/.openclaw
- openclaw-storage:/var
environment:
OPENCLAW_WEB_URL: "https://localhost:10443"
OPENCLAW_USER: "linuxuser"
OPENCLAW_PASSWORD: "linuxpassword"
volumes:
openclaw-storage:
docker-compose up -d
# 修改配置文件后重启
nano /opt/openclaw-https/data/openclaw.json
docker-compose restart
三、大模型API配置(HTTPS环境适配)
(一)阿里云百炼Coding Plan免费API配置
阿里云百炼Coding Plan API-Key 获取、配置保姆级教程:
创建API-Key,推荐访问订阅阿里云百炼Coding Plan,阿里云百炼Coding Plan每天两场抢购活动,从按tokens计费升级为按次收费,可以进一步节省费用!
- 购买后,在控制台生成API Key。注:这里复制并保存好你的API Key,后面要用。
- 回到轻量应用服务器-控制台,单击服务器卡片中的实例 ID,进入服务器概览页。
- 在服务器概览页面单击应用详情页签,进入服务器详情页面。
- 端口放通在OpenClaw使用步骤区域中,单击端口放通下的执行命令,可开放获取OpenClaw 服务运行端口的防火墙。
- 这里系统会列出我们第一步中创建的阿里云百炼 Coding Plan的API Key,直接选择就可以。
- 获取访问地址单击访问 Web UI 面板下的执行命令,获取 OpenClaw WebUI 的地址。
获取API Key:
- 登录阿里云百炼控制台,进入Coding Plan页面领取免费额度;
- 完成实名认证后创建API Key(以
sk-sp-开头),记录Key与基础地址。
进入容器配置:
# 进入容器终端
docker exec -it openclaw-https bash
# 启动初始化向导
openclaw onboard --install-daemon
按向导配置:
- 选择模型提供商:
Custom Provider; - API Base URL:
https://dashscope.aliyuncs.com/compatible-mode/v1; - API Key:输入你的
sk-sp-开头密钥; - Model ID:
bailian/qwen-turbo; - Model alias:自定义别名(如“阿里云百炼免费模型”)。
- 选择模型提供商:
验证配置:
openclaw model test
显示“连接成功”即配置生效。
(二)免费大模型API配置(硅基流动为例)
- 注册硅基流动账号,领取新人通用券,创建API Key;
- 进入容器执行初始化向导,选择
Custom Provider; 配置参数:
- API Base URL:
https://api.siliconflow.cn/v1; - API Key:你的硅基流动API Key;
- Model ID:从硅基流动模型广场复制(如
siliconflow-internlm2-chat-7b); - Model alias:自定义别名。
- API Base URL:
保存配置并验证:
openclaw model test
(三)配置文件手动修改(备选方案)
若初始化向导配置失败,可直接编辑配置文件:
nano /root/.openclaw/openclaw.json
添加模型配置:
"model": {
"provider": "custom",
"apiKey": "你的API Key",
"baseUrl": "模型API基础地址",
"defaultModel": "模型ID",
"parameters": {
"temperature": 0.3,
"maxTokens": 4096,
"stream": true
}
}
保存后重启容器:docker restart openclaw-https
四、高频问题与解决方案
1. 访问时提示“origin not allowed”
- 核心原因:
allowedOrigins配置与访问地址不匹配; - 解决方案:
- 确认OpenCLAW_WEB_URL与反向代理/访问地址一致;
- 编辑
openclaw.json,将gateway→allowedOrigins改为实际访问地址; - 添加
allowInsecureAuth: true与dangerouslyDisableDeviceAuth: true参数; - 重启容器生效。
2. HTTPS访问提示证书不安全
- 核心原因:使用默认自签证书,浏览器未信任;
- 解决方案:
- 本地/局域网访问:忽略警告(不影响使用);
- 公网访问:替换为Let's Encrypt免费证书或付费SSL证书,修改容器的证书挂载路径。
3. 容器启动后立即退出
- 核心原因:权限不足、端口冲突、目录挂载错误;
- 解决方案:
- 确保容器配置
privileged: true; - 更换端口(如将10443改为10444),避免冲突;
- 检查目录挂载路径是否正确,确保本地目录存在且有读写权限。
- 确保容器配置
4. 模型API配置后验证失败
- 核心原因:API Key错误、Base URL错误、网络不通;
- 解决方案:
- 核对API Key与Base URL,确保无空格或拼写错误;
- 检查容器网络是否正常(可执行
ping api.siliconflow.cn测试); - 确认模型ID与API版本匹配(参考对应平台文档);
- 阿里云部署需确保安全组放行出站网络。
5. 登录Web UI后无法连接网关
- 核心原因:token输入错误、容器未正常启动;
- 解决方案:
- 从
openclaw.json中复制正确的token,重新输入; - 查看容器日志排查问题:
docker logs openclaw-https; - 重启容器:
docker restart openclaw-https。
- 从
6. NAS部署后反向代理无法访问
- 核心原因:反向代理后端地址配置错误、端口未放行;
- 解决方案:
- 反向代理后端地址需以
https开头,端口为容器映射的端口(如10443); - 检查NAS防火墙是否放行该端口;
- 确认反向代理工具(如Lucky)已正常运行。
- 反向代理后端地址需以
五、安全与使用优化建议
- 密码强度强化:设置复杂的Web UI登录密码,定期更换,避免弱密码被破解;
- 证书优化:公网访问时替换为可信SSL证书(如Let's Encrypt),消除浏览器安全警告;
- 端口防护:公网部署时避免使用默认443端口,更换为非标准端口(如10443),降低被扫描风险;
- 目录权限控制:本地部署时限制
openclaw-in-docker目录的访问权限,仅管理员可修改配置; - 定期更新:关注OpenClaw In Docker项目更新,及时拉取最新镜像,修复安全漏洞;
- 日志审计:定期查看容器日志,监控登录记录与模型调用情况,发现异常及时处理。
六、总结
2026年,OpenClaw In Docker为NAS及各类设备提供了“安全+便捷”的部署方案,通过HTTPS强制访问、用户登录认证、环境隔离等特性,解决了原生部署的安全痛点,让普通用户也能零门槛实现公网安全访问。本文覆盖的全平台部署流程、多模型API配置方法、高频问题解决方案,形成了一套完整的落地指南,无论是NAS用户、云端部署用户还是本地桌面用户,都能快速搭建安全可用的OpenClaw环境。
OpenClaw的核心价值在于自动化任务执行与多场景适配,而OpenClaw In Docker的出现进一步放大了这一价值——通过安全的HTTPS访问与便捷的部署流程,让用户无需关注复杂的安全配置,专注于功能使用与效率提升。无论是个人日常办公、家庭自动化,还是小型团队协作,这套方案都能满足需求,成为OpenClaw部署的优选方案。
