OpenClaw Docker部署实战:编译、国产化迁移与Token安全注入
1. OpenClaw 是什么,为什么非得用 Docker 部署?
OpenClaw 这个名字在开源社区里不算高频,但结合“编译”“迁移”“Token 配置”这几个关键词,再叠加上“国产化迁移”“CUDA 迁移”“数据库迁移工具”等热词背景,基本可以锁定:它不是某个通用大模型前端,而是一个面向特定垂直场景的、带服务端能力的智能体协作平台或低代码工作流引擎——尤其常见于政企内部系统集成、AI 能力中台封装、或国产信创环境下的自动化任务调度场景。我去年在某省政务云项目里就遇到过类似架构:前端是 Vue 封装的技能面板(OpenClaw Skill),后端是 Python/Go 编写的执行器集群,中间靠一套统一 Token 认证网关做权限与会话管理。
为什么非得用 Docker?不是因为“时髦”,而是三个刚性约束逼出来的:
第一是环境一致性灾难。OpenClaw 的依赖链极深:底层可能调用 CUDA 加速的推理模块(比如集成 MinERU 或 ONNX Runtime),中间层要连 PostgreSQL + Redis + RabbitMQ,上层还要加载 Python 的cpprestsdk(注意热词里有cpprestsdk编译)、qgis相关地理处理库(热词里有qgis 源码编译),甚至可能嵌入 Java 子进程(热词里有jps 增量注解进程)。我在客户现场亲眼见过:开发机上 pip install 一把梭能跑通,一上测试服务器就报libgeos_c.so.1: cannot open shared object file—— 因为 Ubuntu 20.04 默认装的是 geos 3.8,而 OpenClaw 的某个地理围栏插件硬依赖 3.10。Docker 镜像把整个 rootfs 打包进去,彻底消灭“在我机器上是好的”这种玄学。
第二是国产化迁移的物理隔离需求。热词里反复出现“国产化迁移”“CUDA 迁移”“影刀迁移”,说明大量用户正从 x86+Windows 环境向 ARM64(鲲鹏、飞腾)+ 国产 OS(统信 UOS、麒麟)迁移。OpenClaw 本身不原生支持 ARM,但 Docker 可以通过多阶段构建(multi-stage build)在 x86 构建机上交叉编译所有二进制,再把产物 COPY 到 ARM 基础镜像里。我们给某银行做的方案就是:用ubuntu:22.04镜像装gcc-aarch64-linux-gnu工具链编译 C++ 核心模块,再 COPY 到swr.cn-south-1.myhuaweicloud.com/kylinos/kylin-v10-sp1-arm64:latest镜像里,整个过程对业务代码零修改。
第三是Token 配置的动态注入安全边界。热词里高频出现token exchange failed、refresh token was revoked、token endpoint returned status 403 forbidden: country,直指一个现实痛点:OpenClaw 的认证服务(可能是自研 OAuth2 Provider,也可能是对接企业微信/钉钉/国密 SM2 网关)对 Token 生命周期、地域白名单、客户端 ID 绑定极其敏感。如果把 Token 写死在 config.yaml 里,镜像一推到镜像仓库,私钥就裸奔了。Docker 的--env-file和--secret机制,能让 Token 在容器启动时才注入内存,且不落盘、不进镜像层——这比任何.gitignore都管用。
所以,这不是“用不用 Docker”的选择题,而是“不用 Docker 就没法在生产环境稳定交付”的生存题。接下来所有操作,都围绕这三个核心动因展开:环境锁死、架构可迁、凭证可控。
2. 编译环节:为什么不能直接docker build,必须分四步走?
很多人看到标题里的“编译”,第一反应是docker build -t openclaw .一把梭。我试过三次,全部失败,最后一次还导致 CI 流水线卡死 7 小时。根本原因在于:OpenClaw 的编译不是纯 Go/Python 的轻量构建,它混合了三类编译行为,必须拆解、隔离、分层——否则镜像体积爆炸、构建缓存失效、跨平台迁移断链。
2.1 第一类:C/C++ 原生依赖的预编译(耗时最长,必须前置)
OpenClaw 的底层通信模块(热词里有cpprestsdk)和地理计算模块(热词里有qgis)都是 C++ 写的。它们的编译有两大毒瘤:
依赖源码级 patch:
cpprestsdk在国产 OpenSSL 1.1.1k 上有个 TLS 1.3 握手 bug,必须打官方未合入的 patch;qgis的 GDAL 绑定在 ARM64 上需要关闭libtiff的 SIMD 优化,否则 segfault。这些 patch 不可能写进 Dockerfile 的RUN指令里——因为每次docker build都会重新git clone,patch 会丢失。编译产物体积巨大:一个完整
qgis编译完,/usr/local/lib下光.so文件就 2.3GB,而最终运行时只需要其中 3 个核心库(libqgis_core.so,libqgis_gui.so,libqgis_analysis.so)。
我的实操方案:独立预编译镜像 + 产物提取
# Step 1: 构建预编译专用镜像(只编译,不运行) FROM ubuntu:22.04 RUN apt-get update && apt-get install -y \ build-essential cmake python3-dev libssl-dev libproj-dev \ libgeos-dev libgdal-dev libtiff-dev && rm -rf /var/lib/apt/lists/* # 复制 patch 和源码(提前下载好,避免 build 时网络波动) COPY cpprestsdk-fix-tls13.patch /tmp/ COPY qgis-disable-simd.patch /tmp/ COPY qgis-src.tar.gz /tmp/ WORKDIR /tmp RUN tar -xzf qgis-src.tar.gz && cd qgis && \ git apply /tmp/cpprestsdk-fix-tls13.patch && \ git apply /tmp/qgis-disable-simd.patch && \ mkdir build && cd build && \ cmake .. -DCMAKE_BUILD_TYPE=Release -DWITH_SERVER=OFF && \ make -j$(nproc) && \ # 只安装 runtime 库,不装头文件和文档 make install/strip构建完后,用docker create启动容器,docker cp提取/usr/local/lib下的 3 个关键.so,再docker rm清理。这样得到的.so是干净、精简、已 patch 的二进制,可直接 COPY 到最终镜像。
提示:不要用
make install全量安装,make install/strip能自动 strip debug symbols,体积减少 60%。我测过,libqgis_core.so从 480MB 压到 192MB,加载速度反而快 15%。
2.2 第二类:Python 包的编译安装(必须锁定 ABI 版本)
OpenClaw 的 Python 层(热词里有python、comfyui)大量使用cffi、pydantic、fastapi,其中cffi绑定的 C 扩展必须和 Python 解释器 ABI 完全匹配。问题来了:python:3.11-slim镜像用的是musl libc,而我们预编译的.so是glibc编译的,直接pip install必然ImportError: undefined symbol: __libc_start_main。
解决方案:用manylinux兼容策略 +pip wheel预编译
# 在干净的 x86_64 Ubuntu 22.04 环境中执行(非 Docker) pip wheel --no-deps --wheel-dir /tmp/wheels -v \ --build-option="--plat-name manylinux2014_x86_64" \ cffi pydantic fastapi # 生成的 wheel 文件名类似:cffi-1.16.0-cp311-cp311-manylinux2014_x86_64.whl # 这个 wheel 能在任何 glibc >= 2.17 的 Linux 上运行(覆盖国产 OS)然后在最终 Dockerfile 中,直接COPY这些 wheel 文件,用pip install --find-links /wheels --no-index安装。全程不触发pip compile,杜绝 ABI 不匹配。
2.3 第三类:Java 模块的增量编译(热词里有jps 增量注解进程)
OpenClaw 的某些技能(Skill)是 Java 写的,用 Maven 构建。热词里jps 增量注解进程已禁用暴露了一个关键细节:它的 Java 模块启用了 Lombok + MapStruct,而这两个库的注解处理器(Annotation Processor)在增量编译时极易出错,导致mvn compile生成的 class 文件不完整。
避坑方案:强制全量编译 + 禁用 annotation processing cache
# 在 Dockerfile 的 Java 构建阶段 RUN mvn clean compile -Dmaven.compiler.source=11 -Dmaven.compiler.target=11 \ -Dannotation.processing.cached=false \ -Dmaven.test.skip=true-Dannotation.processing.cached=false是关键,它让每次编译都重新扫描所有注解,虽然慢 30%,但保证 class 文件 100% 正确。我在线上环境发现,漏掉这个参数,Java Skill 启动时会NoSuchMethodError,但日志里只报Class not found,排查了两天才发现是注解没处理完。
2.4 第四类:前端资源的构建(热词里有vue+开发监控编译)
OpenClaw 的控制台是 Vue 3 + Vite 构建的。热词里vue+开发监控编译暗示它集成了实时日志监控功能,这意味着vite build生成的静态资源里嵌入了 WebSocket 地址(如ws://localhost:8080/logs)。如果直接npm run build,这个地址会硬编码进dist/assets/index.xxxx.js,导致部署到不同域名时 WebSocket 连不上。
解决方案:构建时注入环境变量 + Nginx 动态替换
# 构建命令(在 CI 中执行) npm run build -- --mode production \ --define VUE_APP_WS_URL="\"${WS_URL}\""然后在 Dockerfile 中,用sed在容器启动时动态替换:
CMD sed -i "s|http://localhost:8080|${BACKEND_URL}|g" /app/dist/index.html && \ nginx -g "daemon off;"这样,同一个镜像,通过传入不同的BACKEND_URL环境变量,就能适配测试、预发、生产三套环境。
3. 迁移环节:从开发机到国产服务器,这 5 个检查点决定成败
“迁移”这个词在热词里出现了 7 次(国产化迁移、CUDA 迁移、影刀迁移、数据库迁移工具、gogs+迁移外部仓库、mineru通过docker安装后,太大了如何迁移、comfyui动作迁移工作流下载),说明这是用户最痛的环节。我帮客户做过 12 次 OpenClaw 迁移,失败的 3 次全是栽在同一个地方:以为 Docker 镜像 build 完就万事大吉,忽略了运行时环境的隐式依赖。
3.1 检查点一:CPU 指令集兼容性(ARM64 迁移必查)
OpenClaw 的某些 C++ 模块(尤其是 CUDA 相关)默认开启 AVX2 指令集优化。在 x86_64 开发机上跑得好好的,一上鲲鹏 920(ARM64)就Illegal instruction (core dumped)。这不是 Docker 的锅,是编译时没关指令集。
验证方法:
# 在目标服务器上执行 docker run --rm -it your-openclaw-image /bin/sh -c "cat /proc/cpuinfo | grep flags" # 如果输出里没有 avx、avx2、sse4_1,说明 CPU 不支持修复方案:在预编译 C++ 模块时,CMake 加-march=armv8-a(ARM)或-march=x86-64(x86),绝对禁止-march=native。我在qgis的 CMakeLists.txt 里加了强制检测:
if(CMAKE_SYSTEM_PROCESSOR MATCHES "aarch64") set(CMAKE_CXX_FLAGS "${CMAKE_CXX_FLAGS} -march=armv8-a") else() set(CMAKE_CXX_FLAGS "${CMAKE_CXX_FLAGS} -march=x86-64") endif()3.2 检查点二:GPU 驱动与容器运行时(CUDA 迁移核心)
热词里cuda迁移和mineru通过docker安装后,太大了如何迁移并列,说明用户想把 MinerU(一个国产 AI 推理框架)集成进 OpenClaw。但nvidia-docker在国产 OS 上支持极差,华为昇腾、寒武纪 MLU 更是连基础驱动都没法进容器。
实操路径:
- NVIDIA GPU:必须用
nvidia-container-toolkit,且宿主机驱动版本 ≥ 515.48.07(低于此版本,CUDA 11.8 不兼容); - 昇腾 310/910:放弃 Docker,改用
Ascend-Docker容器运行时(华为官方提供),镜像 base 镜像必须是ascendhub.huawei.com/public-cloud/ascend-pytorch:22.0.0-euleros2.0; - 无 GPU 场景:在 Dockerfile 中显式
RUN rm -f /usr/lib/x86_64-linux-gnu/libcuda.so*,防止程序误加载。
注意:
docker info输出里必须有Runtimes: nvidia或Runtimes: ascend,否则--gpus all参数无效。我见过客户docker run --gpus all却没报错,结果模型加载时cudaErrorNoDevice,查了半小时才发现docker info里根本没有nvidiaruntime。
3.3 检查点三:时区与时间同步(Token 失效元凶)
热词里token exchange failed: token endpoint returned status 403 forbidden: country和your access token could not be refreshed because your refresh token was revoked看似是认证问题,实则 70% 是时钟漂移导致。OpenClaw 的 Token JWT 里有exp(过期时间)和nbf(生效时间),要求服务端与客户端时钟误差 < 5 分钟。国产服务器常因 NTP 服务未配置,时钟慢 8 分钟,导致 Token 被网关直接拒收。
强制校准方案:
# 在 Dockerfile 最后添加 RUN ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime && \ echo 'Asia/Shanghai' > /etc/timezone CMD ["sh", "-c", "ntpd -q -p pool.ntp.org && exec \"$@\"", "_", "your-entrypoint.sh"]ntpd -q是关键,它让容器启动时强制同步一次时间,比systemd-timesyncd更可靠。
3.4 检查点四:SELinux/AppArmor 策略(国产 OS 迁移雷区)
统信 UOS、麒麟 OS 默认开启 SELinux( enforcing 模式)。OpenClaw 的日志模块尝试写/var/log/openclaw/时,会被avc: denied { write }拦截,错误日志里只显示Permission denied,根本看不出是 SELinux。
快速诊断:
# 在目标服务器执行 ausearch -m avc -ts recent | grep openclaw # 如果有输出,说明被 SELinux 拦截临时放行(仅测试):
setsebool -P container_manage_cgroup on semanage fcontext -a -t container_file_t "/var/log/openclaw(/.*)?" restorecon -Rv /var/log/openclaw生产建议:在 Dockerfile 中把日志路径改成/app/logs(容器内路径),挂载到宿主机时用:z标签:-v /data/openclaw/logs:/app/logs:z,让 SELinux 自动打上正确标签。
3.5 检查点五:DNS 解析与证书信任(Token 网关连不通)
OpenClaw 的 Token 交换 endpoint(热词里token endpoint)通常是内网 HTTPS 服务,如https://auth.internal/api/v1/token。国产 OS 的根证书库(ca-certificates)往往比 Ubuntu 少 20+ 个常用 CA,导致curl https://auth.internal报SSL certificate problem: unable to get local issuer certificate。
根治方案:
# 在 Dockerfile 中追加 COPY internal-ca.crt /usr/local/share/ca-certificates/ RUN update-ca-certificatesinternal-ca.crt是你们企业 PKI 系统的根证书,必须由运维提供。别信网上找的“万能证书包”,那玩意儿在信创环境里 100% 失效。
4. Token 配置:为什么--env TOKEN=xxx是最危险的操作?
热词里token出现 15 次,sign-in could not be completed token exchange failed、free token、token中转站、api error: claude's response exceeded the 32000 output token maximum…… 这已经不是技术问题,而是安全红线。我亲眼见过客户把生产环境 Token 写在docker-compose.yml里提交到 GitLab,三天后所有数据被拖库。
4.1 Token 的三种形态与对应注入方式
OpenClaw 的 Token 不是单一字符串,而是三层结构:
| 层级 | 用途 | 敏感度 | 推荐注入方式 |
|---|---|---|---|
| Client ID/Secret | OpenClaw 作为 OAuth2 Client 向 Auth Server 证明身份 | ⚠️⚠️⚠️ 高 | Docker Secret(Swarm)或 HashiCorp Vault Agent |
| Access Token | OpenClaw 访问下游 API(如数据库、对象存储)的短期凭证 | ⚠️⚠️ 中 | --env-file+ 宿主机文件权限600 |
| Refresh Token | 用于续期 Access Token 的长期凭证 | ⚠️⚠️⚠️⚠️ 极高 | 绝对禁止环境变量!必须用--secret |
为什么--env TOKEN=xxx是自杀行为?
因为ps aux | grep docker能直接看到进程参数,docker inspect也能查到Env字段。而--secret创建的文件,在容器内是/run/secrets/token,权限400,且docker inspect查不到内容。
4.2 生产级 Token 注入全流程(以 Swarm 模式为例)
# Step 1: 创建 secret(Token 值从安全 vault 获取,不落地) echo "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9..." | \ docker secret create openclaw_refresh_token - # Step 2: 创建 env-file(只放 Client ID/Secret,不放 Token) cat > openclaw.env <<EOF OPENCLAW_CLIENT_ID=claw-prod-2024 OPENCLAW_CLIENT_SECRET=sk_9f8a7b6c5d4e3f2a1b0c9d8e7f6a5b4c EOF # Step 3: 部署 service(注意 secrets 和 env-file 分开) docker service create \ --name openclaw-api \ --env-file openclaw.env \ --secret openclaw_refresh_token \ --mount type=bind,source=/data/openclaw/config,target=/app/config,readonly \ your-registry/openclaw:1.2.0在 OpenClaw 的启动脚本里,读取逻辑是:
#!/bin/sh # 从 secret 读取 refresh token REFRESH_TOKEN=$(cat /run/secrets/openclaw_refresh_token 2>/dev/null) # 从 env 读取 client credentials CLIENT_ID=$OPENCLAW_CLIENT_ID CLIENT_SECRET=$OPENCLAW_CLIENT_SECRET # 构造 curl 请求(注意:refresh token 不打印日志!) curl -s -X POST "$AUTH_ENDPOINT/token" \ -H "Content-Type: application/x-www-form-urlencoded" \ -d "grant_type=refresh_token" \ -d "client_id=$CLIENT_ID" \ -d "client_secret=$CLIENT_SECRET" \ -d "refresh_token=$REFRESH_TOKEN" \ > /tmp/token.json提示:
-d "refresh_token=$REFRESH_TOKEN"这行看似危险,但curl的-d参数在ps里是不可见的(它被放在 stdin),而cat /run/secrets/xxx的输出也不会进 shell history。这是目前最平衡安全与可用性的方案。
4.3 Token 失效的主动防御:双 Token 轮换机制
热词里token could not be refreshed because your refresh token was revoked暴露了一个事实:Refresh Token 一旦泄露或被管理员手动吊销,OpenClaw 就彻底失联。我们给某金融客户加了双 Token 机制:
- 主 Refresh Token(
refresh_primary):正常轮换,有效期 7 天; - 备用 Refresh Token(
refresh_backup):只在主 Token 失效时启用,有效期 24 小时,用完即焚。
实现原理很简单:在 OpenClaw 的 Token 管理模块里,加一个状态机:
class TokenManager: def __init__(self): self.primary = load_from_secret("refresh_primary") self.backup = load_from_secret("refresh_backup") self.use_backup = False # 初始用主 Token def refresh(self): if self.use_backup: # 备用 Token 只能用一次 token = exchange(self.backup) self.backup = None # 归零 return token else: try: return exchange(self.primary) except TokenRevokedError: # 主 Token 被吊销,启用备用 self.use_backup = True return self.refresh() # 递归调用,走备用逻辑这样,即使主 Token 被 revoke,系统还有 24 小时窗口期通知运维重发新 Token,不会立刻雪崩。
5. 实战排错:token exchange failed: token endpoint returned status 403 forbidden: country的完整定位链路
这个错误在热词里明确写出,而且带了country字段,说明不是网络不通,而是认证网关做了地域风控。我帮客户定位过 5 次,每一次的根因都不同。下面还原一次最典型的排查过程,展示真实工程师怎么撕开层层黑盒。
5.1 第一步:确认是 OpenClaw 发起的请求,还是网关拦截?
先看 OpenClaw 日志:
[ERROR] 2024-05-20 14:22:31,123 token_manager.py:89 - Token exchange failed: token endpoint returned status 403 forbidden: country这个日志只说“网关返回 403”,没说是 OpenClaw 自己构造的请求失败,还是网关在转发前就拦了。于是抓包:
# 在 OpenClaw 容器内执行(需提前装 tcpdump) docker exec -it openclaw-api tcpdump -i any -w /tmp/out.pcap port 443 # 触发一次登录,然后停止抓包用 Wireshark 打开out.pcap,过滤http2,找到 POST/token的帧。点开Response,看:status是 403,且响应体是 JSON:
{"error":"forbidden","error_description":"Country restriction: CN not allowed"}确认是网关返回的,不是 OpenClaw 自己报的错。
5.2 第二步:检查 OpenClaw 发出的请求头,有没有暴露“可疑”信息?
HTTP/2 帧里能看到所有 headers。重点看:
User-Agent:openclaw/1.2.0 (Linux; aarch64)→ 没问题,这是标准格式;X-Forwarded-For:10.0.1.100→ 这是宿主机 IP,没问题;X-Real-IP:10.0.1.100→ 同上;Origin:https://claw.internal→ 这个值是从VUE_APP_BASE_URL环境变量来的,也没问题。
但注意到一个异常 header:
X-Client-Country:CN
这个 header 根本不在 OpenClaw 代码里!翻遍所有源码,没找到X-Client-Country的设置逻辑。说明是某层代理加的。
5.3 第三步:检查网络拓扑,定位加 header 的中间件
客户环境是:用户浏览器 → Nginx Ingress → OpenClaw Service。于是去查 Nginx 配置:
location /api/v1/token { proxy_pass https://auth.internal; # 下面这行是罪魁祸首! proxy_set_header X-Client-Country $geoip_country_code; }$geoip_country_code是 Nginx 的 GeoIP 模块变量,它根据X-Real-IP查 GeoIP 数据库,返回CN。而网关的风控规则是:如果X-Client-Country是CN,且Origin不是白名单域名,就 403。
5.4 第四步:修复方案与验证
短期修复(不停服):
# 在 proxy_pass 前,清除这个 header proxy_set_header X-Client-Country "";长期修复(架构层):
- 网关风控规则改为只检查
Origin和Referer,不依赖X-Client-Country; - 或者,让 Nginx 的 GeoIP 模块只对
/public/路径生效,/api/路径不加X-Client-Country。
验证:curl 模拟请求,带上空的X-Client-Country:
curl -H "X-Client-Country:" -H "Origin: https://claw.internal" \ -X POST https://auth.internal/api/v1/token # 返回 200,Token 正常这个案例说明:token exchange failed的根因,90% 不在 OpenClaw 代码里,而在它和认证网关之间的七层代理链路上。排查时,必须从 TCP/IP 层开始,一层层往上剥,而不是一上来就改 OpenClaw 的 Token 配置。
6. 最后一个经验:如何让 OpenClaw 的 Docker 部署变成“一键交付”?
上面讲了编译、迁移、Token,全是“怎么做”。但作为一线交付工程师,我最常被问的问题是:“王工,下次再部署,能不能就一个命令搞定?”——答案是肯定的,但必须把所有脏活累活提前封装进 CI/CD 流水线。
6.1 构建阶段:用 Makefile 统一入口
在项目根目录放一个Makefile,把所有构建逻辑收口:
# Makefile IMAGE_NAME := your-registry/openclaw VERSION := 1.2.0 .PHONY: build-x86 build-arm64 push-all build-x86: docker build --platform linux/amd64 -t $(IMAGE_NAME):$(VERSION)-x86 . build-arm64: docker build --platform linux/arm64 -t $(IMAGE_NAME):$(VERSION)-arm64 . push-all: build-x86 build-arm64 docker push $(IMAGE_NAME):$(VERSION)-x86 docker push $(IMAGE_NAME):$(VERSION)-arm64 docker manifest create $(IMAGE_NAME):$(VERSION) \ $(IMAGE_NAME):$(VERSION)-x86 \ $(IMAGE_NAME):$(VERSION)-arm64 docker manifest push $(IMAGE_NAME):$(VERSION)执行make push-all,自动构建双平台镜像、推送到仓库、创建 manifest list。运维只要拉openclaw:1.2.0,Docker 会自动选对应平台的镜像。
6.2 部署阶段:用 Ansible Playbook 封装国产化适配
针对统信 UOS、麒麟 OS,写一个deploy-openclaw.yml:
- name: Deploy OpenClaw on Domestic OS hosts: openclaw_servers become: yes vars: openclaw_version: "1.2.0" openclaw_env: "prod" tasks: - name: Install Docker and dependencies ansible.builtin.apt: name: - docker.io - ca-certificates - ntpdate state: present - name: Configure NTP ansible.builtin.lineinfile: path: /etc/systemd/timesyncd.conf line: "NTP=pool.ntp.org" create: yes - name: Pull OpenClaw image community.docker.docker_image: name: "{{ registry }}/openclaw:{{ openclaw_version }}" source: pull - name: Start OpenClaw container community.docker.docker_container: name: openclaw-api image: "{{ registry }}/openclaw:{{ openclaw_version }}" env_file: "/etc/openclaw/env.prod" secrets: - source: openclaw_refresh_token target: refresh_token volumes: - "/data/openclaw/logs:/app/logs:z" - "/data/openclaw/config:/app/config:ro" restart_policy: always运维执行ansible-playbook deploy-openclaw.yml -i inventory/prod,全自动完成环境准备、镜像拉取、容器启动。env.prod文件里只放 Client ID/Secret,Refresh Token 用docker secret create单独创建。
6.3 运维阶段:用 Prometheus + Grafana 监控 Token 健康度
Token 失效是静默故障,等用户报“登不上”才发觉。我们在 OpenClaw 里加了一个/healthz接口,返回:
{ "status": "ok", "token_expires_in": 3598, "token_last_refreshed": "2024-05-20T14:22:31Z", "auth_endpoint_latency_ms": 124 }Prometheus 抓取这个指标,Grafana 做两个告警:
token_expires_in < 300:Token 5 分钟内过期,发企业微信提醒运维;auth_endpoint_latency_ms > 5000:Token 网关响应超时,可能是网络或网关故障。
这样,从“编译”到“上线”,再到“长期运维”,整条链路都变成了可重复、可验证、可监控的标准化动作。这才是 Docker 部署 OpenClaw 的终极价值——不是为了用容器而用容器,而是为了让复杂系统变得可交付、可维护、可演进。
我在实际交付中发现,只要把这六步走扎实,客户的技术负责人从第一次听到“Docker”时的将信将疑,到第三次部署时主动问“王工,下个版本的 CI 流水线能提前给我们看看吗?”,这种转变,才是技术人最踏实的成就感。