OpenClaw Docker 进阶部署：搭一个真正生产可用的私人 AI Agent

前两篇讲了 OpenClaw 的基础部署和写代码能力。这篇聊进阶——用 Docker 把它搭成一个稳定、安全、真正可以长期跑的服务。

如果你只是偶尔玩玩，基础部署够了。但如果你想让它 7×24 小时帮你干活，同时接入飞书、钉钉、Telegram 等多个平台，那 Docker 部署是最值得花时间搞清楚的方式。

为什么用 Docker？

本地直接安装有几个问题：

• 依赖污染：OpenClaw 的 Node.js 版本要求可能和你本机环境冲突
• 环境隔离差：Agent 执行命令时可能误操作宿主机文件
• 迁移麻烦：换机器要重新配置一遍
• 没有沙箱保护：AI 执行代码时没有边界限制

Docker 解决所有这些问题，而且维护成本更低。

完整 docker-compose.yml

直接给你一份可以生产用的配置：

version: "3.8"services:  openclaw:    image: ghcr.io/openclaw/openclaw:latest    # 建议锁定版本，避免自动升级踩雷    # image: ghcr.io/openclaw/openclaw:2026.3.1    container_name: openclaw    ports:      # 格式：宿主机端口:容器端口      # 如果只想本地访问，改为 127.0.0.1:18789:18789      - "18789:18789"    volumes:      # 数据持久化，配置和日志都在这里      - ~/.openclaw:/root/.openclaw      # 如果需要 Agent 访问你的工作目录，加这行      # - ~/Work:/workspace    environment:      - OPENCLAW_SANDBOX=true      # 开启沙箱隔离      - TZ=Asia/Shanghai           # 时区设置    restart: unless-stopped        # 异常退出自动重启    healthcheck:      test: ["CMD", "curl", "-f", "http://localhost:18789/healthz"]      interval: 30s      timeout: 10s      retries: 3

# 启动docker compose up -d# 查看日志docker compose logs -f# 停止docker compose down

国内网络优化：两个必做的配置

国内直连 Docker 镜像源和 AI API 都不稳定，这是大多数人遇到问题的根源。

1. Docker 镜像加速

编辑 /etc/docker/daemon.json（没有就创建）：

{  "registry-mirrors": [    "https://mirror.ccs.tencentyun.com",    "https://registry.cn-hangzhou.aliyuncs.com"  ]}

sudo systemctl daemon-reloadsudo systemctl restart docker

2. 模型 API 分级配置

在 ~/.openclaw/models.yaml 里配置主备方案，复杂任务用好模型，简单任务用便宜模型：

models:  default: claude-sonnet-4  fallback: qwen3-max    # 主模型超时时自动切换  routing:    # 代码生成、复杂推理用 Claude    - pattern: "写代码|调试|分析"      model: claude-sonnet-4    # 简单问答用 Qwen，节省成本    - pattern: ".*"      model: qwen3-max

这样既保证了效果，又控制了成本，一举两得。

多平台接入：一个 OpenClaw，服务所有渠道

这是 Docker 部署最爽的地方——你只跑一个容器，但可以同时接入飞书、钉钉、Telegram 等多个平台。

编辑 ~/.openclaw/config.yaml：

channels:  # 飞书  feishu:    app_id: cli_你的AppID    app_secret: 你的AppSecret    verification_token: 你的Token  # 钉钉  dingtalk:    app_key: 你的AppKey    app_secret: 你的AppSecret  # Telegram  telegram:    bot_token: 你的BotToken  # 企业微信  wecom:    corp_id: 你的CorpID    agent_id: 你的AgentID    secret: 你的Secret

保存后重启容器：

docker compose restart openclaw

之后在飞书里@机器人、在 Telegram 里发消息，都会路由到同一个 OpenClaw 实例处理。

安全加固：三件必须做的事

1. 开启沙箱模式

前面 docker-compose.yml 里已经有了 OPENCLAW_SANDBOX=true，这个必须开。

开了之后，Agent 执行代码会在隔离容器里运行，即使 AI 写了个危险操作，也只影响沙箱环境，不会碰到宿主机的文件。

2. 最小化工具权限

在配置文件里明确列出允许的工具：

tools:  # 只开放你真正需要的能力  allow:    - read    - write    - bash  # 明确禁止危险操作  deny:    - rm_rf        # 防止递归删除    - sudo         # 禁止提权    - curl_post    # 如果不需要 Agent 对外发请求

3. 限制端口访问

如果服务器是公网可访问的，把端口改成只监听本地：

ports:  - "127.0.0.1:18789:18789"

然后用 Nginx 反代，加上 HTTPS 和基础认证：

server {    listen 443 ssl;    server_name your-domain.com;    ssl_certificate /path/to/cert.pem;    ssl_certificate_key /path/to/key.pem;    location / {        auth_basic "OpenClaw";        auth_basic_user_file /etc/nginx/.htpasswd;        proxy_pass http://127.0.0.1:18789;    }}

监控和运维：跑稳比跑快更重要

健康检查

docker-compose.yml 里的 healthcheck 配置会自动检查服务是否正常。你也可以手动检查：

curl http://localhost:18789/healthz

返回 {"status":"ok"} 就是正常的。

日志管理

日志在 ~/.openclaw/logs/ 目录下：

# 实时查看最新日志tail -f ~/.openclaw/logs/gateway.log# 查看 AI 交互记录tail -f ~/.openclaw/logs/agent.log# Docker 容器日志docker compose logs --tail=100 openclaw

定期备份

OpenClaw 的所有配置和数据都在 ~/.openclaw/ 目录，写一个备份脚本：

#!/bin/bash# backup_openclaw.shDATE=$(date +%Y%m%d)tar -czf ~/backups/openclaw_$DATE.tar.gz ~/.openclaw/# 保留最近 7 天的备份find ~/backups/ -name "openclaw_*.tar.gz" -mtime +7 -deleteecho "备份完成: openclaw_$DATE.tar.gz"

加到 crontab 里，每天自动跑：

crontab -e# 每天凌晨3点备份0 3 * * * /path/to/backup_openclaw.sh

升级注意事项

OpenClaw 更新比较频繁，升级前几件事要做：

1. 先看 Changelog，有没有 Breaking Change（2026.3.2 就踩过坑）。

2. 备份配置：

cp -r ~/.openclaw ~/.openclaw.bak

3. 拉新镜像：

docker compose pulldocker compose up -d

4. 验证功能正常： 发一条测试消息，确认工具权限没有被重置。

一个完整的使用场景：私人技术助手

把前面所有配置都搭好之后，你拥有的是什么？

一个接入了飞书的私人 AI 助手，它：

• 7×24 小时在线
  ，你随时在飞书里发消息，它立刻响应
• 能写代码、能跑代码
  ，你说「帮我统计一下这个月的销售数据」，它直接读文件、算完、给你结果
• 能定时执行
  ，每周五自动生成周报推给你
• 数据完全本地
  ，你的文件和数据不经过任何云端
• 多平台同时用
  ，飞书、Telegram 都能用，同一个实例

这就是 OpenClaw 的终态——不是一个聊天机器人，而是一个真的能干活的数字员工。

系列总结

这个系列三篇写完了：

• 第一篇
  ：多平台基础部署，5分钟跑起来
• 第二篇
  ：写代码能力实战，让 AI 帮你真的执行
• 第三篇
  ：Docker 进阶部署，搭成生产级私人 Agent

每篇都可以独立看，从哪里开始都行。如果你在实践中遇到什么问题，欢迎留言，看到了我都会回。

●Vue 3.6 颠覆性更新  Vapor Mode 并不是 Vue 的另一次语法糖，而是一次彻底的底层架构革新

●在谷歌四年：我为何与它的文化格格不入

●程序员鼠标、英菲克静音充电蓝牙无线鼠标：让工作更安静更顺畅

●28万的天价IT培训你见过吗？而且还是坑学生的！