宝塔生产环境部署 OpenClaw 完整实践(含反向代理与安全优化架构)
一、前言:为什么选择宝塔部署 OpenClaw?
在 Linux 服务器上部署 AI 应用时,常见问题包括:
Python 依赖冲突
端口开放不规范
HTTPS 配置复杂
反向代理配置错误
服务异常退出无法自动重启
宝塔面板的优势在于:
可视化环境管理
一键安装 Nginx / Python
简化反向代理配置
SSL 证书自动部署
日志与资源监控可视化
本文基于生产环境思路,完整讲解在宝塔中部署 OpenClaw 的流程,并给出安全与性能优化建议。
二、OpenClaw 部署架构说明
典型部署结构如下:
浏览器
↓
Nginx(宝塔管理)
↓
反向代理
↓
OpenClaw 后端服务(Python)
↓
本地端口(如 5000)
核心原则:
OpenClaw 不直接暴露公网端口
通过 Nginx 反向代理访问
HTTPS 由宝塔统一管理
三、服务器环境准备
推荐配置
2 核 CPU 以上
4GB 内存以上
Ubuntu 20.04 / CentOS 7+
安装宝塔面板
Ubuntu 安装命令:
wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && bash install.sh
安装完成后:
修改默认面板端口
设置高强度密码
开启面板访问限制
四、安装运行环境
在宝塔【软件商店】安装:
Nginx
Python 3
Supervisor(建议安装)
确认 Python 版本:
python3 -V
五、部署 OpenClaw 项目
1️⃣ 上传项目文件
建议目录:
/www/wwwroot/openclaw
2️⃣ 创建 Python 虚拟环境
进入目录:
cd /www/wwwroot/openclaw
python3 -m venv venv
source venv/bin/activate
安装依赖:
pip install -r requirements.txt
3️⃣ 启动 OpenClaw
示例:
python app.py
默认运行在:
127.0.0.1:5000
确认服务正常启动后再进行代理配置。
六、配置宝塔反向代理
步骤:
宝塔 → 网站 → 添加站点
绑定域名
进入【网站设置】
点击【反向代理】
填写:
代理目标:127.0.0.1:5000
开启发送 Host 头
保存后即可通过域名访问。
七、部署 HTTPS 证书
路径:
网站 → SSL → 申请 Let’s Encrypt
开启:
强制 HTTPS
HTTP 自动跳转
建议开启 HSTS(可选)。
八、使用 Supervisor 守护进程(推荐)
防止 OpenClaw 异常退出。
创建配置文件:
[program:openclaw]
command=/www/wwwroot/openclaw/venv/bin/python app.py
directory=/www/wwwroot/openclaw
autostart=true
autorestart=true
stderr_logfile=/var/log/openclaw.err.log
stdout_logfile=/var/log/openclaw.out.log
启动:
supervisorctl reread
supervisorctl update
九、安全优化建议
1️⃣ 关闭 5000 端口外网访问
只允许本地调用,避免直接暴露后端服务。
2️⃣ 设置 Nginx 请求频率限制
示例:
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;
防止暴力请求。
3️⃣ 启用宝塔 WAF(如有企业版)
过滤恶意参数
拦截异常 UA
防止 SQL 注入与 XSS
十、常见问题排查
1. 502 Bad Gateway
可能原因:
OpenClaw 未运行
端口错误
代理地址填写错误
2. 依赖安装失败
升级 pip:
pip install --upgrade pip
3. HTTPS 无法访问
检查:
80 端口是否开放
域名是否解析正确
防火墙规则
十一、生产环境优化思路
部署完成后建议:
开启日志监控
设置定期备份
配置访问控制
优化 Python 进程数
构建结构:
安全层
↓
代理层
↓
应用层
↓
监控层
十二、总结
在宝塔中部署 OpenClaw 的关键不只是“成功启动”,而是:
合理的代理结构
规范的 HTTPS 部署
稳定的进程守护机制
安全的端口策略
宝塔面板在生产环境中的优势在于:
降低部署复杂度
提供统一管理入口
简化运维流程
真正稳定的运行环境,来源于架构设计,而非单点配置。