基于 OpenClaw 和 Open WebUI 在本地服务器构建企业级多部门 AI 平台方案。针对原生 Web 端权限越界、无法溯源及缺乏隔离的问题,采用前端统一鉴权、后端多节点 API 挂载架构。通过 Docker Compose 部署多个独立 OpenClaw 容器,配置环境变量实现物理隔离与端口分配。修改网关配置开启 OpenAI 兼容接口,并在 Open WebUI 中接入各节点 Token,结合工作区模型与用户组权限管理,实现数据隔离与精准管控。
近期尝试使用 OpenClaw,发现该 AI 个人助理框架具有较高价值。团队提出能否为公司的多个部门分别搭建专属的 OpenClaw 服务器。
虽然钉钉、飞书等办公软件可接入 AI,但对于尚未全面普及此类协作软件的企业或需要绝对私有化部署的团队,独立搭建内部 AI 门户依然是刚需。
起初考虑通过 OpenClaw 自带的 Web 界面进行跨电脑访问,但实操后发现存在致命缺陷:
为解决上述痛点,确定架构方案:前端使用 Open WebUI 统一接管用户登录与权限分发,后端通过 API 挂载多个互不干扰的 OpenClaw 容器。
部署环境: Ubuntu 系统
核心工具: Docker, Docker Compose
在此步骤中,需先拉起 Open WebUI 容器。它将作为整个企业 AI 平台的'门面',负责员工账号注册、鉴权以及对话界面的展示。
由于该工具的搭建非常成熟,具体安装步骤与 Docker 运行指令请参考官方文档:https://docs.openwebui.com/
搭建完成后,将获得一个支持多用户管理的 ChatGPT 风格界面。接下来,为其注入'灵魂'。
需要从官方 GitHub 拉取源码,并使用其提供的 docker-setup.sh 脚本进行初始化。
但在直接执行脚本前,有几个极易踩坑的细节需要提前优化(特别是国内网络环境和多节点共存问题):
由于 Docker 构建时处于隔离网络,经常会卡死在 pnpm install 阶段。在拉取源码后,先打开文件夹内的 Dockerfile,在 USER node 这一行的下方,手动注入淘宝镜像源:
USER node
# 注入国内镜像源加速依赖下载
ENV COREPACK_NPM_REGISTRY=https://registry.npmmirror.com
ENV npm_config_registry=https://registry.npmmirror.com
RUN pnpm install --frozen-lockfile
同时,打开 docker-setup.sh 脚本,在底部的 docker build \ 后面,加上 --network host \ 参数,让容器构建时借用宿主机网络。
为了实现部门隔离,需要将不同部门的配置挂载到不同的文件夹中。但在挂载前,必须将宿主机文件夹的权限移交给容器内的 node 用户(UID 1000):
# 假设我们先为研发部 (rd-dept) 创建专属目录
mkdir -p ~/openclaw-cluster/rd-dept
sudo chown -R 1000:1000 ~/openclaw-cluster/rd-dept
官方默认脚本容易导致网关 (Gateway) 和桥接 (Bridge) 端口冲突,且二次运行会覆盖旧容器。需要通过环境变量赋予它独立的'身份证'。
在 OpenClaw 源码目录下,执行以下长命令启动【研发部专属节点】:
sudo OPENCLAW_GATEWAY_PORT=18776 \
OPENCLAW_BRIDGE_PORT=18777 \
OPENCLAW_CONFIG_DIR=$HOME/openclaw-cluster/rd-dept \
OPENCLAW_WORKSPACE_DIR=$HOME/openclaw-cluster/rd-dept/workspace \
COMPOSE_PROJECT_NAME=openclaw-rd \
./docker-setup.sh
避坑指南:
Gateway bind 选项时,务必选择 LAN,否则后续 Open WebUI 无法跨容器连接。PROJECT_NAME 改掉,再运行一次即可,完美实现物理隔离!部署完节点后,默认情况下 OpenClaw 的网关服务可能并没有显式开启标准的 HTTP API 通道。为了让 Open WebUI 能够顺畅地与它对话,需要让 OpenClaw 充当一个'OpenAI 兼容服务器'。
需要手动修改各个部门节点下的配置文件(例如我们刚才为研发部创建的 ~/openclaw-cluster/rd-dept/config.json)。
使用文本编辑器(如 nano 或 vim)打开该配置文件,向下滚动找到 "gateway" 属性块。避坑细节: 在很多默认生成的配置中,gateway 下方是没有 http 这个属性的。需要手动把这块代码补进去,开启对话补全端点:
{
"gateway": {
"http": {
"endpoints": {
"chatCompletions": {
"enabled": true
}
}
}
}
}
(保存并退出后,切记使用 sudo docker compose -p openclaw-rd restart 重启一下该节点的容器,让新配置生效。)
配置改完后,要把该节点的 API Token 提取出来,这相当于 Open WebUI 敲开该部门大门的'通行证'。
当把各个部门的 OpenClaw 节点都跑起来,并拿到对应的 API Token 后,就到了将它们统一接入前端面板的最后一步。
1. 进入外部连接设置 使用管理员账户登录 Open WebUI,点击右上角头像进入 管理员面板 (Admin Panel),在左侧菜单选择 设置 (Settings),然后点击 外部连接 (Connections)。
2. 添加并配置 OpenAI 接口 在'OpenAI 接口'模块,点击'添加连接'(或编辑现有连接),严格按照以下格式进行填写:
http://host.docker.internal:你的端口号/v1
18776)。切记,URL 结尾只需要到 /v1,绝对不要画蛇添足加上 /chat/completions!gateway.json 里提取出的超长 Token 粘贴到这里。{"x-openclaw-agent-id": "main"}。这行代码的作用是精准唤醒 OpenClaw 中名为 "main" 的主智能体。3. 测试并保存 填写完毕后,点击右下角的保存。如果配置无误,URL 右侧的刷新按钮旁会亮起一个绿色的开关标志,代表打通成功!
4. 部门级隔离与权限分发 (RBAC) 重复上述步骤,可以把【研发部】、【运营部】等多个节点的 API 全部添加进来。接着,进入 WebUI 的 工作区 (Workspace) -> 模型 (Models),利用刚接入的不同 API 接口,创建对应的专署大模型。最后,通过系统自带的用户组(Groups)权限管理,设定'研发部模型仅研发员工账号可见'。
至此,一个数据物理隔离、权限精准管控、对话可查可溯源的企业级多部门 AI 平台,就在你的服务器上彻底落成了!
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online