引言
近期尝试使用 OpenClaw,发现该 AI 个人助理框架具有较高价值。团队提出能否为公司的多个部门分别搭建专属的 OpenClaw 服务器。
虽然钉钉、飞书等办公软件可接入 AI,但对于尚未全面普及此类协作软件的企业或需要绝对私有化部署的团队,独立搭建内部 AI 门户依然是刚需。
起初考虑通过 OpenClaw 自带的 Web 界面进行跨电脑访问,但实操后发现存在致命缺陷:
- 权限越界:自带 Web 端拥有底层配置编辑权限,暴露给普通员工极不安全。
- 无法溯源:多终端共用一个 Web 界面,无法追溯对话发起者。
- 缺乏隔离:无法按部门精细化分配 API 额度或限制特定部门访问特定节点,无法实现业务隔离。
为解决上述痛点,确定架构方案:前端使用 Open WebUI 统一接管用户登录与权限分发,后端通过 API 挂载多个互不干扰的 OpenClaw 容器。
部署环境: Ubuntu 系统
核心工具: Docker, Docker Compose
第一步:搭建 Open WebUI 统一前端 (用户控制台)
在此步骤中,需先拉起 Open WebUI 容器。它将作为整个企业 AI 平台的'门面',负责员工账号注册、鉴权以及对话界面的展示。
由于该工具的搭建非常成熟,具体安装步骤与 Docker 运行指令请参考官方文档:https://docs.openwebui.com/
搭建完成后,将获得一个支持多用户管理的 ChatGPT 风格界面。接下来,为其注入'灵魂'。
第二步:初始化并部署 OpenClaw 多节点网关 (核心后端)
需要从官方 GitHub 拉取源码,并使用其提供的 docker-setup.sh 脚本进行初始化。
但在直接执行脚本前,有几个极易踩坑的细节需要提前优化(特别是国内网络环境和多节点共存问题):
细节 1:解决 Docker 构建时的网络超时 (Connect Timeout)
由于 Docker 构建时处于隔离网络,经常会卡死在 pnpm install 阶段。在拉取源码后,先打开文件夹内的 Dockerfile,在 USER node 这一行的下方,手动注入淘宝镜像源:
USER node
# 注入国内镜像源加速依赖下载
ENV COREPACK_NPM_REGISTRY=https://registry.npmmirror.com
ENV npm_config_registry=https://registry.npmmirror.com
RUN pnpm install --frozen-lockfile
同时,打开 docker-setup.sh 脚本,在底部的 docker build \ 后面,加上 --network host \ 参数,让容器构建时借用宿主机网络。
细节 2:物理机目录权限交接 (防止 EACCES 报错)
为了实现部门隔离,需要将不同部门的配置挂载到不同的文件夹中。但在挂载前,必须将宿主机文件夹的权限移交给容器内的 node 用户(UID 1000):
# 假设我们先为研发部 (rd-dept) 创建专属目录
mkdir -p ~/openclaw-cluster/rd-dept
sudo chown -R 1000:1000 ~/openclaw-cluster/rd-dept
细节 3:执行终极多节点部署指令 (防冲突防覆盖)
官方默认脚本容易导致网关 (Gateway) 和桥接 (Bridge) 端口冲突,且二次运行会覆盖旧容器。需要通过赋予它独立的'身份证'。
