Conas OpenClaw a Imscaradh ar Kubernetes
Tá taighdeoirí slándála tar éis os cionn 135,000 ásc OpenClaw a aimsiú atá ar oscailt go hiomlán ar an idirlíon. Bhí go leor acu leochaileach do rith cód cianda. Tá géarchéim slándála OpenClaw fíor: CVEanna criticiúla, scileanna mailíseacha, agus fadhb bhunúsach le conas a dhéileálann formhór na n-imscaradh le fíordheimhniú. Tá sé éasca OpenClaw a rith ar VPS le docker run. Tá sé ina fhadhb dhifriúil é a rith go daingean.
Réitíonn Kubernetes an fhadhb sin. Faigheann tú leithlisiú líonra, teorainneacha acmhainní, atosuithe uathoibrithe, agus réamhshocruithe slándála a thógfadh uaireanta a chumrú de láimh. Agus leis an OpenClaw Kubernetes Operator, faigheann tú é seo go léir ó chomhad YAML amháin.
Tugann an treoir seo tú ó nialas go gníomhaire OpenClaw atá réidh don táirgeadh ar Kubernetes. Tá gach bloc YAML réidh le cóipeáil agus greamú.
Cén fáth oibreoir
Is mó ná Deployment agus Service amháin é OpenClaw a rith ar Kubernetes. Teastaíonn leithlisiú líonra, bainistíocht rún, stóráil bhuan, monatóireacht sláinte, rolladh amach cumraíochta, agus uathoibriú brabhsálaí roghnach uait. Tá sé tuirsiúil agus earráideach é seo go léir a shreangú i gceart de láimh.
Códaíonn oibreoir Kubernetes na hábhair imní seo i acmhainn shaincheaptha amháin. Dearbhaíonn tú cad atá uait, agus déanann an t-oibreoir é a athmheaitseáil go leanúnach sa tacar ceart de réada Kubernetes. Tugann sé seo duit:
- Slándáil mar réamhshocrú. Ritheann gach gníomhaire mar UID 1000, gach cumas Linux caite, seccomp cumasaithe, córas comhad fréimhe inléite amháin, agus NetworkPolicy diúltú-réamhshocraithe nach gceadaíonn ach DNS agus HTTPS amach. Gan daingniú de láimh ag teastáil.
- Uath-nuashonruithe le rollback. Seiceálann an t-oibreoir an clárlann OCI le haghaidh leaganacha nua, déanann cúltaca den spás oibre, rollaíonn amach an nuashonrú, agus rollaíonn siar go huathoibríoch má theipeann ar an bpod nua seiceálacha sláinte a phasáil.
- Rolladh amach cumraíochta. Athraigh do
spec.config.rawagus braitheann an t-oibreoir go n-athraigh an haischód ábhair, spreagann nuashonrú rollach. Mar an gcéanna le huainíocht rún. - Cúltaca agus athchóiriú. Cúltaca uathoibríoch spáis oibre chuig stóráil atá comhoiriúnach le S3 nuair a scriostar ásc. Athchóirigh go hásc nua ó aon seathmhaidhm.
- Fíordheimhniú geata. Gineann go huathoibríoch comhartha geata in aghaidh gach áisc. Gan péireáil de láimh, gan mDNS (nach n-oibríonn i Kubernetes ar aon nós).
- Brath aistil. Gach 5 nóiméad, seiceálann an t-oibreoir go meaitseálann gach acmhainn bhainistiúil an staid inmhianaithe. Má chuireann duine éigin NetworkPolicy in eagar de láimh nó má scriosann PDB, déantar é a athmheaitseáil ar ais.
Réamhriachtanais
Teastaíonn uait:
- Braisle Kubernetes (1.28+). Oibríonn aon dáileadh comhlíontach: EKS, GKE, AKS, k3s, nó braisle Kind áitiúil le haghaidh tástála.
kubectlcumraithe le labhairt le do bhraisle.helmv3 suiteáilte.- Eochair API do do sholáthraí AI (Anthropic, OpenAI, nó aon chríochphointe atá comhoiriúnach le OpenAI).
Céim 1: Suiteáil an t-oibreoir
Seoltar an t-oibreoir mar chairt OCI Helm. Suiteálann ordú amháin é:
helm install openclaw-operator \
oci://ghcr.io/openclaw-rocks/charts/openclaw-operator \
--namespace openclaw-operator-system \
--create-namespace
Fíoraigh go bhfuil sé ag rith:
kubectl get pods -n openclaw-operator-system
Ba chóir go bhfeicfidh tú pod an oibreora sa staid Running. Suiteálann an t-oibreoir freisin webhook bailíochtaithe a chuireann cosc ar chumraíochtaí neamhdhaingne (cosúil le rith mar root).
Céim 2: Cruthaigh do rún eochair API
Stóráil eochair API do sholáthraí AI i Secret Kubernetes. Insteallfaidh an t-oibreoir í sa choimeádán gníomhaire:
kubectl create namespace openclaw
kubectl create secret generic openclaw-api-keys \
--namespace openclaw \
--from-literal=ANTHROPIC_API_KEY=sk-ant-your-key-here
Le haghaidh OpenAI nó soláthraithe eile, úsáid an t-ainm athróg timpeallachta cuí (OPENAI_API_KEY, OPENROUTER_API_KEY, srl.). Is féidir leat soláthraithe iolracha a chur san áireamh sa Secret céanna.
Leid: Don táirgeadh, smaoinigh ar External Secrets Operator a úsáid chun eochracha a shioncronú ó AWS Secrets Manager, HashiCorp Vault, GCP Secret Manager, nó Azure Key Vault. Tá samplaí mionsonraithe i ndoiciméadú an oibreora.
Céim 3: Imscar do chéad ghníomhaire
Cruthaigh comhad darb ainm my-agent.yaml:
apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
name: my-agent
namespace: openclaw
spec:
envFrom:
- secretRef:
name: openclaw-api-keys
config:
raw:
agents:
defaults:
model:
primary: "anthropic/claude-sonnet-4-20250514"
storage:
persistence:
enabled: true
size: 10Gi
Cuir i bhfeidhm é:
kubectl apply -f my-agent.yaml
Cruthaíonn an acmhainn aonair sin StatefulSet, Service, ServiceAccount, Role, RoleBinding, ConfigMap, PVC, PDB, NetworkPolicy, agus Secret comhartha geata. Déanann an t-oibreoir é go léir a athmheaitseáil.
Céim 4: Fíoraigh go bhfuil sé ag rith
Faire ar an ásc ag tosú:
kubectl get openclawinstances -n openclaw -w
NAME PHASE READY AGE
my-agent Provisioning False 10s
my-agent Running True 45s
Nuair a thaispeánann an chéim Running agus atá Ready True, tá do ghníomhaire beo. Seiceáil na logaí:
kubectl logs -n openclaw statefulset/my-agent -f
Chun idirghníomhú le do ghníomhaire, déan port-forward ar an ngeata:
kubectl port-forward -n openclaw svc/my-agent 18789:18789
Ansin oscail http://localhost:18789 i do bhrabhsálaí.
Céim 5: Nasc cainéal
Tacaíonn OpenClaw le Telegram, Discord, WhatsApp, Signal, agus cainéil teachtaireachtaí eile. Cumraítear gach cainéal trí athróga timpeallachta. Cuir an comhartha ábhartha le do Secret:
kubectl create secret generic openclaw-channel-keys \
--namespace openclaw \
--from-literal=TELEGRAM_BOT_TOKEN=your-bot-token-here
Ansin tagair dó i d’ásc:
spec:
envFrom:
- secretRef:
name: openclaw-api-keys
- secretRef:
name: openclaw-channel-keys
Braitheann OpenClaw an comhartha go huathoibríoch agus cumasaíonn an cainéal. Gan cumraíocht bhreise ag teastáil.
Clúdaíonn sin na bunúsacha. Tá do ghníomhaire ag rith, daingnithe, agus inrochtana. Clúdaíonn an chuid eile den treoir seo gnéithe roghnacha is féidir leat a chumasú nuair atá tú réidh.
Uathoibriú brabhsálaí
Is féidir le OpenClaw an gréasán a bhrabhsáil, gabhálacha scáileáin a thógáil, agus idirghníomhú le leathanaigh. Déanann an t-oibreoir é seo ina líne aonair breise. Ritheann sé sidecar Chromium daingnithe sa phod céanna, nasctha thar localhost:
spec:
chromium:
enabled: true
resources:
requests:
cpu: 500m
memory: 1Gi
limits:
cpu: 1000m
memory: 2Gi
Instealann an t-oibreoir athróg timpeallachta CHROMIUM_URL go huathoibríoch sa phríomhchoimeádán. Ritheann an sidecar mar UID 1001 le córas comhad fréimhe inléite amháin agus a chomhthéacs slándála féin.
Scileanna agus spleáchais ama rite
Is féidir scileanna OpenClaw ó ClawHub a shuiteáil go dearbhaitheach. Ritheann an t-oibreoir init container a fhaigheann gach scil sula dtosaíonn an gníomhaire:
spec:
skills:
- "@anthropic/mcp-server-fetch"
- "@anthropic/mcp-server-filesystem"
Má theastaíonn pnpm nó Python ó do scileanna nó freastalaithe MCP, cumasaigh na init containers spleáchais ama rite ionsuite:
spec:
runtimeDeps:
pnpm: true # Installs pnpm via corepack
python: true # Installs Python 3.12 + uv
Suiteálann na init containers na huirlisí seo ar an PVC sonraí, mar sin leanann siad ar aghaidh thar atosuithe gan an íomhá coimeádáin a bhorradh.
Uath-nuashonruithe
Eisiúint leaganacha nua go minic ag OpenClaw. Is féidir leis an oibreoir iad seo a rianú go huathoibríoch, cúltaca a dhéanamh roimh nuashonrú, agus rollback a dhéanamh má théann rud éigin mícheart:
spec:
autoUpdate:
enabled: true
checkInterval: "12h"
backupBeforeUpdate: true
rollbackOnFailure: true
healthCheckTimeout: "10m"
Nuair a nochtar leagan nua sa chlárlann, déanann an t-oibreoir:
- Cúltaca den PVC spáis oibre a chruthú chuig stóráil atá comhoiriúnach le S3
- An clib íomhá ar an StatefulSet a nuashonrú
- Fanacht suas le
healthCheckTimeoutgo bpasálann an pod seiceálacha réidheachta - Má theipeann ar an bpod a bheith réidh, an clib íomhá roimhe agus an cúltaca a athchóiriú
Tar éis 3 rollback teipthe as a chéile, cuireann an t-oibreoir uath-nuashonrú ar sos agus socraíonn coinníoll ionas gur féidir leat imscrúdú a dhéanamh.
Nóta: Is díoibriú é uath-nuashonrú d’íomhánna a bhfuil digest pionnáilte (
spec.image.digest). Má phionnálann tú de réir digest, rialaíonn tú nuashonruithe de láimh.
Daingniú táirgeachta
Tagann an t-oibreoir daingean mar réamhshocrú. Seo na cnaipí breise d’imscaradh táirgeachta.
Monatóireacht le Prometheus
Cumasaigh an ServiceMonitor chun méadráchtaí oibreora agus áisc a scrábáil:
spec:
observability:
metrics:
enabled: true
serviceMonitor:
enabled: true
interval: "30s"
Sceidealú ar nóid thiomnaithe
Má ritheann tú braisle mheasctha, úsáid nodeSelector agus tolerations chun gníomhairí a phionnáil ar nóid thiomnaithe:
spec:
availability:
nodeSelector:
openclaw.rocks/nodepool: openclaw
tolerations:
- key: openclaw.rocks/dedicated
value: openclaw
effect: NoSchedule
Rialacha saincheaptha amach
Ní cheadaíonn an NetworkPolicy réamhshocraithe ach DNS (port 53) agus HTTPS (port 443). Má theastaíonn ó do ghníomhaire seirbhísí eile a bhaint amach (bunachar sonraí, scuaine teachtaireachtaí, API inmheánach), cuir rialacha amach leis:
spec:
security:
networkPolicy:
additionalEgress:
- to:
- ipBlock:
cidr: 10.0.0.0/8
ports:
- port: 5432
protocol: TCP
Céannacht soláthraí néal
Le haghaidh AWS IRSA nó GCP Workload Identity, cuir anótáil ar an ServiceAccount bainistiúil:
spec:
security:
rbac:
serviceAccountAnnotations:
eks.amazonaws.com/role-arn: "arn:aws:iam::123456789:role/openclaw"
Seachfhreastalaithe corparáideacha agus CAanna príobháideacha
Má úsáideann do bhraisle seachfhreastalaí a ghabhann TLS, isteall beart CA:
spec:
security:
caBundle:
configMapName: corporate-ca-bundle
key: ca-bundle.crt
Feisteálann an t-oibreoir an beart CA i ngach coimeádán agus socraíonn NODE_EXTRA_CA_CERTS go huathoibríoch.
GitOps
Is gnáthchomhad YAML é an CRD OpenClawInstance. Ciallaíonn sé sin go n-oireann sé go díreach i sreabhadh oibre GitOps. Stóráil do mhainifeistí gníomhairí i stór git, agus lig do ArgoCD nó Flux iad a shioncronú le do bhraisle.
Gach athrú a théann trí iarratas tarraingte. Déanann d’fhoireann athbhreithniú ar an difríocht. Cumaisc chuig main, agus cuireann ArgoCD i bhfeidhm é. Gan kubectl apply ó ríomhairí glúine, gan aistil cumraíochta, rian iniúchóireachta iomlán.
Cúltaca agus athchóiriú
Tacaíonn an t-oibreoir le cúltacaí atá comhoiriúnach le S3. Nuair a scriosann tú ásc, cruthaíonn an t-oibreoir cúltaca den PVC spáis oibre go huathoibríoch roimh an scartáil.
Chun gníomhaire a athchóiriú ó chúltaca go hásc nua:
apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
name: my-agent-restored
namespace: openclaw
spec:
restoreFrom: "s3://bucket/path/to/backup.tar.gz"
envFrom:
- secretRef:
name: openclaw-api-keys
storage:
persistence:
enabled: true
size: 10Gi
Íoslódálann an t-oibreoir an seathmhaidhm, díphacálann é sa PVC, agus tosaíonn an gníomhaire le gach sonraí spáis oibre, scileanna agus stair comhrá roimhe sin slán.
Tátal áitiúil le Ollama
Más mian leat go n-úsáidfidh gníomhairí samhlacha áitiúla (le haghaidh príobháideachta, moill, nó costais), tá tacaíocht den chéad scoth ag an oibreoir do Ollama. Gan gá sidecar a shreangú de láimh. Láimhseálann spec.ollama an coimeádán, réamh-tharraingt samhlacha, stóráil agus leithdháileadh GPU:
spec:
ollama:
enabled: true
models:
- "llama3.2"
- "nomic-embed-text"
gpu: 1
resources:
requests:
cpu: "2"
memory: 4Gi
limits:
cpu: "4"
memory: 8Gi
storage:
sizeLimit: 30Gi
Le haghaidh stóráil samhlacha buana thar atosuithe (ionas nach dtarraingítear samhlacha arís gach uair), úsáid PVC atá ann cheana:
spec:
ollama:
enabled: true
models: ["llama3.2"]
storage:
existingClaim: ollama-models-pvc
Comhtháthú Tailscale
Nochtar do ghníomhaire do do tailnet gan Ingress, cothromóirí ualaigh, nó IPanna poiblí:
spec:
tailscale:
enabled: true
mode: serve
authKeySecretRef:
name: tailscale-authkey
hostname: my-agent
kubectl create secret generic tailscale-authkey \
--namespace openclaw \
--from-literal=authkey=tskey-auth-...
Sa mhód serve (an réamhshocrú), ní féidir ach baill do tailnet an gníomhaire a bhaint amach. Sa mhód funnel, nochtann Tailscale é don idirlíon poiblí le HTTPS uathoibríoch.
Le haghaidh logáil SSO gan pasfhocal do bhaill tailnet, cumasaigh authSSO:
spec:
tailscale:
enabled: true
mode: serve
authKeySecretRef:
name: tailscale-authkey
authSSO: true
Sidecars agus init containers saincheaptha
Le haghaidh cásanna úsáide thar thacaíocht ionsuite Ollama agus Tailscale, glacann an t-oibreoir le sidecars agus init containers treallach:
spec:
sidecars:
- name: cloudsql-proxy
image: gcr.io/cloud-sql-connectors/cloud-sql-proxy:2
args: ["--structured-logs", "project:region:instance"]
resources:
requests:
cpu: 100m
memory: 128Mi
spec:
initContainers:
- name: fetch-data
image: curlimages/curl:8.5.0
command: ["sh", "-c", "curl -o /data/dataset.json https://..."]
volumeMounts:
- name: data
mountPath: /data
Modh cumasc cumraíochta
De réir réamhshocraithe, forscríobhann an t-oibreoir an comhad cumraíochta gach uair a atosaíonn pod. Más rud é go n-athraíonn do ghníomhaire a chumraíocht féin ag am rite, socraigh mergeMode: merge chun cumraíocht an oibreora a chumasc go domhain leis an gcumraíocht PVC atá ann cheana:
spec:
config:
mergeMode: merge
raw:
agents:
defaults:
model:
primary: "anthropic/claude-sonnet-4-20250514"
An sampla iomlán
apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
name: production-agent
namespace: openclaw
spec:
envFrom:
- secretRef:
name: openclaw-api-keys
config:
mergeMode: merge
raw:
agents:
defaults:
model:
primary: "anthropic/claude-sonnet-4-20250514"
skills:
- "@anthropic/mcp-server-fetch"
runtimeDeps:
pnpm: true
chromium:
enabled: true
resources:
requests:
cpu: 500m
memory: 1Gi
limits:
cpu: 1000m
memory: 2Gi
ollama:
enabled: true
models: ["llama3.2"]
gpu: 1
resources:
requests:
cpu: "2"
memory: 4Gi
tailscale:
enabled: true
mode: serve
authKeySecretRef:
name: tailscale-authkey
authSSO: true
resources:
requests:
cpu: 500m
memory: 1Gi
limits:
cpu: 2000m
memory: 4Gi
storage:
persistence:
enabled: true
size: 10Gi
autoUpdate:
enabled: true
checkInterval: "24h"
backupBeforeUpdate: true
rollbackOnFailure: true
observability:
metrics:
enabled: true
serviceMonitor:
enabled: true
availability:
nodeSelector:
openclaw.rocks/nodepool: openclaw
tolerations:
- key: openclaw.rocks/dedicated
value: openclaw
effect: NoSchedule
Cuir i bhfeidhm é, agus tá gníomhaire AI daingnithe agat le huath-nuashonrú, cumas brabhsálaí, tátal áitiúil, rochtain tailnet, monatóireacht, cúltaca, agus leithlisiú líonra. kubectl apply amháin.
Cad a fhaigheann tú as an mbosca
Gan teagmháil a dhéanamh le socrú slándála amháin, tagann gach gníomhaire a imscaradh ag an oibreoir le: rith neamh-root (UID 1000), córas comhad fréimhe inléite amháin, gach cumas Linux caite, próifíl Seccomp RuntimeDefault, NetworkPolicy diúltú-réamhshocraithe (DNS + HTTPS amach amháin), ServiceAccount in aghaidh gach áisc gan uath-fheistiú comharthaí, PodDisruptionBudget, fiosruithe beochta/réidheachta/tosaithe, comhartha fíordheimhnithe geata uath-ghinte, agus athmheaitseáil aistil 5 nóiméad.
Cuireann webhook bailíochtaithe cosc ar iarrachtaí rith mar root agus tugann rabhadh faoi NetworkPolicies díchumasaithe, TLS in easnamh ar Ingress, agus eochracha soláthraí AI neamhbhraite.
Na chéad chéimeanna eile
- Brabhsáil an tagairt API iomlán do gach réimse CRD
- Léigh na treoracha imscartha do EKS, GKE, AKS agus Kind
- Socraigh slabhraí cúltaca samhlacha thar soláthraithe AI iolracha
- Cumraigh External Secrets le haghaidh Vault, AWS, GCP nó Azure
Má bhuaileann tú le fadhbanna nó má tá aiseolas agat, oscail ceist ar GitHub. Tá fáilte roimh PRanna freisin.
Mura dteastaíonn uait Kubernetes a oibriú tú féin, láimhseálann OpenClaw.rocks é seo go léir ar do shon. Roghnaigh plean, nasc cainéal, agus tá do ghníomhaire beo laistigh de shoicindí.