Dhá sheachtain ó shin, bhí 9,000 réalta GitHub ag OpenClaw. Inniu tá 183,000 aige. Idir an dá linn, tháinig tionscal iomlán chun cinn. ClawSimple, Kilo Claw, StartClaw, ShipClaw, GetClaw.ai, LobsterLair. Tá 33 soláthraí comhairthe ag suíomh comparáide amháin agus tá an liosta ag fás i gcónaí. Tá OpenClaw wrappers ag ionradh TrustMRR. Sheol DigitalOcean 1-Click Deploy. D’oiriúnaigh Cloudflare é mar Workers runtime. Bhí daoine ag ceannach Mac Minis chun gníomhairí AI pearsanta a rith sa bhaile.

Más maith leat féin-óstáil sa néal, is é an socrú is coitianta VPS Hetzner $5 le 2 vCPU agus 4 GB RAM, Docker Compose, agus eochair API. Rith an draoi tosaithe, pointeáil é ar Anthropic nó OpenRouter, ceangail Telegram. Déanta i dtríocha nóiméad. Nó ceannaigh Mac Mini, cuir faoi do dheasc é, agus tabhair do JARVIS pearsanta air. Úsáideann an M4 seacht watt ar fuireachas agus feidhmíonn sé mar mheaisín inference áitiúil má roghnaíonn tú an múnla Pro 64 GB.

Oibríonn an dá cheann seo do ghníomhaire aonair. Ach nuair a thosaigh mé ag tógáil OpenClaw.rocks, ba é an sprioc an bealach is iontaofa agus is sábháilte a thairiscint chun OpenClaw a óstáil ar scála, agus é a choinneáil éasca don úsáideoir. Bhí bonn difriúil ag teastáil chuige sin.

Cén fáth ar roghnaigh mé Kubernetes

Bhíodh mé ag bainistiú bonneagar blockchain ag Binance, lena n-áirítear nóid Bitcoin a dhaingniú. Nuair is é do phost ualach oibre ardluacha a choinneáil scoite, inbhreathnaithte agus in-aisiompaithe ar scála, forbraíonn tú tuairimí láidre faoin gcaoi ar cheart do bhonneagar oibriú. Is é Kubernetes an rud a bhfuil muinín agam as chuige sin.

Is feidhmchlár aon-úsáideora é OpenClaw. Is cúntóir pearsanta é, ní ardán ilthionónta. Más mian leat gníomhairí a rith do dheichnúir, tá deich gcás ag teastáil uait. Do chéad duine, céad cás. Gach ceann lena chumraíocht féin, a rúin féin, a stóráil féin, a theorainneacha líonra féin. Díríonn na riachtanais scoite amháin gach rud faoi bhun ceapadóireacht choimeádán ceart.

Ní argóint a dhéanfaidh mé go bhfuil Kubernetes simplí. Níl sé. Do ghníomhaire aonair, is áibhéil iomlán é. Ach chun go leor gníomhairí a rith do go leor daoine, réitíonn sé fadhbanna nach réitíonn aon rud eile chomh maith. Agus measaim go dtiocfaidh aon chuideachta a bheidh ag rith gníomhairí OpenClaw ar scála ar an gconclúid chéanna.

Scoiteacht a chuirtear i bhfeidhm i ndáiríre. Ritheann gach gníomhaire ina namespace féin le NetworkPolicy a dhiúltaíonn gach rud mar réamhshocrú. Ní féidir le Gníomhaire A labhairt le Gníomhaire B. Ní féidir le Gníomhaire B rochtain a fháil ar rúin Ghníomhaire A. Ní gnás ná dea-chleachtas é seo. Cuireann an container runtime agus an CNI i bhfeidhm é. Ar VPS comhroinnte le Docker Compose, éilíonn scoiteacht líonra idir coimeádáin rialacha iptables láimhe nach gcothaíonn aon duine.

Teorainneacha acmhainní a choisceann teipeanna cascáideacha. Is féidir le gníomhaire OpenClaw le huathoibriú brabhsálaí 3 chroíleár CPU agus 6 GB cuimhne a úsáid má ligeann tú dó. Ar VPS le ceithre ghníomhaire, maraíonn próiseas Chromium as smacht na trí cinn eile. Cuireann Kubernetes teorainneacha CPU agus cuimhne i bhfeidhm in aghaidh an choimeádáin. Ní chuireann gníomhaire amháin a bhaineann a uasteorainn isteach ar a chomharsana.

Féin-leigheas gan SSH. Nuair a chliseann próiseas VPS, ní mór do rud éigin é a thabhairt faoi deara agus atosú air. Déanann systemd é seo, ach don óstach amháin. Tá polasaithe atosaithe ag Docker Compose, ach ní chlúdaíonn siad na deich rud eile a d’fhéadfadh dul amú: OOM kills, teipeanna nód, fadhbanna stórála. Atosaíonn Kubernetes coimeádáin theipthe, athraitheann sé podanna nuair a fhaigheann nóid bás, agus ritheann sé fiosrúcháin sláinte a bhraitheann fadhbanna ag leibhéal an fheidhmchláir, ní díreach scoir phróisis.

Scálú gan buille faoi thuairim. Ritheann muid ualach oibre gníomhairí ar linn nód tiomnaithe. Nuair a mhéadaíonn an t-éileamh, cuireann an cluster autoscaler nóid leis. Nuair a laghdaíonn sé, draenáiltear agus baintear nóid. Ní chothóimid cabhlach de chásanna VPS réamhsholáthair ag súil gur roghnaíomar an méid ceart. Meaitseálann an bonneagar an t-ualach iarbhír.

Staid dhearbhaitheach gan sraoilleadh. Maireann cumraíocht iomlán gníomhaire i gcustom resource amháin: an múnla, na cainéil, na teorainneacha acmhainní, na rialacha líonra, an stóráil, an comhthéacs slándála. Níl aon stair SSH le hathchruthú, níl aon eagarthóireacht láimhe le rianú, níl aon sraoilleadh cumraíochta idir a bhfuil á rith dar leat agus a bhfuil á rith i ndáiríre.

Níl aon cheann díobh seo tábhachtach do ghníomhaire amháin ar mheaisín amháin. Tá siad go léir tábhachtach nuair atá tú freagrach as gníomhairí daoine eile a rith go hiontaofa.

An t-oibreoir

Tugann Kubernetes na bunábhair duit. Is é oibreoir a dhéanann inúsáidte iad.

Gan oibreoir, ciallaíonn cás OpenClaw a imscaradh ar Kubernetes aon acmhainn déag a scríobh de láimh: Deployment, Service, ConfigMap, PVC, ServiceAccount, Role, RoleBinding, NetworkPolicy, PodDisruptionBudget, Ingress, ServiceMonitor. Le hoibreoir, is ceann amháin é:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  envFrom:
    - secretRef:
        name: my-api-keys
  storage:
    persistence:
      enabled: true
      size: 10Gi

Faire a dhéanann an t-oibreoir ar an gcustom resource seo agus cruthaíonn sé gach rud eile. Is lúb rialaithe é: ar gach athrú ar aon acmhainn faoi úinéireacht, agus ar a laghad uair amháin gach cúig nóiméad mar líontán sábháilteachta, déanann sé comparáid idir an staid atá ag teastáil agus an staid iarbhír agus réitíonn sé an difríocht. Má scriosann duine éigin NetworkPolicy, tagann sé ar ais. Má shraolleann Deployment, ceartaítear é. Scrios an custom resource, agus cascáidíonn owner references an ghlanadh. Gan Services dílleachta, gan PVCs fágtha.

Inniu tá muid á chur ar fáil mar fhoinse oscailte: github.com/OpenClaw-rocks/k8s-operator.

Slándáil mar réamhshocrú, ní mar sheicliosta

Fuair SecurityScorecard 135,000 cás OpenClaw nochta don idirlíon poiblí an tseachtain seo caite. Léirigh CVE-2026-25253 forghníomhú cóid chianda le clic amháin trí exfiltration gateway token. Mhol Gartner d’eagraíochtaí é a bhlocáil go hiomlán. Fuarthas 341 skill mailíseach i gclárlann ClawHub.

Is é seo réaltacht rith gníomhairí AI in 2026. Ceanglaíonn cumraíocht réamhshocraithe OpenClaw le 0.0.0.0 gan aon fhíordheimhniú. Ar VPS gan balla dóiteáin cumraithe i gceart, níl tú ach scanadh port amháin ó rochtain shell a thabhairt do strainséir ar do fhreastalaí. Chlúdaíomar lánscóip na géarchéime slándála agus cén fáth nach leor fiú gateway token.

Glacann an t-oibreoir an cur chuige contrártha. Tá slándáil struchtúrtha, ní roghnach:

  • Non-root mar réamhshocrú. UID 1000, gach Linux capability bainte, seccomp RuntimeDefault. Diúltaíonn validating webhook d’aon spec a shocraíonn runAsUser: 0. Bheadh ort an webhook a bhaint chun rith mar root.
  • Scoiteacht líonra mar réamhshocrú. Default-deny NetworkPolicy ar gach cás. Isteach: an namespace céanna amháin. Amach: DNS agus HTTPS amháin. Tá gach rud eile blocáilte mura n-osclaíonn tú go sainráite é.
  • RBAC de phribhléid íosta. Faigheann gach cás a ServiceAccount féin le Role nach dtugann ach get agus watch ar a ConfigMap féin. Ní féidir le gníomhaire rúin, cumraíocht ná staid gníomhaire eile a léamh.
  • An t-oibreoir féin a ritheann mar UID 65532 (distroless nonroot), córas comhad fréimhe inléite amháin, gach capability bainte, HTTP/2 díchumasaithe chun CVE-2023-44487 a mhaolú.

Tá sé seo go léir gníomhach mar réamhshocrú. Faigheann tú é gan smaoineamh air.

Uathoibriú brabhsálaí mar sidecar

Is féidir le gníomhairí OpenClaw brabhsáil ar an ngréasán. Ar VPS, ciallaíonn sé sin próiseas Chromium a rith in aice leis an ngníomhaire agus a bheith ag súil nach dtroidfidh siad faoi acmhainní. Láimhseálann an t-oibreoir é seo mar shidecar ceart:

spec:
  chromium:
    enabled: true
    resources:
      requests:
        cpu: "250m"
        memory: "512Mi"
      limits:
        cpu: "1000m"
        memory: "2Gi"

Cuireann an t-oibreoir coimeádán Browserless Chromium leis an bpod, nascann sé Chrome DevTools Protocol ar phort 9222, insteallaíonn sé CHROMIUM_URL=ws://localhost:9222 sa phríomhchoimeádán, agus tugann sé a chomhthéacs slándála féin do Chromium (UID 999, capabilities bainte), a theorainneacha acmhainní féin, agus /dev/shm tacaithe ag cuimhne. Cumarsáidíonn an dá choimeádán trí localhost laistigh den phod. Gan hop líonra, gan Service breise, gan nochtadh slándála. Ar OpenClaw.rocks, cumasaímid an Chromium sidecar mar réamhshocrú do gach cás.

Cad atá sa stór cóid

Scríofa i Go 1.24 le controller-runtime (patrún Kubebuilder). Ceadúnaithe faoi Apache 2.0.

  • CRD iomlán le 127 KB de scéimre bailíochtaithe OpenAPI
  • Helm chart (mar airtéafact OCI ar GHCR freisin)
  • Kustomize overlays dóibh siúd a roghnaíonn é
  • Grafana dashboard agus Prometheus alerts i docs/monitoring/
  • E2E tests ar Kind i CI
  • Tógálacha ilarcitíochta (amd64/arm64)

Tá an t-oibreoir liostaithe freisin ar OperatorHub agus Artifact Hub, ionas gur féidir leat é a aimsiú agus a shuiteáil tríd na clárlanna a úsáideann tú cheana féin.

Suiteáil:

helm install openclaw-operator \
  oci://ghcr.io/openclaw-rocks/charts/openclaw-operator \
  --namespace openclaw-operator-system \
  --create-namespace

Imscar gníomhaire:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  config:
    raw:
      agents:
        defaults:
          model:
            primary: "anthropic/claude-sonnet-4-20250514"
  envFrom:
    - secretRef:
        name: my-api-keys
  chromium:
    enabled: true
  storage:
    persistence:
      enabled: true

Uathoibriú brabhsálaí, stóráil bhuan, scoiteacht líonra, monatóireacht sláinte, rollouts cumraíochta uathoibríocha. Acmhainn amháin. kubectl apply.

Cén fáth foinse oscailte

Thóg mé an t-oibreoir seo chun m’fhadhb féin a réiteach. Ritheann mé ardán óstála do ghníomhairí OpenClaw, agus bhí uirlisí Kubernetes den chéad scoth ag teastáil uaim dó. Is é an t-oibreoir toradh na hoibre sin.

Ach creidim freisin go gcríochnóidh aon chuideachta a ritheann gníomhairí OpenClaw ar scála ar Kubernetes, agus go mbeidh na fadhbanna céanna acu a bhí agamsa: na réamhshocruithe slándála, nascadh NetworkPolicy, an Chromium sidecar, na config rollouts. Tá an t-éiceachóras dhá sheachtain d’aois agus ilroinnte cheana féin. Tá gach duine ag réiteach na bhfadhbanna seo go neamhspleách.

Tá costas tógála bogearraí ag druidim le nialas. Agus mar a d’áitigh mé in Is é OpenClaw an Linux nua, coisceann oscailteacht ilroinnt. Ní hé an t-oibreoir mo mhóta. Más rud ar bith é, is é an branda agus an muinín a thógaim trí obair mar seo a roinnt. Agus mura seasann fiú sin, tá spraoi agam ag tógáil, ag scríobh agus ag roinnt. Is leor sin. D’fhágfadh an t-oibreoir a choinneáil dílseánaigh go n-athaimseodh gach foireann bonneagair na gaistí céanna a d’aimsigh mé. Is cur amú é sin, ní buntáiste iomaíoch.

Ritheann muid an t-oibreoir seo i dtáirgeadh. Téann gach gníomhaire ar OpenClaw.rocks tríd.

Tá an cód ag github.com/OpenClaw-rocks/k8s-operator. Fáilte roimh issues agus PRs.

Más fearr leat gan é a oibriú tú féin, sin é a bhfuil OpenClaw.rocks ann dó.