近期折腾小龙虾 Openclaw 有一两周了,自己算是接触这种新事物较晚的吧,目前主要还是在家里私有云管平台 PVE 上折腾,方便快照和网络隔离,我爱人说她也要养龙虾,索性给她也开个虚机管理权限吧,最高规格安排,让她也尽情折腾折腾吧。
养虾环境基本情况
得益于前年家里采购了一台塔式服务器和家庭 15U 机柜,计算是构建了一个迷你的家庭数据中心,前几周也把最吃资源的 ELK 下掉了,日志管理统一由终端防护平台 wazuh 统一接管,冥冥之中就给养虾腾出了不少资源,最开始想在飞牛 NAS 上养虾,想想也就算了,网络隔离和进程隔离都是问题,必须上升到虚机层面来管控它,毕竟目前它还是多在试验环节,最终我还是把布置在 PVE 平台了,放在开发测试区。
PVE 之上跑 KVM 虚机,暂时给了它 2 核 4G 的资源。
在虚机上用 docker 快速部署了小龙虾,稍微给官方的 docker compose 文件做了些许调整,兼顾后续快速升级。
mkdir -p /data/tools/openclaw
cd /data/tools/openclaw
git clone https://github.com/openclaw/openclaw.git app
cp app/docker-compose.yml compose.yaml
cp app/.env.example .env在如上创建的项目根目录下编排文件 compose.yaml 调整为构建方式,把镜像注释掉,包括下边 cli 容器也一样。
修改环境变量文件.env 内容如下:
OPENCLAW_GATEWAY_TOKEN=your_token
OPENCLAW_CONFIG_DIR=/data/storage/openclaw
OPENCLAW_WORKSPACE_DIR=/data/storage/openclaw/workspace
OPENCLAW_TZ=Asia/Chongqing
OPENCLAW_GATEWAY_BIND=lan其中网关 token 可以用这个命令生成。
openssl rand -hex 32
一切就绪,开始构建初始化
mkdir -p /data/storage/openclaw/workspace
chown -R 1000:1000 /data/storage/openclaw
docker compose build
docker compose run --rm openclaw-cli onboard
docker compose up -d openclaw-gateway注意官方设计了两个容器,一个是网关服务,一个是客户端命令专用的容器。建议平时主要的配置就用 openclaw-cli 就好。
后续升级也是很方便的,直接切到 app 目录,拉取最新代码,重新构建即可。
cd /data/tools/openclaw/app
git pull
cd ..
docker compose build
docker compose up -d模型选取
现阶段我还是初次接触,正在不停探索中,模型我就用了 nvidia 的免费顶级模型,虽然有 40rpm 的限速,日常探索对我而言,足矣!英伟达官方的账号注册可能会提示报错,不要害怕,多试几次,或者间隔几小时再尝试发送短信验证,我最近是用的接码平台的英国手机号验证通过的。
给家人分配管理虚机权限
我是用 authentik 作为 PVE 的统一身份入口的,当然得以它为中心来统一管理身份认证。在 authentik 后台找到 Proxmox 应用程序,从绑定用户里边把我爱人添加到应用里,赋予她访问 pve 的权限。
紧接着让她使用单点登录 PVE 后,PVE 后台会多出一个用户,给多出的用户进行虚机授权即可,如果需要有快照权限,就赋予她虚机管理权限才行。
不出意外,她就能在她的管理页面查看到快照按钮了。
另外,堡垒机也得给她赋予相关权限,让她通过堡垒机去管理云管平台,至此整个环境布置也就告一段了。
小结
小龙虾应用的安全性官方给了很多文档说明,暂时还在研究中,本篇先把基础环境搞定了,后边的再慢慢琢磨,底座保障安全了,上层应用才玩的放心,上层应用的安全对小龙虾而言,还有很多可研究的点,欢迎关注后续内容!
最后,我还是说明一点,小龙虾不要直接暴露公网,弄得不好就是天价账单,服务器资源还给被别人做了嫁衣!官方也给出了一些安全建议,设置内置 tailescale,实在不行通过 ssh 加密链路去访问也好呀!
支付宝微信扫一扫,打赏作者吧~本文链接:https://kinber.cn/post/6335.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 