​

Podman

​

需求

• Podman（rootless）
• 一次性設定需要 Sudo（建立使用者、建置映像）

​

快速開始

./setup-podman.sh

./setup-podman.sh --quadlet

• OPENCLAW_DOCKER_APT_PACKAGES — 映像建置期間安裝額外的 apt 套件
• OPENCLAW_EXTENSIONS — 預先安裝擴充套件依賴項（以空格分隔的擴充套件名稱，例如 diagnostics-otel matrix）

./scripts/run-openclaw-podman.sh launch

./scripts/run-openclaw-podman.sh launch setup

​

Systemd（Quadlet，選用）

• 啟動： sudo systemctl --machine openclaw@ --user start openclaw.service
• 停止： sudo systemctl --machine openclaw@ --user stop openclaw.service
• 狀態： sudo systemctl --machine openclaw@ --user status openclaw.service
• 日誌： sudo journalctl --machine openclaw@ --user -u openclaw.service -f

​

openclaw 使用者（非登入）

• Shell： nologin — 無互動式登入；減少攻擊面。
• 主目錄： 例如 /home/openclaw — 持有 ~/.openclaw（設定、工作區）和啟動腳本 run-openclaw-podman.sh。
• Rootless Podman： 使用者必須有 subuid 和 subgid 範圍。許多發行版在建立使用者時自動分配這些。若設定列印警告，新增行到 /etc/subuid 和 /etc/subgid：
  openclaw:100000:65536
  
  然後以該使用者啟動 gateway（例如從 cron 或 systemd）：
  sudo -u openclaw /home/openclaw/run-openclaw-podman.sh
  sudo -u openclaw /home/openclaw/run-openclaw-podman.sh setup
  
• 設定： 只有 openclaw 和 root 可以存取 /home/openclaw/.openclaw。若要編輯設定：在 gateway 執行後使用 Control UI，或 sudo -u openclaw $EDITOR /home/openclaw/.openclaw/openclaw.json。

​

環境與設定

• Token： 儲存在 ~openclaw/.openclaw/.env 中為 OPENCLAW_GATEWAY_TOKEN。若缺少，setup-podman.sh 和 run-openclaw-podman.sh 會生成它（使用 openssl、python3 或 od）。
• 選填： 在 .env 中您可以設定提供者金鑰（例如 GROQ_API_KEY、OLLAMA_API_KEY）和其他 OpenClaw 環境變數。
• 主機連接埠： 預設腳本映射 18789（gateway）和 18790（bridge）。啟動時使用 OPENCLAW_PODMAN_GATEWAY_HOST_PORT 和 OPENCLAW_PODMAN_BRIDGE_HOST_PORT 覆寫主機連接埠映射。
• Gateway 綁定： 預設情況下，run-openclaw-podman.sh 以 --bind loopback 啟動 gateway 以確保安全的本機存取。若要在 LAN 上公開，設定 OPENCLAW_GATEWAY_BIND=lan 並在 openclaw.json 中設定 gateway.controlUi.allowedOrigins（或明確啟用 host-header 回退）。
• 路徑： 主機設定和工作區預設為 ~openclaw/.openclaw 和 ~openclaw/.openclaw/workspace。使用 OPENCLAW_CONFIG_DIR 和 OPENCLAW_WORKSPACE_DIR 覆寫啟動腳本使用的主機路徑。

​

儲存模型

• 持久化主機資料： OPENCLAW_CONFIG_DIR 和 OPENCLAW_WORKSPACE_DIR 綁定掛載到容器中，並在主機上保留狀態。
• 臨時沙箱 tmpfs： 若您啟用 agents.defaults.sandbox，工具沙箱容器在 /tmp、/var/tmp 和 /run 掛載 tmpfs。這些路徑是記憶體支援的，沙箱容器消失時也會消失；頂層 Podman 容器設定不會新增自己的 tmpfs 掛載。
• 磁碟增長熱點： 需要監控的主要路徑是 media/、agents/<agentId>/sessions/sessions.json、逐字稿 JSONL 檔案、cron/runs/*.jsonl，以及 /tmp/openclaw/（或您設定的 logging.file）下的滾動檔案日誌。

​

實用指令

• 日誌： 使用 quadlet：sudo journalctl --machine openclaw@ --user -u openclaw.service -f。使用腳本：sudo -u openclaw podman logs -f openclaw
• 停止： 使用 quadlet：sudo systemctl --machine openclaw@ --user stop openclaw.service。使用腳本：sudo -u openclaw podman stop openclaw
• 再次啟動： 使用 quadlet：sudo systemctl --machine openclaw@ --user start openclaw.service。使用腳本：重新執行啟動腳本或 podman start openclaw
• 移除容器： sudo -u openclaw podman rm -f openclaw — 主機上的設定和工作區會被保留

​

疑難排解

• 設定或 auth-profiles 的權限被拒絕（EACCES）： 容器預設為 --userns=keep-id，以與執行腳本的主機使用者相同的 uid/gid 執行。確認您的主機 OPENCLAW_CONFIG_DIR 和 OPENCLAW_WORKSPACE_DIR 由該使用者擁有。
• Gateway 啟動被阻擋（缺少 gateway.mode=local）： 確認 ~openclaw/.openclaw/openclaw.json 存在且設定了 gateway.mode="local"。若缺少，setup-podman.sh 會建立此檔案。
• Rootless Podman 對 openclaw 使用者失敗： 確認 /etc/subuid 和 /etc/subgid 包含 openclaw 的行（例如 openclaw:100000:65536）。若缺少，新增它並重啟。
• 容器名稱已在使用中： 啟動腳本使用 podman run --replace，因此再次啟動時現有容器會被替換。若要手動清理：podman rm -f openclaw。
• 以 openclaw 執行時找不到腳本： 確認 setup-podman.sh 已執行，以便 run-openclaw-podman.sh 複製到 openclaw 的主目錄（例如 /home/openclaw/run-openclaw-podman.sh）。
• 找不到 Quadlet 服務或啟動失敗： 編輯 .container 檔案後執行 sudo systemctl --machine openclaw@ --user daemon-reload。Quadlet 需要 cgroups v2：podman info --format '{{.Host.CgroupsVersion}}' 應顯示 2。

​

選用：以您自己的使用者執行