Warum OpenClaw Deployment ein Betriebsmodell braucht
OpenClaw-artige Arbeit wird ernst, sobald Agenten den Laptop verlassen und von einem VPS aus Repositories ändern. Das ist praktisch für lange Jobs, aber riskant, wenn der Runner zu viele Rechte hat. Office Claws ist keine native OpenClaw-Runtime; es ist die lokale Desktop- und VPS-Verwaltungsschicht für OpenClaw-nahe Workflows, meist mit Codex-gestützter Ausführung. Wenn du noch vergleichst, beginne mit OpenClaw vs Codex.
Die OpenClaw Deployment-Form
Die sichere Form ist bewusst langweilig: Kontrolle lokal halten, Arbeit remote ausführen und Integration über GitHub erzwingen.
| Ebene | Ort | Muss haben | Vermeidet |
|---|---|---|---|
| Operator-Konsole | lokaler Desktop | Aufgaben, Logs, Kill-Switch | blinde Remote-Sessions |
| Git-Branch | GitHub/GitLab | ein Branch pro Aufgabe | versteckte Änderungen auf main |
| Agent-Runner | VPS | isoliertes Workdir, begrenztes Token | Dateikollisionen |
| CI-Gate | CI-System | Build/Test/Lint | ungeprüften kaputten Code |
| Release | Mensch | grüner Diff und Review | schlechte Auto-Deploys |
Mit Office Claws for OpenClaw users sollte sofort sichtbar sein, welche Aufgabe welchen Runner besitzt, welcher Branch beschrieben wird und welcher Befehl läuft.
VPS-Basis für OpenClaw-Agenten
Beginne mit einem kleinen, ersetzbaren VPS. Der Runner soll neu erstellbar sein, nicht ein handgepflegter Server.
adduser agent
usermod -aG sudo agent
mkdir -p /srv/agents/openclaw-deployment-guide
chown -R agent:agent /srv/agentsNutze SSH-Schlüssel, deaktiviere Passwort-Login, beschränke den Agent-User auf das Arbeitsverzeichnis und halte Produktions-Deploy-Keys vom Runner fern. Für die Remote-Architektur siehe OpenClaw on VPS; für Branch-Disziplin siehe OpenClaw GitHub Workflow.
Secrets und Tokens
Der Runner braucht genug Rechte zum Klonen, Branchen, Pushen und Testen. Er braucht normalerweise keine Produktionsdatenbank, keine Billing-Secrets und kein Release-Token.
| Secret | Bester Ort | Runner-Zugriff? |
|---|---|---|
| Provider/API-Key | lokaler Office-Claws-Rechner oder Vault | nur wenn nötig |
| Git-Push-Token | eng auf Repo/Branch begrenzt | ja |
| Produktions-Deploy-Token | CI/Release-System | nein |
| Kundendaten-Zugang | Produktions-Secret-Store | nein |
| SSH-Key zum Runner | lokale Maschine | nicht auf dem Runner |
So bleibt Codex-gestützte Ausführung nützlich, ohne die Blast Radius unnötig zu vergrößern. Mehr dazu in OpenClaw Security Best Practices.
Deployment-Schritte
- Branch erstellen, bevor der Agent startet.
- Frischen VPS-Runner zuweisen.
- Repo in ein aufgabenspezifisches Workdir klonen.
- Nur notwendige, begrenzte Secrets injizieren.
- Agent aus Office Claws starten und Logs lokal streamen.
- Früh einen Draft-PR pushen.
- Build, Tests und Security-Checks laufen lassen.
- Diff manuell prüfen.
- Runner nach der Aufgabe zurücksetzen oder löschen.
Monitoring und Rollback
Deployment ist erst fertig, wenn der PR geprüft, CI grün und der Rückweg klar ist. Beobachte aktuellen Befehl, letzte Log-Zeile, CPU, Speicher, Commit-URL und fehlende Tests. Rollback heißt: Branch revertieren, PR schließen, Snapshot wiederherstellen, Token widerrufen oder Runner stoppen.
Empfohlenes Office-Claws-Muster
Nutze Office Claws als Operator-Schicht: lokale Kontrolle, remote VPS-Lanes, enge Credentials, sichtbare Logs und menschlicher Merge. Der nächste Schritt ist der OpenClaw desktop manager als Management-Layer.