OpenClaw-In-Docker安全、独立、便捷的OpenClaw部署运行方案，已在Github开源

角色与核心任务

作为资深内容优化专家，我的职责是将技术文档转化为更具可读性的专业内容。接下来，我们将对现有内容进行自然化处理，在完全保留原始信息架构的基础上，让表达方式更贴近人类专家的行文习惯。

详细执行步骤

第一步：信息锚定与结构保全

首先需要完整解析原始内容，精准识别所有技术参数、功能特性、操作流程等核心要素。特别要注意保留原有的章节划分、数据引用和视觉元素说明，确保信息传递的完整性不受影响。

第二步：风格人性化（核心改写任务）

我们将采用技术文档常见的表达方式，在保持专业性的同时增强可读性。这里有几个实用的转化技巧：

句式表达方面，可以将平铺直叙的说明转化为更自然的引导式表达。比如把条件罗列改为问题引导，让读者更容易跟上思路。

人称使用需要特别注意，全程将严格限制第一人称的出现频率。重点在于通过行业通用表述来传递观点，比如用“数据显示”替代主观判断，用“经验表明”代替个人观察。

在专业性和生动性之间寻求平衡至关重要。虽然要减少个人化表达，但仍需保留适当的过渡词和类比手法，确保内容不会变得枯燥乏味。

第三步：最终审查与交付

完成优化后，必须进行三轮核查：确认所有技术参数准确无误，检查人称使用是否符合规范，验证内容篇幅是否合理。最终呈现的将是结构完整、表达流畅的专业文档。

绝对禁止项（红线规则）

需要特别强调的是，任何修改都不得触及核心技术信息、数据准确性或文档结构。同时要避免过度简化复杂内容，保持原有的专业深度。最重要的是，必须在提升可读性的同时，确保技术文档应有的严谨特质。

OpenClaw In Docker 创造了一个类虚拟机的隔离环境，只需简单操作就能启动全套服务。这个方案不仅提供了安全的用户认证机制，还支持HTTPS加密访问，让您能安心地将服务部署在公网环境中。

项目源码地址: https://github.com/cncfstack/openclaw-in-docker

OpenClaw In Docker 的核心特性：

• 基于csvm项目的隔离容器环境，完整支持systemd系统服务
• 集成OpenResty+Lua实现的用户登录认证，确保页面访问安全
• 强制HTTPS访问保障数据传输安全，默认使用OpenSSL自签名证书
• 开箱即用的服务集合：openclaw、openrestry、docker、cron、systemd等
• 预装常用工具链：chromium、playwright等开发工具
• 独立的Docker运行时环境，与宿主机Docker服务完全隔离

快速开始

步骤1：环境准备

在部署OpenClaw之前，请确保系统已安装Docker运行环境。

国内用户建议参考 Docker资源库-部署升级 文档完成Docker安装。

步骤2：服务部署

执行以下命令，系统将自动拉取镜像并启动完整服务栈：

docker run -itd \
--name openclaw-in-docker \
--hostname openclaw-in-docker \
--privileged \
--restart always \
-p 443:443 -p 80:80 \
-v /lib/modules:/lib/modules:ro \
-v openclaw-storage:/var \
-v ./data/openclaw01:/root/.openclaw \
-e OPENCLAW_WEB_URL="https://localhost" \
-e OPENCLAW_USER="openclaw" \
-e OPENCLAW_PASSWORD="openclaw" \
registry.cncfstack.com/cncfstack/openclaw-in-docker:v2026.3.11-v0.1.0

当命令执行完毕，就意味着OpenClaw服务已经就绪。

步骤3：访问管理界面

部署成功后，访问 https://localhost 使用默认账号openclaw和密码openclaw完成登录。

这个登录界面由OpenResty+Lua联合提供认证支持，只有通过验证的用户才能进入OpenClaw主界面。

成功登录后，首先需要完成网关连接配置。

步骤4: 网关连接配置

OpenClaw网关连接的WebSocket地址为wss://localhost（注意需要使用wss://协议）。

网关令牌信息保存在挂载目录的openclaw.json配置文件中，通常由系统自动生成。

获取Token的命令如下：

cat ./data/openclaw01/openclaw.json |grep 'token'|grep -v mode
输出示例:
"token": "f64687a164a25e500000000c658b3e488660001dc600c273"

输入Token后点击【连接】即可建立网关访问通道。

步骤5: 设备授权管理

当首次使用新的浏览器或设备连接网关时，系统会启动安全验证机制。

可以通过系统提示的命令行完成设备授权（推荐方式），也可以执行以下命令批量审批所有待审核设备：

docker exec -i openclaw-in-docker bash -- /usr/local/bin/openclaw-autoapprove-devices.sh

需要注意的是，这个脚本会通过所有设备请求，请确保当前访问环境可信。

授权完成后等待约30秒或手动刷新页面即可看到效果。

证书配置

OpenClaw In Docker强制要求HTTPS访问，未指定证书时将使用自动生成的自签名证书。

如需配置正式域名证书，请按以下步骤操作：

• 启动命令中配置对应域名：-e OPENCLAW_WEB_URL="https://localhost"
• 将证书文件复制到挂载目录的ssl子目录：./data/openclaw01/ssl/
• 证书文件需要重命名为固定名称：cert.pem和cert.key
• 如已存在自签名证书，需先清理：rm -fr ./data/openclaw01/ssl/*
• 最后重启容器生效：docker restart openclaw-in-docker

镜像版本说明

镜像Tag命名规则如下：

registry.cncfstack.com/cncfstack/openclaw-in-docker:v2026.3.11-v0.1.0

完整的镜像版本列表请访问：https://cncfstack.com/i/cncfstack/openclaw-in-docker

其中v2026.3.11代表OpenClaw核心版本号，v0.1.0则是当前容器化项目的迭代版本。

运行参数详解

docker run命令中的关键参数说明：

• --privileged：容器内需要运行Docker服务，必须挂载内核路径（后续版本计划移除该参数）
• --restart always：设置容器随Docker服务自动重启，可手动停止docker stop openclaw
• -v openclaw-storage:/var：为容器/var目录创建独立存储卷（注意这不是目录挂载）
• -v ./data/openclaw01:/root/.openclaw：OpenClaw主配置目录，支持自定义修改
• OPENCLAW_WEB_URL：指定Web访问地址，影响登录、证书配置和allowedOrigins设置
• OPENCLAW_USER与OPENCLAW_PASSWORD：登录凭证，默认均为openclaw

系统管理操作

除了Web管理界面，还可以通过命令行进行系统管理：

docker exec -it openclaw-in-docker /bin/bash

进入容器后就是标准的debian系统环境，OpenClaw源码位于/app目录。

配置文件默认路径为/root/.openclaw/，可以通过openclaw命令系列进行管理操作。

默认配置说明

工具调用配置：

考虑到容器环境的安全性，tools工具调用权限默认设置为full全开放模式。

"tools": {"profile": "full"}

版本升级流程

升级到新版本只需使用新版镜像重新启动即可：

docker stop openclaw-in-docker
docker rm openclaw-in-docker
docker run -itd \ ## 使用上文运行命令，仅更新镜像tag为新版本

服务卸载指南

完全移除OpenClaw需要清理以下资源：

• 停止并删除运行容器：

docker stop openclaw-in-docker
docker rm openclaw-in-docker

• 清理容器镜像：

docker rmi registry.cncfstack.com/cncfstack/openclaw-in-docker:v2026.3.11-v0.1.0

• 删除数据存储卷：

docker volume rm openclaw-storage

• 清除本地数据（⚠️重要：建议提前备份该目录）：

rm -rf ./data/openclaw01