阿里云计算巢部署OpenClaw与Hermes Agent配置百炼Token Plan完整步骤与方法详解
一、前言
说到云原生应用落地和AI智能体私有化部署,阿里云计算巢几乎成了绕不开的选择。它开箱即用、免去复杂运维、弹性调度,特别适合承载各种AI Agent服务。OpenClaw和Hermes Agent这两款开源框架,一个擅长任务调度与自主执行,另一个偏轻量化运行与插件拓展,各有各的受众。很多用户会在计算巢里同时部署它们,再结合阿里云百炼大模型服务,形成完整的智能体能力闭环。
不过,想让OpenClaw和Hermes Agent正常调用百炼系列大模型,完成对话交互、任务拆解、逻辑分析,关键一步就是搞定百炼Token的申请、规划、分发,以及框架内的参数写入。还得借助Token Plan做访问权限、调用频次、接口范围的精细化管控。实际操作中,不少人会遇到服务启动正常但模型调不通、Token权限不生效、调用超限、多Agent共用Token冲突等问题。
这篇文章结合2026年阿里云计算巢标准使用规范,一步步讲清楚在计算巢里部署这两款AI Agent,并搭配百炼Token及Token Plan完成权限配置的全流程。内容涵盖计算巢实例初始化、环境搭建、源码部署、服务配置、百炼Token参数写入、Token Plan规则制定、功能联调、故障排查。文中附带了可直接运行的终端指令、配置代码和脚本文件,全程无外部链接、表格和营销内容,无论新手还是有经验的运维,都能跟着步骤搞定整套部署。
二、整体架构与流程梳理
正式动手之前,先理清整套方案的运行架构和执行顺序,搞清楚各组件之间的关系。阿里云计算巢作为底层载体,提供操作系统、算力、网络、安全组、进程托管等基础能力;OpenClaw和Hermes Agent部署在计算巢实例内部,作为前端智能调度层,负责解析自然语言指令、拆分任务、管理会话;阿里云百炼提供底层大模型推理能力;Token和Token Plan则构成安全管控层,实现接口访问鉴权、调用频次限制、IP管控、接口白名单等功能。
完整执行流程分七个环节:第一,创建计算巢实例并初始化系统环境;第二,安装Node.js、Git等基础依赖;第三,部署OpenClaw和Hermes Agent源码并安装项目依赖;第四,获取阿里云百炼基础访问Token;第五,制定Token Plan权限规则,划分调用配额和访问范围;第六,在两个AI Agent的配置文件中写入百炼Token参数,完成模型对接;第七,启动服务、联调功能、验证Token权限有效性。
在整个架构里,Token是打通AI Agent与百炼大模型的核心凭证,Token Plan则是保障服务稳定、防止滥用、区分多应用权限的关键配置——这也是本文的重点内容。
零基础部署AI Agent:OpenClaw/Hermes Agent喂饭级步骤流程
第一步:在浏览器中打开阿里云OpenClaw/Hermes Agent一键部署专题页面。
第二步:打开阿里云轻量应用服务器选择页面,配置参考如下:
镜像:OpenClaw(或Hermes Agent)镜像(已购买服务器的用户可重置系统重新选择镜像)。
实例:内存必须2GiB及以上。
地域:默认美国(弗吉尼亚),目前中国内地域(除香港)的轻量应用服务器,联网搜索功能受限。
时长:根据需求和预算选择。
第三步:打开阿里云百炼大模型控制台,找到密钥管理,单击创建API-Key。
前往轻量应用服务器控制台,找到安装好OpenClaw的实例,进入"应用详情"放行18789端口、配置百炼API-Key、执行命令,生成访问OpenClaw的Token。
端口放通:需要放通对应端口的防火墙,单击一键放通即可。
配置百炼API-Key:单击一键配置,输入百炼的API-Key。单击执行命令,写入API-Key。
配置OpenClaw/Hermes:单击执行命令,生成访问OpenClaw/Hermes的Token。
访问控制页面:单击打开网站页面可进入OpenClaw/Hermes对话页面。
阿里云百炼Coding Plan API-Key 获取、配置保姆级教程
创建API-Key,推荐使用阿里云百炼Coding Plan——它每天两场抢购活动,从按tokens计费升级为按次收费,可以进一步节省费用。
购买后,在控制台生成API Key。注意:这里复制并保存好你的API Key,后面要用。
回到轻量应用服务器控制台,单击服务器卡片中的实例ID,进入服务器概览页。
在服务器概览页面单击应用详情页签,进入服务器详情页面。
端口放通:在OpenClaw使用步骤区域中,单击端口放通下的执行命令,可开放获取OpenClaw服务运行端口的防火墙。
这里系统会列出我们第一步中创建的阿里云百炼Coding Plan的API Key,直接选择即可。
获取访问地址:单击访问Web UI面板下的执行命令,获取OpenClaw WebUI的地址。
三、阿里云计算巢实例创建与基础环境准备
3.1 计算巢实例创建与远程连接
登录阿里云管理控制台进入计算巢服务,创建一个全新的应用实例。根据业务需求选择实例地域和硬件规格——个人测试场景选1核2G配置就能同时跑两款AI Agent,企业并发场景建议升级到2核4G及以上。操作系统统一选Ubuntu 22.04 LTS,它对Node.js生态的兼容性最好。同时开启公网IP,记录实例的公网地址、登录账号和密码。
实例创建完成后,用本地终端通过SSH远程连接计算巢实例:
# 远程连接计算巢Linux实例
ssh 用户名@实例公网IP首次连接输入yes确认密钥信息,再输入登录密码——密码输入时终端不会显示字符,这是正常现象。登录成功后先执行系统更新,同步底层组件:
# Ubuntu系统更新软件源与系统组件
sudo apt update && sudo apt upgrade -y3.2 安装基础工具与运行环境
OpenClaw和Hermes Agent都是基于Node.js生态开发的,统一要求Node.js 20.x及以上LTS版本,还需要Git来拉取源码。依次执行安装指令:
# 安装编译依赖与网络工具
sudo apt install build-essential curl wget -y
# 安装Git工具
sudo apt install git -y
# 导入Node.js官方密钥
curl -fsSL https://deb.nodesource.com/gpgkey/nodesource-repo.gpg.key | sudo gpg --dearmor -o /usr/share/keyrings/nodesource.gpg
# 添加Node.js 20版本软件源
echo "deb [signed-by=/usr/share/keyrings/nodesource.gpg] https://deb.nodesource.com/node_20.x nodistro main" | sudo tee /etc/apt/sources.list.d/node20.list
# 安装Node.js与npm
sudo apt update && sudo apt install nodejs -y安装完成后退出终端重新登录,让环境变量生效,然后验证版本:
node -v
npm -v
git --version输出版本号符合要求就进入下一步。
3.3 统一规划项目部署目录
为了方便后期管理,在系统里创建一个统一的根目录,分别存放OpenClaw和Hermes Agent的项目文件:
# 创建总部署目录
mkdir -p /opt/cloud_agent
cd /opt/cloud_agent
# 分别创建两个Agent的独立目录
mkdir openclaw_service hermes_service四、计算巢内部署OpenClaw 完整步骤
4.1 拉取源码并安装依赖
进入OpenClaw专属目录,用Git克隆源码,同时配置npm国内镜像来加快依赖下载速度:
cd /opt/cloud_agent/openclaw_service
# 克隆OpenClaw源码
git clone openclaw_source .
# 配置npm国内镜像源
npm config set registry https://registry.npmmirror.com
# 安装项目所有运行依赖
npm install如果出现依赖安装报错,执行缓存清理后重新安装:
npm cache clean --force
npm install4.2 OpenClaw核心配置文件编写
OpenClaw通过主配置文件对接外部大模型服务和设置运行参数。用vim打开配置文件:
vim config/main.json写入适配计算巢环境、对接阿里云百炼的配置内容,其中百炼Token位置先预留,后面统一补充:
{
"server": {
"host": "0.0.0.0",
"port": 26001,
"enableCors": true
},
"model": {
"provider": "aliyun-bailian",
"model_name": "qwen-turbo",
"api_endpoint": "internal",
"access_token": "BAILIAN_BASE_TOKEN",
"request_timeout": 180000
},
"task": {
"max_queue": 20,
"concurrent_num": 5
},
"log": {
"level": "warn",
"sa ve_file": true
}
}编辑完成后按Esc,输入:wq保存退出。配置中host设为0.0.0.0允许公网访问,port是服务监听端口,后面要在计算巢安全组放行这个端口。
五、计算巢内部署Hermes Agent 完整步骤
5.1 拉取源码与依赖安装
切换到Hermes Agent目录,执行源码克隆和依赖安装,保持环境配置统一:
cd /opt/cloud_agent/hermes_service
# 克隆Hermes Agent源码
git clone hermes_source .
# 复用镜像配置,直接安装依赖
npm install如果网络环境较差,可以把源码在本地打包后上传到服务器,用解压指令部署:
unzip hermes_source.zip -d /opt/cloud_agent/hermes_service/5.2 Hermes Agent环境变量配置
Hermes Agent采用环境变量文件管理核心参数,编辑生产环境配置文件:
vim .env.prod写入运行参数和百炼模型对接配置,Token字段先预留:
SERVER_HOST=0.0.0.0
SERVER_PORT=26002
NODE_ENV=production
BAILIAN_MODEL=qwen-plus
BAILIAN_TOKEN=BAILIAN_BASE_TOKEN
API_TIMEOUT=200000
MAX_TASK_NUM=6保存退出。Hermes Agent监听端口设为26002,与OpenClaw的26001区分开,避免冲突。两个端口都要在安全组添加放行规则。
六、阿里云百炼Token获取与Token Plan规则配置
6.1 百炼基础Token获取
进入阿里云百炼服务管理页面,创建应用并生成基础访问Token——这是调用百炼大模型接口的基础凭证。记录生成的Token字符串,后面会替换配置文件中的BAILIAN_BASE_TOKEN占位内容。
6.2 Token Plan规划原则
当前计算巢里同时运行OpenClaw和Hermes Agent两个服务,为了避免调用资源争抢、接口滥用、调用超限,必须基于Token Plan做精细化权限划分。Token Plan支持设置调用频率上限、每日调用额度、允许访问的接口列表、IP白名单、应用标识等规则,可以实现单Token多应用分流,也可以给两个Agent分配独立子Token并制定专属规则。
这里采用主Token加分组规则的方案:使用一个基础Token,通过Token Plan划分两组权限,分别对应OpenClaw和Hermes Agent,限制各自的调用频次和接口范围。
6.3 Token Plan规则定义
结合两款Agent的使用场景,制定两套规则策略。第一套适用于OpenClaw,偏向高频短对话、批量任务处理;第二套适用于Hermes Agent,偏向长文本解析、复杂任务编排。
规则核心参数:限制单分钟调用次数、每日总调用额度、仅开放对话与任务推理接口、绑定计算巢实例公网IP作为白名单。创建规则后,将规则与基础Token关联,管控策略就能正式生效。
6.4 批量替换框架内Token参数
回到计算巢实例终端,把获取到的真实百炼Token替换两个配置文件中的占位内容。可以用批量替换指令快速搞定:
# 定义变量,替换为你的真实百炼Token
REAL_TOKEN="your_actual_bailian_token"
# 替换OpenClaw配置中的Token
sed -i "s/BAILIAN_BASE_TOKEN/$REAL_TOKEN/g" /opt/cloud_agent/openclaw_service/config/main.json
# 替换Hermes Agent配置中的Token
sed -i "s/BAILIAN_BASE_TOKEN/$REAL_TOKEN/g" /opt/cloud_agent/hermes_service/.env.prod执行完后可以用查看指令确认替换结果:
cat /opt/cloud_agent/openclaw_service/config/main.json | grep access_token
cat /opt/cloud_agent/hermes_service/.env.prod | grep BAILIAN_TOKEN七、进程托管配置与服务启动
计算巢环境需要服务长期稳定运行,推荐用pm2进程管理工具实现后台运行、异常重启、开机自启。
7.1 安装pm2工具
npm install -g pm2
pm2 --version7.2 分别启动两款AI Agent服务
# 启动OpenClaw,命名进程为openclaw
cd /opt/cloud_agent/openclaw_service
pm2 start npm --name openclaw -- run start
# 启动Hermes Agent,命名进程为hermes
cd /opt/cloud_agent/hermes_service
pm2 start npm --name hermes -- run start7.3 配置开机自启与进程守护
# 生成开机自启脚本
pm2 startup
# 保存当前进程列表
pm2 sa ve
# 设置内存阈值,超出自动重启
pm2 set openclaw max_memory_restart 600M
pm2 set hermes max_memory_restart 600M7.4 常用运维指令
# 查看所有运行进程
pm2 list
# 查看OpenClaw日志
pm2 logs openclaw
# 查看Hermes Agent日志
pm2 logs hermes
# 重启服务
pm2 restart openclaw
pm2 restart hermes八、安全组端口放行与全功能验证
8.1 计算巢安全组配置
进入计算巢实例对应的安全组管理页面,添加入方向TCP规则,依次放行26001和26002两个端口。授权范围可以根据使用需求设为全网或指定IP段,规则配置后即时生效。
8.2 本地端口连通性测试
在计算巢实例内部测试服务监听状态:
# 测试OpenClaw健康接口
curl http://127.0.0.1:26001/health
# 测试Hermes Agent健康接口
curl http://127.0.0.1:26002/health接口返回正常状态信息,说明服务本地启动成功。
8.3 公网访问与模型调用测试
切换到本地终端,把IP换成公网IP,测试公网访问和百炼模型调用能力:
# 测试OpenClaw调用百炼大模型
curl -X POST http://实例公网IP:26001/api/chat -H "Content-Type: application/json" -d '{"content":"测试OpenClaw调用阿里云百炼模型"}'
# 测试Hermes Agent调用百炼大模型
curl -X POST http://实例公网IP:26002/api/task -H "Content-Type: application/json" -d '{"content":"测试Hermes Agent调用阿里云百炼模型完成任务分析"}'两款服务都正常返回AI应答内容,说明Token对接、模型调用、网络访问全部正常。
8.4 Token Plan权限验证
模拟高频调用场景,短时间内多次发起请求,验证Token Plan的频次限制和额度限制是否生效。当调用次数超出规则阈值后,接口会返回权限受限、调用超限提示,代表Token Plan管控规则正常运行。
九、常见故障排查与解决方案
9.1 服务启动成功,无法调用百炼模型
现象:本地接口可访问,发起对话无返回,日志提示Token无效。
解决方案:检查配置文件内Token字符串是否填写错误,核对Token是否开启接口调用权限,重新执行替换指令并重启服务:
pm2 restart openclaw
pm2 restart hermes9.2 调用提示超出配额、频次受限
现象:接口返回调用超限信息。
解决方案:登录百炼控制台查看Token Plan规则,调整每日额度或单分钟调用次数,或者拆分Token,给两个Agent分配独立子Token。
9.3 公网无法访问服务,本地正常
现象:实例内部测试正常,外部公网访问超时。
解决方案:检查计算巢安全组,确认26001、26002端口已添加TCP放行规则。
9.4 两款Agent同时运行出现内存溢出
现象:服务频繁闪退,日志显示内存不足。
解决方案:升级计算巢实例硬件配置,或调低单服务并发数——修改配置文件中的concurrent_num、MAX_TASK_NUM参数,同时优化pm2内存限制:
pm2 set openclaw max_memory_restart 400M
pm2 set hermes max_memory_restart 400M9.5 Token Plan IP白名单拦截访问
现象:固定IP可以访问,其他IP无法调用。
解决方案:在百炼Token Plan规则中,新增当前访问设备的公网IP到白名单列表。
十、运维优化与自动化脚本
10.1 日志自动清理脚本
长期运行会产生大量日志文件,编写定时清理脚本,避免磁盘空间被占满。创建脚本文件:
vim /opt/cloud_agent/log_clean.sh写入脚本内容:
#!/bin/bash
# 清理7天以上日志文件
find /opt/cloud_agent/openclaw_service/logs -type f -mtime +7 -delete
find /opt/cloud_agent/hermes_service/logs -type f -mtime +7 -delete
echo "日志清理完成: $(date)"添加执行权限并配置定时任务:
chmod +x /opt/cloud_agent/log_clean.sh
crontab -e
# 新增定时规则,每日凌晨1点自动执行
0 1 * * * /opt/cloud_agent/log_clean.sh10.2 Token状态巡检脚本
写一个简易巡检脚本,定时检测Token调用状态和服务运行状态,提前发现异常:
vim /opt/cloud_agent/service_check.sh脚本内容:
#!/bin/bash
# 检测服务运行状态
OPEN_CLAW_STATUS=$(pm2 status openclaw | grep online)
HERMES_STATUS=$(pm2 status hermes | grep online)
if [ -z "$OPEN_CLAW_STATUS" ]; then
pm2 restart openclaw
fi
if [ -z "$HERMES_STATUS" ]; then
pm2 restart hermes
fi
# 检测模型接口连通性
curl -s http://127.0.0.1:26001/api/chat -d '{"content":"health check"}' > /dev/null
curl -s http://127.0.0.1:26002/api/task -d '{"content":"health check"}' > /dev/null添加权限并配置定时任务,实现分钟级巡检。
十一、总结
这篇文章完整梳理了2026年阿里云计算巢环境下,同时部署OpenClaw和Hermes Agent两款AI Agent,再结合阿里云百炼Token与Token Plan完成权限配置、调用管控的全流程。从计算巢实例创建、系统环境搭建、源码部署、项目配置,到百炼Token获取、Token Plan规则制定、参数写入、服务托管、功能验证——整个过程形成了一套可落地执行的实操体系。
计算巢的云原生能力把服务器运维简化到了极致,让使用者不用关心底层硬件和复杂网络配置;OpenClaw和Hermes Agent各司其职,覆盖不同的AI任务场景;百炼Token和Token Plan则构建了完整的安全与调用管控体系,有效避免了接口滥用、资源超限和非法访问问题。
在整个部署流程里,端口规划、Token参数填写、Token Plan规则配置、安全组放行是最核心的四个环节,也是最容易出问题的地方。按照文中给出的指令和配置代码一步步操作,再结合故障排查方案处理异常,整套系统就能稳定跑起来。
加上日志清理、服务巡检等自动化脚本后,整套架构可以实现7×24小时无人值守运行。既适合个人学习测试,也能满足小型团队的业务需求。大家可以根据实际业务规模,灵活调整计算巢实例配置、Token调用额度和任务并发数量,不断优化整体运行效率。