Fly.io

目標: 永続ストレージ、自動 HTTPS、Discord/チャネルアクセスを備えた OpenClaw Gateway を Fly.io マシン上で実行する。

必要なもの

• flyctl CLI のインストール
• Fly.io アカウント（無料枠で可）
• モデル認証: 選択したモデルプロバイダーの API キー
• チャネル資格情報: Discord bot トークン、Telegram トークンなど

初心者向けの簡単な手順

1. リポジトリをクローン → fly.toml をカスタマイズ
2. アプリ + ボリュームを作成 → シークレットを設定
3. fly deploy でデプロイ
4. SSH で入って設定を作成するか、Control UI を使用

# Clone the repogit clone https://github.com/openclaw/openclaw.gitcd openclaw # Create a new Fly app (pick your own name)fly apps create my-openclaw # Create a persistent volume (1GB is usually enough)fly volumes create openclaw_data --size 1 --region iad

app = "my-openclaw"  # Your app nameprimary_region = "iad" [build]  dockerfile = "Dockerfile" [env]  NODE_ENV = "production"  OPENCLAW_PREFER_PNPM = "1"  OPENCLAW_STATE_DIR = "/data"  NODE_OPTIONS = "--max-old-space-size=1536" [processes]  app = "node dist/index.js gateway --allow-unconfigured --port 3000 --bind lan" [http_service]  internal_port = 3000  force_https = true  auto_stop_machines = false  auto_start_machines = true  min_machines_running = 1  processes = ["app"] [[vm]]  size = "shared-cpu-2x"  memory = "2048mb" [mounts]  source = "openclaw_data"  destination = "/data"

# Required: Gateway token (for non-loopback binding)fly secrets set OPENCLAW_GATEWAY_TOKEN=$(openssl rand -hex 32) # Model provider API keysfly secrets set ANTHROPIC_API_KEY=sk-ant-... # Optional: Other providersfly secrets set OPENAI_API_KEY=sk-...fly secrets set GOOGLE_API_KEY=... # Channel tokensfly secrets set DISCORD_BOT_TOKEN=MTQ...

fly deploy

fly statusfly logs

[gateway] listening on ws://0.0.0.0:3000 (PID xxx)[discord] logged in to discord as xxx

fly ssh console

mkdir -p /datacat > /data/openclaw.json << 'EOF'{  "agents": {    "defaults": {      "model": {        "primary": "anthropic/claude-opus-4-6",        "fallbacks": ["anthropic/claude-sonnet-4-6", "openai/gpt-5.4"]      },      "maxConcurrent": 4    },    "list": [      {        "id": "main",        "default": true      }    ]  },  "auth": {    "profiles": {      "anthropic:default": { "mode": "token", "provider": "anthropic" },      "openai:default": { "mode": "token", "provider": "openai" }    }  },  "bindings": [    {      "agentId": "main",      "match": { "channel": "discord" }    }  ],  "channels": {    "discord": {      "enabled": true,      "groupPolicy": "allowlist",      "guilds": {        "YOUR_GUILD_ID": {          "channels": { "general": { "allow": true } },          "requireMention": false        }      }    }  },  "gateway": {    "mode": "local",    "bind": "auto",    "controlUi": {      "allowedOrigins": [        "https://my-openclaw.fly.dev",        "http://localhost:3000",        "http://127.0.0.1:3000"      ]    }  },  "meta": {}}EOF

exitfly machine restart <machine-id>

fly open

fly logs              # Live logsfly logs --no-tail    # Recent logs

fly ssh console

トラブルシューティング

「App is not listening on expected address」

Gateway が 0.0.0.0 ではなく 127.0.0.1 にバインドしています。

修正: fly.toml のプロセスコマンドに --bind lan を追加します。

ヘルスチェックの失敗 / 接続拒否

Fly が設定済みポートで Gateway に到達できません。

修正: internal_port が Gateway ポートと一致していることを確認してください（--port 3000 または OPENCLAW_GATEWAY_PORT=3000 を設定）。

OOM / メモリ問題

コンテナが再起動し続ける、または強制終了されます。兆候: SIGABRT、v8::internal::Runtime_AllocateInYoungGeneration、または無言の再起動。

修正: fly.toml でメモリを増やします。

[[vm]]  memory = "2048mb"

または既存のマシンを更新します。

fly machine update <machine-id> --vm-memory 2048 -y

注記: 512MB は小さすぎます。1GB でも動作する可能性はありますが、負荷時や詳細ログ有効時に OOM になることがあります。2GB を推奨します。

Gateway ロックの問題

Gateway が「already running」エラーで起動を拒否します。

これはコンテナが再起動しても PID ロックファイルがボリューム上に残る場合に発生します。

修正: ロックファイルを削除します。

fly ssh console --command "rm -f /data/gateway.*.lock"fly machine restart <machine-id>

ロックファイルは /data/gateway.*.lock にあります（サブディレクトリ内ではありません）。

設定が読み込まれない

--allow-unconfigured は起動ガードを迂回するだけです。/data/openclaw.json を作成または修復するわけではないため、通常のローカル Gateway 起動を行いたい場合は、実際の設定が存在し、gateway.mode="local" が含まれていることを確認してください。

設定が存在することを確認します。

fly ssh console --command "cat /data/openclaw.json"

SSH 経由で設定を書き込む

fly ssh console -C コマンドはシェルリダイレクトをサポートしていません。設定ファイルを書き込むには、次のようにします。

# Use echo + tee (pipe from local to remote)echo '{"your":"config"}' | fly ssh console -C "tee /data/openclaw.json" # Or use sftpfly sftp shell> put /local/path/config.json /data/openclaw.json

注記: ファイルがすでに存在する場合、fly sftp が失敗することがあります。先に削除してください。

fly ssh console --command "rm /data/openclaw.json"

状態が永続化されない

再起動後に認証プロファイル、チャネル/プロバイダー状態、またはセッションが失われる場合、 状態ディレクトリがコンテナファイルシステムに書き込まれています。

修正: OPENCLAW_STATE_DIR=/data が fly.toml に設定されていることを確認し、再デプロイします。

更新

# Pull latest changesgit pull # Redeployfly deploy # Check healthfly statusfly logs

マシンコマンドの更新

完全な再デプロイなしで起動コマンドを変更する必要がある場合:

# Get machine IDfly machines list # Update commandfly machine update <machine-id> --command "node dist/index.js gateway --port 3000 --bind lan" -y # Or with memory increasefly machine update <machine-id> --vm-memory 2048 --command "node dist/index.js gateway --port 3000 --bind lan" -y

注記: fly deploy の後、マシンコマンドは fly.toml の内容にリセットされることがあります。手動変更を行った場合は、デプロイ後に再適用してください。

プライベートデプロイ（強化）

デフォルトでは、Fly は公開 IP を割り当てるため、Gateway は https://your-app.fly.dev でアクセス可能になります。これは便利ですが、デプロイがインターネットスキャナー（Shodan、Censys など）から発見可能になることを意味します。

公開露出なしの強化されたデプロイには、プライベートテンプレートを使用してください。

プライベートデプロイを使用する場合

• 送信の呼び出し/メッセージのみを行う（受信 Webhook なし）
• Webhook コールバックに ngrok または Tailscale トンネルを使用する
• ブラウザではなく SSH、プロキシ、または WireGuard 経由で Gateway にアクセスする
• デプロイを インターネットスキャナーから隠したい

セットアップ

標準設定の代わりに deploy/fly.private.toml を使用します。

# Deploy with private configfly deploy -c deploy/fly.private.toml

または既存のデプロイを変換します。

# List current IPsfly ips list -a my-openclaw # Release public IPsfly ips release <public-ipv4> -a my-openclawfly ips release <public-ipv6> -a my-openclaw # Switch to private config so future deploys don't re-allocate public IPs# (remove [http_service] or deploy with the private template)fly deploy -c deploy/fly.private.toml # Allocate private-only IPv6fly ips allocate-v6 --private -a my-openclaw

この後、fly ips list には private タイプの IP のみが表示されるはずです。

VERSION  IP                   TYPE             REGIONv6       fdaa:x:x:x:x::x      private          global

プライベートデプロイへのアクセス

公開 URL がないため、次のいずれかの方法を使用します。

オプション 1: ローカルプロキシ（最も簡単）

# Forward local port 3000 to the appfly proxy 3000:3000 -a my-openclaw # Then open http://localhost:3000 in browser

オプション 2: WireGuard VPN

# Create WireGuard config (one-time)fly wireguard create # Import to WireGuard client, then access via internal IPv6# Example: http://[fdaa:x:x:x:x::x]:3000

オプション 3: SSH のみ

fly ssh console -a my-openclaw

プライベートデプロイでの Webhook

公開せずに Webhook コールバック (Twilio、Telnyx など) が必要な場合:

1. ngrok トンネル - コンテナ内またはサイドカーとして ngrok を実行
2. Tailscale Funnel - Tailscale 経由で特定のパスを公開
3. 送信専用 - 一部のプロバイダー (Twilio) は Webhook なしでも発信通話で問題なく動作します

ngrok を使った音声通話設定の例:

{  plugins: {    entries: {      "voice-call": {        enabled: true,        config: {          provider: "twilio",          tunnel: { provider: "ngrok" },          webhookSecurity: {            allowedHosts: ["example.ngrok.app"],          },        },      },    },  },}

ngrok トンネルはコンテナ内で動作し、Fly アプリ自体を公開せずに公開 Webhook URL を提供します。転送されたホストヘッダーが受け入れられるように、webhookSecurity.allowedHosts を公開トンネルのホスト名に設定します。

セキュリティ上の利点

メモ

• Fly.io は x86 アーキテクチャ を使用します (ARM ではありません)
• Dockerfile は両方のアーキテクチャに対応しています
• WhatsApp/Telegram のオンボーディングには、fly ssh console を使用します
• 永続データは /data のボリューム上にあります
• Signal には Java + signal-cli が必要です。カスタムイメージを使用し、メモリは 2GB 以上に保ってください。

コスト

推奨設定 (shared-cpu-2x、2GB RAM) の場合:

• 使用量に応じて月額約 $10-15
• 無料枠には一定の利用枠が含まれます

詳細は Fly.io の料金 を参照してください。

次のステップ

• メッセージングチャネルを設定する: チャネル
• Gateway を設定する: Gateway 設定
• OpenClaw を最新の状態に保つ: 更新

関連

• インストール概要
• Hetzner
• Docker
• VPS ホスティング