威联通NAS部署OpenClaw保姆级教程:从虚拟机到外网访问

前言

近期,开源AI助手OpenClaw的热度持续攀升。这款以通讯为核心的工具,能够在个人设备上运行,作为自动化与生产力的得力助手。随着各大云厂商纷纷推出便捷的一键部署方案,作为NAS爱好者的我们自然也不愿落后。本教程将详细讲解如何在威联通(QNAP)NAS上快速部署OpenClaw,其他平台用户亦可参考其中的思路。

OpenClaw功能强大,但需要注意其消耗Token的速度。此外,更多高级玩法仍有待探索。如果你仅希望完成基础部署并启用核心功能,那么本文将提供足够清晰的指引。

强烈建议将OpenClaw部署在SSD存储中,以获得更佳的响应速度和运行体验。

全文将分为四个主要部分:在虚拟机中安装Ubuntu系统、在Ubuntu内安装并配置OpenClaw、以Telegram(纸飞机)为例进行对接演示、以及配置外网访问OpenClaw的Web管理界面。教程包含大量配图,请耐心阅读。

准备工作

首先需要下载Linux操作系统的安装镜像。笔者选择了稳定的Ubuntu长期支持(LTS)版本。

Image

其次,我们需要准备大语言模型的API密钥。根据官方文档,若无法直接访问国际服务,国内用户推荐使用以下两家供应商的模型。

Image

笔者过去的AI演示多使用硅基流动,本次我们选择注册智普AI。新用户通常享有免费额度,可用于体验。以下是注册邀请链接,供大家使用。

https://www.bigmodel.cn/invite?icode=iNhcwl7Zvzm5LAGfaOeg3UjPr3uHog9F4g5tjuOUqno%3D

Image

安装 Ubuntu

首先,我们需要在威联通NAS的“App Center”中,搜索并安装“Virtualization Station”(虚拟化工作站)。

Image

安装完成后打开该应用,点击顶部的“创建虚拟机”按钮。

Image

在文件位置设置中,笔者预先在NAS上创建了一个名为“OpenClaw”的共享文件夹,并将之前下载的Ubuntu系统镜像也放置于此。

Image

接下来进行硬件资源分配。建议为虚拟机分配4个CPU核心和4GB内存。好在威联通的虚拟机支持内存动态共享与CPU热调整,后续可灵活变更。

Image

然后添加虚拟硬盘。大部分参数保持默认即可,在“映像档”处选择新建,并指向之前创建的“OpenClaw”共享文件夹。

Image

网络适配器保持默认设置,通常选择连接着路由器的那个物理网口(例如网口一)。

Image

在操作系统镜像选择步骤,浏览并选中存放在“OpenClaw”文件夹下的Ubuntu镜像文件。

Image

Image

显卡等其他设置均可保留默认选项。

Image

最后会有一个配置总览界面,确认无误后即可点击创建。虚拟机创建成功后,状态会显示为“已关机”或“运行中”。点击“远程桌面”按钮即可连接进入安装界面。

Image

如果无法进入安装引导界面,可以尝试重启虚拟机后再行连接。

Image

进入Ubuntu安装程序的欢迎界面后,其流程与Windows安装类似。在安装过程中,建议勾选所有可用的更新,此处不再赘述详细步骤。

Image

安装完成后,系统会自动重启,之后便可使用设置的用户名和密码登录。

Image

至此,系统安装尚未完全结束。通过威联通虚拟机自带的VNC链接(浏览器访问)进行操作,体验往往不佳,主要问题是画面卡顿。部署过飞牛座或OpenWrt的朋友可能深有体会,直接通过IP加端口的方式访问则会流畅许多。为了改善后续操作体验,我们需要配置并使用系统自带的“远程桌面”功能。

首先,打开Ubuntu的设置界面,在左侧栏选择“网络”,查看并记录本机的IP地址(例如笔者虚拟机获取到的IP是192.168.100.128)。

Image

接着,在设置左侧栏最底部找到并进入“系统”设置,开启“桌面共享”和“远程控制”选项。同时,建议修改下方“登录详情”中的密码,默认密码通常较为复杂。

Image

然后,在你的个人电脑(PC)上使用远程桌面客户端进行连接。Windows用户可使用系统自带的“远程桌面连接”,Mac用户可使用“Microsoft Remote Desktop”等应用。在客户端中输入Ubuntu虚拟机的IP地址、用户名和刚才设置的密码。

Image

成功连接后,操作流畅度将得到显著提升。

Image

安装 OpenClaw

在Ubuntu桌面任意空白处点击右键,选择“在终端中打开”。

Image

在打开的终端窗口里,输入OpenClaw官网提供的一键快速安装命令,并按回车执行。

curl -fsSL https://openclaw.ai/install.sh | bash

Image

如果系统提示未找到curl命令,则需要先安装这个基础工具。根据提示,运行相应的包管理命令进行安装即可。

Image

安装好curl后,再次执行上述OpenClaw安装命令。安装程序启动后,首先会遇到一个确认窗口,内容是关于使用协议、潜在安全风险及注意事项的说明。由于OpenClaw被设计为具有高自由度,能够读取文件并执行操作,因此目前不建议将其部署在主力工作电脑上。使用键盘方向键选择“Yes”并回车继续。

Image

接下来进入初始化模式设置,我们选择“QuickStart”(快速启动)以简化流程。

Image

随后需要选择AI模型。我们在准备工作阶段注册的智普AI,其赠送的额度支持使用GLM-4模型。在列表中移动光标,选择智普AI(Zhipu AI)对应的选项。

Image

接着,在模型供应商的具体配置选项中,选择第一个选项(通常是手动输入API密钥)并回车。

Image

将你在智普AI后台获取的API密钥粘贴到终端中,然后回车。

Image

之后在模型版本选择中,选择“GLM-4”(或最新的GLM-4系列模型)并回车确认。

Image

接下来选择交互平台。我们先以Telegram(纸飞机)为例进行配置。选择列表中的第一个选项(Telegram)并回车。由于篇幅限制,关于飞书、QQ等平台的对接可能需另文介绍。

Image

现在切换到Telegram应用,与官方Bot(@BotFather)对话。按照下图所示流程,输入指令创建一个新的Bot,并获取其API Token。

Image

将获取到的Telegram Bot API Token复制,并粘贴回OpenClaw安装终端的对应位置,再次回车。

Image

随后会询问是否现在配置Skills(技能)。选择“YES”仍需额外配置,因此我们暂时选择“NO”跳过。这些技能可以在安装完成后随时通过管理界面添加。

Image

下图是笔者之前在Linux Station中部署时预留的技能列表截图,大家可以先作了解。

Image

安装过程结束后,默认浏览器通常会自动打开OpenClaw的Web对话界面。笔者测试直接对话,功能响应正常。

Image

我们还需要返回终端,记录下安装程序最后显示的管理Token(token),用于后续的Web界面认证。

Image

纸飞机对接

如果你现在直接与刚刚创建的Telegram Bot对话,它首先会返回一个配对码(Pairing Code),而不会处理其他指令,这是因为用户与Bot尚未完成配对。下图中红框标注的即为配对码。

Image

查阅官方文档可以找到对应的解决方案。我们需要在Ubuntu的终端中执行以下命令来完成配对。

首先,列出当前的配对请求:

openclaw pairing list telegram

然后,批准特定的配对请求(将 <code> 替换为Bot返回给你的实际配对码):

openclaw pairing approve telegram <code>

Image

完成配对后,再次与Bot聊天,它就能够正常理解并回应你的指令了。

Image

以下展示一段更长的连续对话作为示例。

Image

Image

外网访问 OpenClaw UI

在虚拟机内部通过浏览器访问OpenClaw的管理界面(UI)时,地址通常是127.0.0.1加端口号。这种方式不仅操作不便,流畅度也欠佳。

那么,如何实现像下图这样,让局域网内的其他设备,甚至通过外网,都能流畅访问OpenClaw的配置界面呢?

Image

首先,我们需要修改OpenClaw的配置文件。使用以下命令打开配置文件(系统通常预装了nano编辑器,如果你习惯vim,也可先安装vim)。

nano ~/.openclaw/openclaw.json

在配置文件中,需要修改以下两个关键部分。

修改位置一:网络绑定设置

找到 gateway 配置段,将其中的 bind 参数值从默认的 "loopback" 修改为 "lan"

"gateway": {
  "port": 18789,
  "mode": "local",
  "bind": "lan",           // ← 修改这一行
  "controlUi": {
    "enabled": true,
    "allowInsecureAuth": true
  },
  ...
}

bind 参数的可选值含义如下:

  • "loopback" — 仅限本机(127.0.0.1)访问。
  • "lan" — 允许局域网内的其他设备访问。
  • "all" — 允许所有网络访问(包括公网,需谨慎)。
  • "tailnet" — 限制在Tailscale虚拟网络内访问。

完成此修改后,即可通过 http://<虚拟机IP>:18789 在局域网内访问UI界面。

修改位置二:启用Control UI认证(可选)

确保 controlUi 配置块存在且已启用。如果你的上一步操作后已能访问界面但无法登录,或计划直接通过反向代理实现HTTPS访问,此步骤可调整。

"controlUi": {
  "enabled": true,
  "allowInsecureAuth": true
}

该配置块应与 portbindauth 等参数位于同一层级。

Image

  • enabled: true 表示启用Web管理界面。
  • allowInsecureAuth: true 允许在非HTTPS的HTTP连接上进行身份认证(因为内网访问 http://192.168.100.128:18789 是不安全的连接)。

默认情况下,Control UI出于安全考虑,可能仅允许本地主机或HTTPS连接进行认证。添加此配置后,便解除了对内网HTTP连接认证的限制。

关于如何通过DDNS和反向代理实现安全的外网访问,笔者在过往的文章中已有详细介绍,例如使用Lucky等工具,读者可参考相关教程进行配置。

性能与资源说明

本次测试使用的设备是TS-464C-8G版,由于同时运行了较多Docker容器,内存资源稍显紧张。若换用性能更强的型号(如搭载Intel i3-N305处理器的机型),运行则会变得游刃有余,性能提升感知明显。

Image

此外,根据朋友的测试反馈,在资源有限的设备上,通过精简配置(例如减少并发服务连接数),同样可以运行OpenClaw的基本功能。

Image

希望本教程能帮助你顺利在威联通NAS上部署并运行属于你自己的AI助手OpenClaw。