TyroneGit/NASOpenClaw
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
NASOpenClaw/docs/OpenClaw-DS925-运维手册.md

801 lines
30 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# OpenClaw 群晖 NAS DS925+ 运维手册
> 最后更新2026-04-18
> 维护者Tyrone
> 设备:群晖 DS925+ (OrpaonNAS)
---
## 1. 系统环境
| 项目 | 值 |
|------|-----|
| NAS 型号 | Synology DS925+ |
| NAS 主机名 | OrpaonNAS |
| NAS 局域网 IP | 192.168.0.130 |
| DSM 版本 | 7.x |
| Docker | Container Manager |
| SSH 用户 | Tyrone (UID=1026, GID=100) |
---
## 2. OpenClaw 部署信息
### 2.1 容器配置
| 项目 | 值 |
|------|-----|
| 容器名 | openclaw |
| 镜像 | `docker.1ms.run/alpine/openclaw:latest` |
| 镜像代理 | docker.1ms.run国内加速 |
| 运行用户 | node (UID=1026, GID=100) |
| 重启策略 | always |
| 端口映射 | `0.0.0.0:18789->18789/tcp` |
| 当前版本 | v2026.4.12 |
| 最新版本 | v2026.4.14 |
### 2.2 创建容器命令
```bash
# 1) 创建专用 Docker 网络openclaw 与 browserless 通信必须在同一网络)
docker network create openclaw-net 2>/dev/null || true
# 2) 创建 openclaw 容器(连入 openclaw-net
docker run -d \
--name openclaw \
--restart always \
--network openclaw-net \
-p 18789:18789 \
-v /volume1/docker/openclaw-data:/home/node/.openclaw \
-e PUID=1026 \
-e PGID=100 \
docker.1ms.run/alpine/openclaw:latest
```
> ⚠️ **注意**Volume 必须映射到 `/home/node/.openclaw`node 用户 home 目录),**不要**映射到 `/root/.openclaw`。
### 2.3 Browserless Sidecar 容器(浏览器能力依赖)
OpenClaw 浏览器能力通过 Remote CDP 连接外置 browserless 容器实现;**必须与 openclaw 同处 `openclaw-net`**,且**不启用 TOKEN**(原因见第 12 章)。
```bash
docker run -d \
--name browserless \
--restart always \
--network openclaw-net \
-e MAX_CONCURRENT_SESSIONS=10 \
-e PREBOOT_CHROME=true \
-e PREBOOT_QUANTITY=2 \
-e KEEP_ALIVE=true \
-e CONNECTION_TIMEOUT=600000 \
browserless/chrome:latest
```
参数说明:
| 环境变量 | 值 | 作用 |
|---------|-----|------|
| `MAX_CONCURRENT_SESSIONS` | 10 | 避免 OpenClaw 重连时被排队 |
| `PREBOOT_CHROME` | true | 预热 Chrome降低冷启动延迟 |
| `PREBOOT_QUANTITY` | 2 | 保持 2 个预热实例 |
| `KEEP_ALIVE` | true | 空闲时不立即销毁,稳定连续请求 |
| `CONNECTION_TIMEOUT` | 600000 | 10 分钟空闲超时 |
> ⚠️ **禁止**设置 `TOKEN` 环境变量。OpenClaw 在可达性探测阶段会请求 `/json/version` 但**不带** token启用 TOKEN 会导致 403 → 被误判为 `Remote CDP not reachable`。改由 Docker 网络隔离保障安全。
---
## 3. 路径映射
### 3.1 持久化数据
| NAS 宿主机路径 | 容器内路径 | 用途 |
|---------------|-----------|------|
| `/volume1/docker/openclaw-data/` | `/home/node/.openclaw/` | 配置、数据、workspace |
### 3.2 已废弃路径
| NAS 宿主机路径 | 说明 |
|---------------|------|
| `/volume1/docker/openclaw/` | 旧映射(`/root/.openclaw`),已废弃,可删除 |
### 3.3 应用程序文件(随镜像更新,不持久化)
| 容器内路径 | 用途 |
|-----------|------|
| `/app/dist/` | 编译后的 OpenClaw 核心程序 |
| `/app/skills/` | 内置技能模板 |
| `/app/extensions/` | 内置扩展 |
| `/app/openclaw.mjs` | 主入口文件 |
---
## 4. 关键文件说明
### 4.1 核心配置
| 文件 | 容器内路径 | 作用 |
|------|-----------|------|
| 主配置 | `/home/node/.openclaw/openclaw.json` | Gateway 端口/绑定/auth、模型、插件、频道、工具策略 |
| 配置备份 | `/home/node/.openclaw/openclaw.json.bak*` | 自动备份,修改出错可回滚 |
| 运行日志 | `/tmp/openclaw/openclaw-YYYY-MM-DD.log` | 容器内运行时日志,重启丢失 |
### 4.2 Agent 工作区
| 文件 | 容器内路径 | 作用 |
|------|-----------|------|
| IDENTITY.md | `workspace/IDENTITY.md` | Agent 身份:名字、角色、性格 |
| SOUL.md | `workspace/SOUL.md` | Agent 行为准则:价值观、决策逻辑 |
| AGENTS.md | `workspace/AGENTS.md` | 多 Agent 定义及能力描述 |
| TOOLS.md | `workspace/TOOLS.md` | Agent 可调用工具授权 |
| BOOTSTRAP.md | `workspace/BOOTSTRAP.md` | Agent 启动引导流程 |
| HEARTBEAT.md | `workspace/HEARTBEAT.md` | 定时心跳任务定义 |
| USER.md | `workspace/USER.md` | 用户画像与偏好 |
| state/ | `workspace/state/` | 会话状态持久化 |
| .git/ | `workspace/.git/` | 版本控制,支持回滚 |
### 4.3 插件与频道
| 路径 | 作用 |
|------|------|
| `extensions/` | 已安装插件openclaw-weixin 等) |
| `agents/` | Agent 认证配置、auth-profiles |
| `devices/` | 已配对设备信息 |
| `qqbot/` | QQ 机器人频道配置 |
| `tasks/` | 定时任务执行记录 |
| `cron/jobs.json` | Cron 任务定义 |
| `canvas/` | Control UI 前端静态资源 |
| `identity/` | Gateway 自身身份凭证 |
| `logs/` | Gateway 运行日志 |
---
## 5. 当前配置详情
### 5.1 Gateway 配置
```json
{
"gateway": {
"auth": {
"mode": "token",
"token": "84b9255b705682edf22d0804d004f8060349067513dec98a"
},
"controlUi": {
"allowInsecureAuth": true,
"dangerouslyDisableDeviceAuth": true
},
"mode": "local",
"port": 18789,
"bind": "lan"
}
}
```
### 5.2 模型配置
| 项目 | 值 |
|------|-----|
| 主模型 | minimax/MiniMax-M2.7 |
| API 端点 | `https://api.minimaxi.com/anthropic` |
| API 协议 | anthropic-messages (Anthropic 兼容) |
| 上下文窗口 | 204,800 tokens |
| 最大输出 | 131,072 tokens |
| 推理能力 | 支持reasoning: true |
| 认证方式 | API Keyminimax:cn profile |
### 5.3 插件状态
| 插件 | 版本 | 状态 |
|------|------|------|
| minimax | - | ✅ 已启用 |
| openclaw-weixin | 2.1.8 | ✅ 已启用(⚠️ 未配置,需扫码登录) |
### 5.4 工具与策略
| 项目 | 值 |
|------|-----|
| tools.profile | coding |
| agents.defaults.compaction.mode | safeguard |
| session.dmScope | per-channel-peer |
### 5.5 浏览器配置 (browser)
| 配置项 | 值 | 说明 |
|--------|-----|------|
| `browser.enabled` | true | 启用浏览器能力 |
| `browser.defaultProfile` | browserless | 默认 profile |
| `browser.profiles.browserless.cdpUrl` | `ws://browserless:3000` | 连向 browserless sidecar用容器名避免 IP 漂移) |
| `browser.ssrfPolicy.dangerouslyAllowPrivateNetwork` | true | 允许 CDP 连接私网主机 |
| `browser.ssrfPolicy.hostnameAllowlist` | 含 `browserless``172.18.0.3`、业务域名 | **必须包含 `browserless`**(见 12.1 |
| `browser.ssrfPolicy.allowedHostnames` | 同上 | 与 `hostnameAllowlist` 同步维护 |
| `browser.remoteCdpTimeoutMs` | 30000 | CDP 整体超时(默认 15000 偏短) |
| `browser.remoteCdpHandshakeTimeoutMs` | 45000 | CDP 握手超时 |
参考片段(`openclaw.json`
```json
{
"browser": {
"enabled": true,
"defaultProfile": "browserless",
"remoteCdpTimeoutMs": 30000,
"remoteCdpHandshakeTimeoutMs": 45000,
"profiles": {
"browserless": { "cdpUrl": "ws://browserless:3000", "color": "#00AA00" }
},
"ssrfPolicy": {
"dangerouslyAllowPrivateNetwork": true,
"hostnameAllowlist": [
"example.com", "*.example.com",
"baidu.com", "*.baidu.com",
"browserless", "172.18.0.3"
],
"allowedHostnames": [
"example.com", "*.example.com",
"baidu.com", "*.baidu.com",
"browserless", "172.18.0.3"
]
}
}
}
```
> ⚠️ `hostnameAllowlist` / `allowedHostnames` 是**整体覆盖**类配置,修改时必须带齐旧值 + 新值,否则会把 `browserless` 等关键主机顶掉。
---
## 6. 访问方式
| 方式 | 地址 | 说明 |
|------|------|------|
| Control UI | `http://192.168.0.130:18789/` | 浏览器访问,需输入 Gateway Token |
| 健康检查 | `http://192.168.0.130:18789/healthz` | 返回 `{"ok":true,"status":"live"}` |
| 就绪检查 | `http://192.168.0.130:18789/readyz` | 返回就绪状态 |
| SSH 隧道 | `ssh -L 18789:127.0.0.1:18789 Tyrone@192.168.0.130` | 通过 localhost 安全访问 |
---
## 7. 常用运维命令
### 7.1 状态检查
```bash
# 容器运行状态
docker ps --filter name=openclaw
# 健康检查
curl -fsS http://192.168.0.130:18789/healthz
# 就绪检查
curl -fsS http://192.168.0.130:18789/readyz
# 资源占用
docker stats openclaw --no-stream
# 查看日志
docker logs --tail 50 openclaw
docker logs -f openclaw
# 容器详情
docker inspect openclaw --format='状态: {{.State.Status}} | 启动: {{.State.StartedAt}} | 健康: {{.State.Health.Status}}'
```
### 7.2 配置修改
```bash
# 修改单个配置
docker exec openclaw node dist/index.js config set --batch-json '[{"path":"<配置路径>","value":"<值>"}]'
# 查看当前配置
docker exec -u root openclaw cat /home/node/.openclaw/openclaw.json
# 宿主机直接编辑配置(需 sudo
sudo vi /volume1/docker/openclaw-data/openclaw.json
```
### 7.3 容器管理
```bash
# 重启
docker restart openclaw
# 停止
docker stop openclaw
# 启动
docker start openclaw
# 进入容器(普通用户)
docker exec -it openclaw sh
# 进入容器root 用户)
docker exec -it -u root openclaw sh
```
### 7.4 文件权限修复
```bash
# docker cp 后文件属主变为宿主机用户,需修复
docker exec -u root openclaw chown -R node:node /home/node/.openclaw
```
---
## 8. 升级流程
```bash
# 1. 备份配置
docker cp openclaw:/home/node/.openclaw /volume1/docker/openclaw-backup-$(date +%Y%m%d)
# 2. 拉取最新镜像
docker pull docker.1ms.run/alpine/openclaw:latest
# 3. 停止并删除旧容器
docker stop openclaw && docker rm openclaw
# 4. 用新镜像重建
docker run -d \
--name openclaw \
--restart always \
-p 18789:18789 \
-v /volume1/docker/openclaw-data:/home/node/.openclaw \
-e PUID=1026 \
-e PGID=100 \
docker.1ms.run/alpine/openclaw:latest
# 5. 修复文件权限
docker exec -u root openclaw chown -R node:node /home/node/.openclaw
# 6. 验证
sleep 15
docker logs --tail 10 openclaw
curl -fsS http://192.168.0.130:18789/healthz
```
---
## 9. 微信频道配置
```bash
# 扫码登录(交互式,需终端执行)
docker exec -it openclaw node dist/index.js channels login --channel openclaw-weixin
# 重启生效
docker restart openclaw
# 验证频道状态
docker exec openclaw node dist/index.js channels status
```
---
## 10. 已知问题与注意事项
### 10.1 安全配置
- ⚠️ `allowInsecureAuth=true`:允许 HTTP 非安全上下文认证
- ⚠️ `dangerouslyDisableDeviceAuth=true`:禁用设备身份验证,任何能访问 18789 端口的人可通过 token 控制
- 建议:配置 HTTPS 反向代理后,将以上两项恢复为 `false`
### 10.2 权限陷阱
- `/root/` 目录默认权限 `drwx------`node 用户无法穿越
- Volume 必须映射到 `/home/node/.openclaw`**不要**映射到 `/root/.openclaw`
- `docker cp` 备份后文件属主变为宿主机用户,需 `chown -R node:node` 修复
### 10.3 网络配置
- `gateway.bind` 必须设为 `lan`NAS 部署场景),否则局域网无法访问
- `gateway.auth.mode` 必须为 `token`**不要**设为 `trusted-proxy`(除非配置了 trustedProxy
### 10.4 待完成事项
- [ ] 升级至 v2026.4.14
- [ ] 配置微信频道扫码登录
- [ ]`browser` 工具曝露给 Agent`tools.profile=coding` 不含 browser需定位正确键名
- [ ] 按业务需求补齐 `browser.ssrfPolicy.hostnameAllowlist`
- [ ] 轮换 `gateway.auth.token`(历史排障期间 token 曾外泄至日志)
- [ ] 配置 HTTPS 反向代理(长期方案)
- [ ] 关闭 `dangerouslyDisableDeviceAuth`HTTPS 配置完成后)
- [ ] 运行 `openclaw security audit` 安全审计
---
## 11. 故障排查
| 症状 | 可能原因 | 解决方案 |
|------|---------|---------|
| 容器退出 (exit 137) | 内存不足 OOM | 确保 ≥4GB 可用 RAM |
| 健康检查失败 | 端口映射或 bind 配置错误 | 检查 `-p 18789:18789``gateway.bind=lan` |
| Gateway 启动失败循环 | auth 模式配置错误 | `sudo sed` 修复 openclaw.json 中的 auth.mode |
| Control UI "缺少网关令牌" | 正常认证流程 | 输入 openclaw.json 中的 gateway.auth.token |
| Control UI "需要设备身份" | HTTP 非安全上下文 | 设置 `dangerouslyDisableDeviceAuth=true` 或使用 SSH 隧道 |
| 配置修改 Permission denied | node 用户无写权限 | `docker exec -u root openclaw chown -R node:node /home/node/.openclaw` |
| pricing bootstrap failed | 网络问题 | 检查容器网络连通性,不影响核心功能 |
| `Remote CDP not reachable at ws://browserless:3000` (ms 级同步失败) | `browserless` 主机名未加入 SSRF allowlist | 把 `browserless``172.18.0.3` 加入 `browser.ssrfPolicy.hostnameAllowlist` / `allowedHostnames`(两键同步) |
| `Remote CDP not reachable` (约 15 秒超时失败) | browserless 并发不足或超时过短 | 用 12.2 的参数重建 browserless并把 CDP 超时放宽(见 5.5 |
| `Remote CDP not reachable``/json/version` 返回 403 | browserless 启用了 `TOKEN` | 去掉 `TOKEN` 环境变量,改由 Docker 网络隔离 |
| `browser` CLI 子命令不存在 | `plugins.allow` 未包含 `browser` | 把 `browser` 加入 `plugins.allow` 并重启 |
| `browser navigation blocked by policy` | 目标域名未在 SSRF allowlist | 将目标域名加入 `browser.ssrfPolicy.hostnameAllowlist` |
| `browser status` 显示 `running:false``tabs` 正常 | Remote CDP 模式下 `status` 只读托管状态 | 忽略 `status`,以 `tabs`/`open` 为准(非 bug |
| Agent 在 Control UI 里自称"没有 browser 工具" | `tools.profile=coding` 预设不含 browser | 待定位正确键名(见 10.4 待办) |
---
## 12. 浏览器能力Remote CDP + Browserless排障与调优
### 12.1 工作原理与关键事实
- OpenClaw 自身**不内置 Chrome**,浏览器能力通过 Remote CDP 连接外部 `browserless` 容器实现。
- `browser` 插件需在 `plugins.allow` 列出并启用(`browser.enabled=true`),重启后 `browser` 才会出现在 CLI 顶层命令。
- OpenClaw 会**在发起连接前同步校验 `cdpUrl` 的主机**
- **IP 形式**(如 `172.18.0.3`)走 `dangerouslyAllowPrivateNetwork` 私网放行
- **主机名形式**(如 `browserless`**必须**进入 `hostnameAllowlist` / `allowedHostnames`
- 未通过校验时错误统一为 `Remote CDP ... not reachable`,失败耗时在 **毫秒级**(与网络超时区分关键特征)
- OpenClaw 对 browserless 的可达性探测会请求 `/json/version`**但不附带 token**,因此 browserless **必须**关闭 TOKEN。
- `browser status` 在 Remote CDP 模式下**始终显示 `running:false`**(它读的是"托管会话"状态),以 `tabs`/`open` 为准。
### 12.2 一次到位的部署配置(生产建议值)
Browserless
```bash
docker run -d --name browserless --restart always \
--network openclaw-net \
-e MAX_CONCURRENT_SESSIONS=10 \
-e PREBOOT_CHROME=true \
-e PREBOOT_QUANTITY=2 \
-e KEEP_ALIVE=true \
-e CONNECTION_TIMEOUT=600000 \
browserless/chrome:latest
```
OpenClaw 端(`plugins.allow``browser`,且已应用 5.5 的 `browser` 配置):
```bash
docker exec openclaw node dist/index.js config set --batch-json '[
{"path":"plugins.allow","value":["openclaw-weixin","minimax","memory-core","browser"]},
{"path":"browser.profiles.browserless.cdpUrl","value":"ws://browserless:3000"},
{"path":"browser.remoteCdpTimeoutMs","value":30000},
{"path":"browser.remoteCdpHandshakeTimeoutMs","value":45000},
{"path":"browser.ssrfPolicy.dangerouslyAllowPrivateNetwork","value":true},
{"path":"browser.ssrfPolicy.hostnameAllowlist","value":["example.com","*.example.com","baidu.com","*.baidu.com","browserless","172.18.0.3"]},
{"path":"browser.ssrfPolicy.allowedHostnames","value":["example.com","*.example.com","baidu.com","*.baidu.com","browserless","172.18.0.3"]}
]'
docker restart openclaw
```
### 12.3 三层验证
**第 1 层:网络/CDP 协议可用性openclaw 容器内执行)**
```bash
# HTTP 无 token 必须 200
docker exec openclaw node -e "
(async () => {
const r = await fetch('http://browserless:3000/json/version');
console.log('status=', r.status);
})();"
# WebSocket CDP 握手必须有 Browser.getVersion 回包
docker exec openclaw node -e "
const WebSocket=require('ws');
const ws=new WebSocket('ws://browserless:3000');
ws.on('open',()=>ws.send(JSON.stringify({id:1,method:'Browser.getVersion'})));
ws.on('message',(d)=>{console.log('REPLY',d.toString()); process.exit(0);});
ws.on('error',(e)=>{console.error('ERR',e.message); process.exit(1);});
setTimeout(()=>{console.error('TIMEOUT');process.exit(2);},15000);"
```
**第 2 层OpenClaw CLI 闭环**
```bash
docker exec openclaw node dist/index.js browser --browser-profile browserless start
docker exec openclaw node dist/index.js browser --browser-profile browserless open https://example.com
docker exec openclaw node dist/index.js browser --browser-profile browserless tabs
docker exec openclaw node dist/index.js browser --browser-profile browserless snapshot
```
**第 3 层:稳定性(连续独立调用)**
```bash
for i in 1 2 3; do
echo "---- round $i ----"
docker exec openclaw node dist/index.js browser --browser-profile browserless open https://example.com
done
```
三轮全部返回 `opened: https://example.com/` 才算稳定闭环。
### 12.4 历史定位过程(本次排障复盘)
| # | 现象 | 根因 | 修复 |
|---|------|------|------|
| 1 | `Remote CDP not reachable`ms 级) | `cdpUrl` 用容器名 `browserless`,但未入 `hostnameAllowlist` | 将 `browserless` 加入 allowlist两个键同步 |
| 2 | `Remote CDP not reachable`/json/version 403 | browserless 启用了 `TOKEN`OpenClaw 探测不带 token | 去掉 `TOKEN` 环境变量,改由网络隔离 |
| 3 | 独立 CLI 调用 `open` 间歇性 15s 超时失败 | browserless 并发不足、无预热、OpenClaw 超时偏短 | 扩容 `MAX_CONCURRENT_SESSIONS=10` + `PREBOOT/KEEP_ALIVE` + `remoteCdpTimeoutMs=30000` |
| 4 | `status` 显示 `running:false``tabs` 正常 | Remote CDP 模式 `status` 只读托管状态 | 非 bug忽略 `status` |
| 5 | Agent 在 UI 里说"没有 browser 工具" | `tools.profile=coding` 预设不含 browser待定位 key | 见 10.4 待办 |
### 12.5 Browserless 容器常用运维
```bash
# 查看 IP通常稳定为 openclaw-net 内第 3 个 IP
docker inspect -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' browserless
# 查看是否启用 TOKEN必须 NO_TOKEN_ENV
docker inspect -f '{{range .Config.Env}}{{println .}}{{end}}' browserless | grep -E '^TOKEN=' || echo "NO_TOKEN_ENV"
# 查看 browserless 日志
docker logs --tail 100 browserless
# 重建 browserless保持运维建议参数见 12.2
docker stop browserless && docker rm browserless
# 再执行 12.2 的 run 命令
```
---
## 13. Agent 人设与 Workspace 维护
本章记录 OpenClaw Agent代号 **小橙**)的长期记忆结构与维护流程。源文件在 `w:\ProRepo\NASOpenClaw\workspace\`(本地 Git 管理),部署到容器内 `/home/node/.openclaw/workspace/`(宿主机 `/volume1/docker/openclaw-data/workspace/`)。
### 13.1 Workspace 目录语义
| 路径 | 作用 | 维护者 |
|------|------|-------|
| `README.md` | Workspace 总说明 | Tyrone |
| `USER.md` | 主人画像、公司档案、合规红线、渠道矩阵、KPI | Tyrone |
| `IDENTITY.md` | 小橙的身份、职责、边界 | Tyrone |
| `SOUL.md` | 小橙的决策准则与行为规约(最重要的运行时提示) | Tyrone |
| `AGENTS.md` | 多 Agent / 多技能分工 | Tyrone |
| `TOOLS.md` | 工具授权与使用准则 | Tyrone |
| `BOOTSTRAP.md` | 启动引导与自检 | Tyrone |
| `HEARTBEAT.md` | 定时心跳任务定义 | Tyrone |
| `insights.md` | 经验沉淀(小橙随反馈持续追加) | 小橙 |
| `brand/voice-style.md` | 文笔风格规约(产业观察笔法) | Tyrone |
| `brand/banned-words.md` | 广告法 / 行业合规禁用词库 | Tyrone |
| `products/README.md` | 产品与解决方案线索引 | Tyrone |
| `products/_template.md` | 产品页模板 | — |
| `products/*.md` | 各方案详情页(数据源) | Tyrone |
| `templates/*.md` | 21 个平台发文模板 | Tyrone |
| `assets/` | 媒体素材(图片 / 视频 / PPT | Tyrone |
| `drafts/` | 待复核草稿(小橙产出) | 小橙 |
| `published/` | 已发布归档 + 链接 + 数据快照 | 小橙 |
| `reports/` | 日报 / 周报 / 复盘 | 小橙 |
| `state/` | 会话状态、API 调用日志 | OpenClaw 自动 |
### 13.2 推送到 NAS 容器(首次部署)
本地 `workspace/` 编辑完成后,推送到 NAS
```bash
# 方式 Ascp 整个目录(推荐首次使用)
scp -r w:/ProRepo/NASOpenClaw/workspace Tyrone@192.168.0.130:/tmp/workspace-new
# SSH 到 NAS 后
ssh Tyrone@192.168.0.130
sudo mv /volume1/docker/openclaw-data/workspace /volume1/docker/openclaw-data/workspace.bak-$(date +%Y%m%d) 2>/dev/null
sudo mv /tmp/workspace-new /volume1/docker/openclaw-data/workspace
# 修复权限(容器内 node:node
docker exec -u root openclaw chown -R node:node /home/node/.openclaw/workspace
# 初始化 workspace 下的 git便于版本管理
docker exec -u node openclaw sh -c "cd /home/node/.openclaw/workspace && git init && git add -A && git commit -m 'init: workspace scaffolding'"
# 重启生效
docker restart openclaw
```
### 13.3 推送到 NAS 容器(日常增量更新)
改动某几个 md 文件后:
```bash
# 本地改完先 git commit 记录
cd w:/ProRepo/NASOpenClaw
git add workspace/
git commit -m "update: <what changed>"
# 用 rsync 增量同步(省带宽、保留容器侧 drafts/published/
rsync -av --delete \
--exclude 'drafts/' --exclude 'published/' --exclude 'reports/' \
--exclude 'state/' --exclude '.git/' --exclude 'assets/' \
w:/ProRepo/NASOpenClaw/workspace/ \
Tyrone@192.168.0.130:/volume1/docker/openclaw-data/workspace/
# 修复权限
ssh Tyrone@192.168.0.130 "docker exec -u root openclaw chown -R node:node /home/node/.openclaw/workspace"
# 通知小橙重读(不用重启容器,小橙下一轮对话自动读取)
```
> **注意**`drafts/` `published/` `reports/` `state/` 由小橙在容器内写入,**本地不保留**rsync 必须加 `--exclude`,否则会被回覆盖。
### 13.4 日常维护节奏
| 频率 | 动作 | 负责 |
|------|------|------|
| 每次调教后 | 本地改 USER/IDENTITY/SOUL → rsync → 生效 | Tyrone |
| 每周一次 | 审阅 `insights.md`,把重要经验固化进 `SOUL.md``voice-style.md` | Tyrone |
| 每月一次 | 审阅 `products/` 是否补齐新案例 | Tyrone |
| 每季度一次 | 审阅 `templates/` 平台政策是否变化(发布流程、话题标签、合规规则) | Tyrone |
| 随时 | Git 提交 + 推送到 GitHub/Gitea 做异地备份 | Tyrone |
### 13.5 首次启动后必做的事
1. **在 `products/` 下至少建 3 个方案页**(建议 `mes.md` / `scada.md` / `machine-vision.md`)。
2. 在 Control UI 跟小橙说:"**自检**",确认 `BOOTSTRAP.md` 的 4 项自检全过。
3. 给各社交/电商平台挨个扫码登录(由 Tyrone 手动完成),登录态存在 `/volume1/docker/browserless-profile/`(需先按本文 §13.6 重建 browserless 启用持久化 profile
4. 用一轮真实选题测试小橙的产出质量,依据反馈修订 `voice-style.md``insights.md`
### 13.6 Browserless 重建(启用持久化登录态 + Stealth
为让四大平台(小红书 / 抖音 / 淘宝 / LinkedIn 等)登录态长期保留,需重建 browserless
```bash
# 停止旧容器
docker stop browserless && docker rm browserless
# 创建持久化 profile 目录NAS 宿主机)
sudo mkdir -p /volume1/docker/browserless-profile
sudo chown -R 1000:1000 /volume1/docker/browserless-profile
# 重建(带 stealth + 持久化 profile
docker run -d --name browserless --restart always \
--network openclaw-net \
-v /volume1/docker/browserless-profile:/profile \
-e MAX_CONCURRENT_SESSIONS=10 \
-e PREBOOT_CHROME=true \
-e PREBOOT_QUANTITY=2 \
-e KEEP_ALIVE=true \
-e CONNECTION_TIMEOUT=600000 \
-e DEFAULT_USER_DATA_DIR=/profile \
-e DEFAULT_STEALTH=true \
browserless/chrome:latest
```
### 13.7 批量补齐 SSRF Allowlist
把所有目标平台域名一次写入(**整体覆盖**,务必带齐旧值):
```bash
docker exec openclaw node dist/index.js config set --batch-json '[
{"path":"browser.ssrfPolicy.hostnameAllowlist","value":[
"example.com","*.example.com",
"baidu.com","*.baidu.com","tieba.baidu.com","baijiahao.baidu.com","haokan.baidu.com","b2b.baidu.com",
"browserless","172.18.0.3",
"mp.weixin.qq.com","weixin.qq.com","channels.weixin.qq.com",
"zhihu.com","*.zhihu.com",
"xiaohongshu.com","*.xiaohongshu.com",
"bilibili.com","*.bilibili.com",
"csdn.net","*.csdn.net",
"cnblogs.com","*.cnblogs.com",
"sohu.com","*.sohu.com",
"douyin.com","*.douyin.com","creator.douyin.com",
"kuaishou.com","*.kuaishou.com","cp.kuaishou.com",
"gongkong.com","*.gongkong.com",
"chem17.com","*.chem17.com",
"made-in-china.com","*.made-in-china.com",
"linkedin.com","*.linkedin.com",
"facebook.com","*.facebook.com",
"web.whatsapp.com",
"taobao.com","*.taobao.com","tmall.com","*.tmall.com","2.taobao.com",
"goofish.com","*.goofish.com"
]},
{"path":"browser.ssrfPolicy.allowedHostnames","value":[
"example.com","*.example.com",
"baidu.com","*.baidu.com","tieba.baidu.com","baijiahao.baidu.com","haokan.baidu.com","b2b.baidu.com",
"browserless","172.18.0.3",
"mp.weixin.qq.com","weixin.qq.com","channels.weixin.qq.com",
"zhihu.com","*.zhihu.com",
"xiaohongshu.com","*.xiaohongshu.com",
"bilibili.com","*.bilibili.com",
"csdn.net","*.csdn.net",
"cnblogs.com","*.cnblogs.com",
"sohu.com","*.sohu.com",
"douyin.com","*.douyin.com","creator.douyin.com",
"kuaishou.com","*.kuaishou.com","cp.kuaishou.com",
"gongkong.com","*.gongkong.com",
"chem17.com","*.chem17.com",
"made-in-china.com","*.made-in-china.com",
"linkedin.com","*.linkedin.com",
"facebook.com","*.facebook.com",
"web.whatsapp.com",
"taobao.com","*.taobao.com","tmall.com","*.tmall.com","2.taobao.com",
"goofish.com","*.goofish.com"
]}
]'
docker restart openclaw
```
### 13.8 把 `browser` 工具曝露给默认 Agent
当前 `tools.profile=coding` 不含 browser见 §10.4 待办)。可切换到通用 profile
```bash
# 方案 A整体切换 profile推荐先试
docker exec openclaw node dist/index.js config set --batch-json '[
{"path":"tools.profile","value":"general"}
]'
docker restart openclaw
# 在 Control UI 里让小橙执行 "browser tabs" 验证是否可见
# 若 general 也不含,改用方案 B在 Agent 配置里单独加 allowedTools通过 UI 或 config 具体 key 待定位)
```
### 13.9 小橙对话 / 指令范式速查
下列为 Tyrone 在 Control UI 与小橙交互时的高频指令模板。小橙在 `SOUL.md``HEARTBEAT.md` 中对应了这些关键词的行为。
#### 13.9.1 日常启动 / 状态
| 指令 | 触发行为 |
|------|---------|
| `自检` | 小橙执行 `BOOTSTRAP.md` 四项自检并回报 |
| `今天干什么` | 拉待复核草稿 + 昨日数据 + 今日待办(等同 Heart beat 开场白) |
| `小橙休假` | 挂起所有心跳任务,仅保留 inbox-sweep |
| `小橙上班` | 恢复全部心跳 |
#### 13.9.2 选题与内容生产
| 指令 | 触发行为 |
|------|---------|
| `给我 3 个选题` / `本周选题` | 产出 3 候选,等 Tyrone 回"选 N" |
| `追热点 <关键词>` | 立即抓取该方向热点,产出 3 候选 |
| `写 <选题>` | 进入母版生成流程(先出 3 个标题 + 大纲) |
| `这版不行,<原因>` | 重写并把反馈沉淀到 `insights.md` |
| `改成 <平台>` | 按目标平台模板改写母版 |
| `一稿多发 <主题>` | 按 `USER.md` §5 矩阵全覆盖改写 |
#### 13.9.3 发布与复核
| 指令 | 触发行为 |
|------|---------|
| `待复核` | 列出 `drafts/` 所有未发稿,分平台展示 |
| `预览 <文件名>` | 展示完整稿件 |
| `确认发布 <文件名>` | 进入发布执行流程,停在"发布"按钮前 |
| `一键发布今日所有草稿` | 批量进入发布流程(每篇仍停在发布前等 Tyrone 点) |
| `撤 <平台> <主题>` | 从 published 找对应稿件,提示 Tyrone 手动撤回(小橙不碰删除) |
| `风险停机` | 立即停所有自动任务,进入只读模式 |
#### 13.9.4 数据与复盘
| 指令 | 触发行为 |
|------|---------|
| `数据` / `昨天数据` | 产出简版日报 |
| `本周复盘` | 产出周报(不等 cron |
| `哪条最火` | 列近 7 天 Top3 文 / 视频 |
| `小红书最近怎么样` | 单平台 7 天纵览 |
#### 13.9.5 知识沉淀与调教
| 指令 | 触发行为 |
|------|---------|
| `记住:<规则>` | 追加到 `insights.md` + memory-core |
| `以后都这样做` | 同上,但归入"永久规则"段 |
| `忘掉 <规则>` | 从 `insights.md` 标注为已废弃(不删,只标注) |
| `读一下 products/mes.md` | 小橙重新加载指定文件作为当前上下文 |
#### 13.9.6 线索与商机
| 指令 | 触发行为 |
|------|---------|
| `今天有询盘吗` | 从 inbox-sweep 结果里筛命中 `报价/合作/定制/方案` 的对话 |
| `跟进 <客户标识>` | 生成 WhatsApp / LinkedIn 跟进话术草稿 |
| `新增客户线索:<公司> <需求>` | 写入 memory-core + `insights.md` |
#### 13.9.7 异常时的求助句式Tyrone 可参考)
- `小橙别慌,<问题描述>` — 小橙进入"只读 + 诊断"模式,只分析不动手
- `停!` — 立即终止当前所有任务,等下一条指令
- `回答我就好,不要动手` — 本轮只对话不执行工具调用
### 13.10 待完成事项(接力自 §10.4
- [ ] 首次推送 workspace 到 NAS§13.2
- [ ] 按 §13.5 补齐至少 3 个 `products/*.md`
- [ ] 按 §13.6 重建 browserless 启用持久化 profile + stealth
- [ ] 按 §13.7 批量补齐 SSRF allowlist
- [ ] 按 §13.8 把 `browser` 工具曝露给默认 Agent
- [ ] 各社交/电商平台在 browserless profile 内挨个扫码登录
- [ ] 配置 `cron/jobs.json` 对应 `HEARTBEAT.md` 的心跳任务
Reference in New Issue View Git Blame Copy Permalink