Fly.io 배포
목표: 영구 스토리지, 자동 HTTPS 및 Discord/channel 접근이 가능한 Fly.io 머신에서 실행되는 OpenClaw Gateway.
필요한 것
- flyctl CLI 설치됨
- Fly.io 계정 (무료 티어 사용 가능)
- Model 인증: Anthropic API 키 (또는 다른 제공업체 키)
- Channel 자격 증명: Discord bot token, Telegram token 등
초보자 빠른 경로
- 레포 클론 → fly.toml 커스터마이징
- 앱 + 볼륨 생성 → 시크릿 설정
- fly deploy로 배포
- SSH로 접속하여 config 생성 또는 Control UI 사용
1) Fly 앱 생성
# 레포 클론
git clone https://github.com/openclaw/openclaw.git
cd openclaw
# 새 Fly 앱 생성 (자신만의 이름 선택)
fly apps create my-openclaw
# 영구 볼륨 생성 (1GB면 보통 충분)
fly volumes create openclaw_data --size 1 --region iad
팁: 가까운 지역을 선택하세요. 일반적인 옵션: lhr (London), iad (Virginia), sjc (San Jose).
2) fly.toml 구성
앱 이름과 요구사항에 맞게 fly.toml을 편집하세요.
보안 참고: 기본 구성은 공개 URL을 노출합니다. 공개 IP가 없는 강화된 배포의 경우, Private Deployment를 참조하거나 fly.private.toml을 사용하세요.
app = "my-openclaw" # 앱 이름
primary_region = "iad"
[build]
dockerfile = "Dockerfile"
[env]
NODE_ENV = "production"
OPENCLAW_PREFER_PNPM = "1"
OPENCLAW_STATE_DIR = "/data"
NODE_OPTIONS = "--max-old-space-size=1536"
[processes]
app = "node dist/index.js gateway --allow-unconfigured --port 3000 --bind lan"
[http_service]
internal_port = 3000
force_https = true
auto_stop_machines = false
auto_start_machines = true
min_machines_running = 1
processes = ["app"]
[[vm]]
size = "shared-cpu-2x"
memory = "2048mb"
[mounts]
source = "openclaw_data"
destination = "/data"
주요 설정:
| 설정 | 이유 |
|---|---|
| --bind lan | 0.0.0.0에 바인드하여 Fly의 프록시가 gateway에 도달할 수 있도록 함 |
| --allow-unconfigured | config 파일 없이 시작 (나중에 생성) |
| internal_port = 3000 | Fly 헬스 체크를 위해 --port 3000 (또는 OPENCLAW_GATEWAY_PORT)과 일치해야 함 |
| memory = "2048mb" | 512MB는 너무 작음; 2GB 권장 |
| OPENCLAW_STATE_DIR = "/data" | 볼륨에 상태 지속 |
3) 시크릿 설정
# 필수: Gateway token (non-loopback 바인딩용)
fly secrets set OPENCLAW_GATEWAY_TOKEN=$(openssl rand -hex 32)
# Model 제공업체 API 키
fly secrets set ANTHROPIC_API_KEY=sk-ant-...
# 선택사항: 다른 제공업체
fly secrets set OPENAI_API_KEY=sk-...
fly secrets set GOOGLE_API_KEY=...
# Channel token
fly secrets set DISCORD_BOT_TOKEN=MTQ...
참고사항:
- Non-loopback 바인드(--bind lan)는 보안을 위해 OPENCLAW_GATEWAY_TOKEN이 필요합니다.
- 이러한 token을 비밀번호처럼 취급하세요.
- 모든 API 키와 token에는 config 파일보다 환경 변수를 선호하세요. 실수로 노출되거나 로그될 수 있는 openclaw.json에 시크릿이 남지 않도록 합니다.
4) 배포
fly deploy
첫 배포는 Docker 이미지를 빌드합니다 (~2-3분). 이후 배포는 더 빠릅니다.
배포 후 확인:
fly status
fly logs
다음이 표시되어야 합니다:
[gateway] listening on ws://0.0.0.0:3000 (PID xxx)
[discord] logged in to discord as xxx
5) Config 파일 생성
머신에 SSH로 접속하여 적절한 config를 생성하세요:
fly ssh console
Config 디렉토리와 파일 생성:
mkdir -p /data
cat > /data/openclaw.json << 'EOF'
{
"agents": {
"defaults": {
"model": {
"primary": "anthropic/claude-opus-4-5",
"fallbacks": ["anthropic/claude-sonnet-4-5", "openai/gpt-4o"]
},
"maxConcurrent": 4
},
"list": [
{
"id": "main",
"default": true
}
]
},
"auth": {
"profiles": {
"anthropic:default": { "mode": "token", "provider": "anthropic" },
"openai:default": { "mode": "token", "provider": "openai" }
}
},
"bindings": [
{
"agentId": "main",
"match": { "channel": "discord" }
}
],
"channels": {
"discord": {
"enabled": true,
"groupPolicy": "allowlist",
"guilds": {
"YOUR_GUILD_ID": {
"channels": { "general": { "allow": true } },
"requireMention": false
}
}
}
},
"gateway": {
"mode": "local",
"bind": "auto"
},
"meta": {
"lastTouchedVersion": "2026.1.29"
}
}
EOF
참고: OPENCLAW_STATE_DIR=/data를 사용하면, config 경로는 /data/openclaw.json입니다.
참고: Discord token은 다음 중 하나에서 가져올 수 있습니다:
- 환경 변수: DISCORD_BOT_TOKEN (시크릿에 권장)
- Config 파일: channels.discord.token
환경 변수를 사용하는 경우, config에 token을 추가할 필요가 없습니다. Gateway는 DISCORD_BOT_TOKEN을 자동으로 읽습니다.
적용을 위해 재시작:
exit
fly machine restart <machine-id>
6) Gateway 접근
Control UI
브라우저에서 열기:
fly open
또는 https://my-openclaw.fly.dev/ 방문
Gateway token(OPENCLAW_GATEWAY_TOKEN의 것)을 붙여넣어 인증하세요.
로그
fly logs # 실시간 로그
fly logs --no-tail # 최근 로그
SSH 콘솔
fly ssh console
문제 해결
"App is not listening on expected address"
Gateway가 0.0.0.0 대신 127.0.0.1에 바인드되고 있습니다.
해결: fly.toml의 프로세스 명령에 --bind lan을 추가하세요.
헬스 체크 실패 / 연결 거부됨
Fly가 구성된 포트에서 gateway에 도달할 수 없습니다.
해결: internal_port가 gateway 포트와 일치하는지 확인하세요 (--port 3000 또는 OPENCLAW_GATEWAY_PORT=3000 설정).
OOM / 메모리 문제
컨테이너가 계속 재시작되거나 종료됩니다. 징후: SIGABRT, v8::internal::Runtime_AllocateInYoungGeneration 또는 무음 재시작.
해결: fly.toml에서 메모리 증가:
[[vm]]
memory = "2048mb"
또는 기존 머신 업데이트:
fly machine update <machine-id> --vm-memory 2048 -y
참고: 512MB는 너무 작습니다. 1GB는 작동할 수 있지만 부하 또는 자세한 로깅 중 OOM이 발생할 수 있습니다. 2GB가 권장됩니다.
Gateway Lock 문제
Gateway가 "이미 실행 중" 오류로 시작을 거부합니다.
이는 컨테이너가 재시작되지만 PID lock 파일이 볼륨에 유지될 때 발생합니다.
해결: Lock 파일 삭제:
fly ssh console --command "rm -f /data/gateway.*.lock"
fly machine restart <machine-id>
Lock 파일은 /data/gateway.*.lock에 있습니다 (하위 디렉토리가 아님).
Config가 읽히지 않음
--allow-unconfigured를 사용하는 경우, gateway는 최소 config를 생성합니다. /data/openclaw.json의 사용자 지정 config는 재시작 시 읽혀야 합니다.
Config가 존재하는지 확인:
fly ssh console --command "cat /data/openclaw.json"
SSH를 통한 Config 작성
fly ssh console -C 명령은 쉘 리디렉션을 지원하지 않습니다. Config 파일을 작성하려면:
# echo + tee 사용 (로컬에서 원격으로 파이프)
echo '{"your":"config"}' | fly ssh console -C "tee /data/openclaw.json"
# 또는 sftp 사용
fly sftp shell
> put /local/path/config.json /data/openclaw.json
참고: 파일이 이미 존재하는 경우 fly sftp가 실패할 수 있습니다. 먼저 삭제:
fly ssh console --command "rm /data/openclaw.json"
상태가 지속되지 않음
재시작 후 자격 증명 또는 세션을 잃는 경우, state dir이 컨테이너 파일 시스템에 쓰고 있습니다.
해결: fly.toml에 OPENCLAW_STATE_DIR=/data가 설정되어 있는지 확인하고 재배포하세요.
업데이트
# 최신 변경사항 가져오기
git pull
# 재배포
fly deploy
# 헬스 확인
fly status
fly logs
머신 명령 업데이트
전체 재배포 없이 시작 명령을 변경해야 하는 경우:
# 머신 ID 가져오기
fly machines list
# 명령 업데이트
fly machine update <machine-id> --command "node dist/index.js gateway --port 3000 --bind lan" -y
# 또는 메모리 증가와 함께
fly machine update <machine-id> --vm-memory 2048 --command "node dist/index.js gateway --port 3000 --bind lan" -y
참고: fly deploy 후, 머신 명령이 fly.toml의 내용으로 재설정될 수 있습니다. 수동 변경을 한 경우, 배포 후 다시 적용하세요.
Private Deployment (강화)
기본적으로, Fly는 공개 IP를 할당하여 https://your-app.fly.dev에서 gateway에 접근할 수 있게 합니다. 이는 편리하지만 배포가 인터넷 스캐너(Shodan, Censys 등)에 의해 발견 가능하다는 의미입니다.
공개 노출 없이 강화된 배포의 경우, private 템플릿을 사용하세요.
Private deployment 사용 시기
- 아웃바운드 호출/메시지만 하는 경우 (인바운드 webhook 없음)
- 모든 webhook 콜백에 ngrok 또는 Tailscale 터널 사용
- SSH, 프록시 또는 WireGuard를 통해 브라우저 대신 gateway에 접근
- 배포를 인터넷 스캐너로부터 숨기고 싶은 경우
설정
표준 config 대신 fly.private.toml을 사용하세요:
# Private config로 배포
fly deploy -c fly.private.toml
또는 기존 배포 변환:
# 현재 IP 목록
fly ips list -a my-openclaw
# 공개 IP 해제
fly ips release <public-ipv4> -a my-openclaw
fly ips release <public-ipv6> -a my-openclaw
# 향후 배포가 공개 IP를 재할당하지 않도록 private config로 전환
# ([http_service] 제거 또는 private 템플릿으로 배포)
fly deploy -c fly.private.toml
# Private 전용 IPv6 할당
fly ips allocate-v6 --private -a my-openclaw
이후, fly ips list는 private 타입 IP만 표시해야 합니다:
VERSION IP TYPE REGION
v6 fdaa:x:x:x:x::x private global
Private deployment 접근
공개 URL이 없으므로, 다음 방법 중 하나를 사용하세요:
옵션 1: 로컬 프록시 (가장 간단)
# 로컬 포트 3000을 앱으로 전달
fly proxy 3000:3000 -a my-openclaw
# 그런 다음 브라우저에서 http://localhost:3000 열기
옵션 2: WireGuard VPN
# WireGuard config 생성 (한 번만)
fly wireguard create
# WireGuard 클라이언트로 가져온 다음, 내부 IPv6로 접근
# 예: http://[fdaa:x:x:x:x::x]:3000
옵션 3: SSH 전용
fly ssh console -a my-openclaw
Private deployment의 webhook
공개 노출 없이 webhook 콜백(Twilio, Telnyx 등)이 필요한 경우:
- ngrok 터널 - 컨테이너 내부 또는 사이드카로 ngrok 실행
- Tailscale Funnel - Tailscale을 통해 특정 경로 노출
- 아웃바운드 전용 - 일부 제공업체(Twilio)는 webhook 없이 아웃바운드 호출만으로도 작동
ngrok를 사용한 음성 통화 config 예시:
{
"plugins": {
"entries": {
"voice-call": {
"enabled": true,
"config": {
"provider": "twilio",
"tunnel": { "provider": "ngrok" }
}
}
}
}
}
ngrok 터널은 컨테이너 내부에서 실행되며 Fly 앱 자체를 노출하지 않고 공개 webhook URL을 제공합니다.
보안 이점
| 측면 | 공개 | Private |
|---|---|---|
| 인터넷 스캐너 | 발견 가능 | 숨김 |
| 직접 공격 | 가능 | 차단됨 |
| Control UI 접근 | 브라우저 | 프록시/VPN |
| Webhook 전달 | 직접 | 터널을 통해 |
참고사항
- Fly.io는 x86 아키텍처 사용 (ARM 아님)
- Dockerfile은 두 아키텍처 모두 호환
- WhatsApp/Telegram 온보딩의 경우, fly ssh console 사용
- 영구 데이터는 /data의 볼륨에 저장
- Signal에는 Java + signal-cli가 필요; 사용자 지정 이미지를 사용하고 메모리를 2GB+로 유지하세요.
비용
권장 config (shared-cpu-2x, 2GB RAM)로:
- 사용량에 따라 월 ~$10-15
- 무료 티어에 일부 허용량 포함
자세한 내용은 Fly.io 가격을 참조하세요.