Аудитория: инженеры, которые читают официальную Docker-документацию, но прыгают между таймаутами локальной сборки, сбоями pull GHCR, конфликтом порта 18789 и правами на томах, блокирующими Skills, без одного упорядоченного пути от clone до Control UI. Результат: стандартизировать на docker-setup.sh плюс опциональный OPENCLAW_IMAGE, разделить работу с Docker production, сетью Docker и томами/правами. Структура: шесть ловушек, матрица, шестишаговый runbook, таблица триажа, три KPI, выводы.
Официальный сценарий предполагает согласованные Docker Engine, Compose, диск и выход. Добавьте npm-global или другой checkout compose — сбои выглядят как «OpenClaw сломан». Шесть частых причин в 2025–2026:
docker build на слабом CI сети, не переключаясь на OPENCLAW_IMAGE.docker-setup.sh не может привязать Control UI.~/.openclaw — записи Skills/состояния падают, UI кажется «мёртвым».compose pull.OPENCLAW_IMAGE (GHCR)В тикете выберите один основной путь и задокументируйте откат на другом — избегайте смешения «на словах».
| Измерение | Сборка из исходников по умолчанию | OPENCLAW_IMAGE тянет GHCR |
|---|---|---|
| Когда лучше | Свои правки Dockerfile, отладка кэша сборки, нет выхода в ghcr | Быстрее всего до UI, слабый канал, CI кэширует образы, а не репозитории |
| Условия | Достаточно CPU/RAM; гигабайты под кэш слоёв | Доступен ghcr.io или внутреннее зеркало; фиксировать теги за пределами голого latest |
| Риски | Таймауты сборки, раздутый кэш, конкуренция за CPU | Аутентификация/лимиты, дрейф тега, расхождение конфига с бинарником |
| Откат | Перейти на готовый образ, сохранив тот же путь к данным тома | Вернуть предыдущий digest или вернуться к сборке из исходников; логировать изменения compose |
Заметка: upstream-репозитории меняются; команды ниже предполагают checkout с docker-setup.sh в корне — при другом форке фиксируйте коммит и путь к скрипту.
docker version и Compose v2; место под слои/тома (как в таблице ресурсов production).docker-setup.sh исполняемый (chmod +x при необходимости).export OPENCLAW_IMAGE=ghcr.io/openclaw/openclaw:latest — в production фиксируйте digest или стабильные теги, а не только движущиеся теги../docker-setup.sh; в логах pull/build и compose up без немедленного ненулевого выхода.http://127.0.0.1:18789 (другая ревизия → порт по build); страница загружается, не connection refused.# Предпочесть готовый образ GHCR (тег по политике) export OPENCLAW_IMAGE="ghcr.io/openclaw/openclaw:latest" ./docker-setup.sh # После успеха Control UI должен открыться (пример: порт 18789) # open http://127.0.0.1:18789
Сверху вниз; не меняйте образ, сеть и тома одновременно.
| Симптом | Сначала | Ещё прочитать |
|---|---|---|
| Таймаут сборки / OOM | Перейти на OPENCLAW_IMAGE; ограничить параллелизм buildkit; почистить кэш | Docker production (ресурсы) |
| 401/403/TLS при pull | Allowlist прокси для ghcr.io; внутреннее зеркало — не только npm registry | Runbook npm (прокси) |
address already in use :18789 | docker ps на старые контейнеры; остановить старый compose или порт по документации | Сеть Docker |
| Permission denied на томах | UID/GID хоста и пользователь контейнера; named vs bind | Чеклист томов/Skills |
| UI открывается, канал молчит | Исключить модель/каналы; затем коды токена/WS | Сопряжение/токены |
~/.openclaw (или путь команды) с mount compose; снимок размера и прав до/после обновления.Если release notes upstream расходятся — доверяйте upstream; статья даёт инженерные контрольные точки.
Сон, фрагментированные диски и остатки Docker Desktop противоречат выделенному CPU, стабильному выходу, аудируемым томам и границам токенов. Эфемерные контейнеры без закреплённых digest, без контракта томов и healthcheck падают на первом реальном трафике.
Команды, которые долго держат Gateway на стабильном Apple Silicon, после этого короткого цикла выигрывают от облачных Mac MACCOME с несколькими регионами и гибкой арендой — публичные тарифы аренды и центр помощи вместе со статьями production и сопряжения.
Пилот: все шесть шагов на выделенном удалённом хосте, зафиксировать digest и снимки томов, затем условия месяца/квартала и мониторинг.
FAQ
Сначала эту статью или Docker production?
Этот runbook — первый успешный путь к UI; production — окна изменений, откат и мониторинг. Тарифы: цены аренды Mac mini.
Конфликтует ли OPENCLAW_IMAGE с глобальной npm CLI?
Конфликты сходятся к портам, окружению и каталогам данных; один основной Gateway на хост. Порядок миграции: runbook установки npm.
Можно ли открыть 18789 в интернет?
Поставьте reverse proxy и TLS спереди — читайте разделы безопасности в production/reverse-proxy вместо слепой привязки к 0.0.0.0. Помощь: центр помощи Mac mini.