VM
真正住 OpenClaw 的房间。Gateway 最后就是在这里上班。
Install 导读
在 Azure 上部署 OpenClaw:从零开始的安全 VM 搭建指南
本页手把手教你用 Azure CLI 创建带 Bastion 安全访问的 Linux VM,并安装 OpenClaw。核心是 NSG 规则配置:只允许 Bastion 子网 SSH,拒绝公网和其他 VNet 的 SSH 连接。先确保 Azure CLI 已安装并登录,再按步骤注册资源提供者、设置变量、创建资源组和 NSG。
先讲这一页到底在解决什么
在 Azure 上部署 OpenClaw:从零开始的安全 VM 搭建指南
本页手把手教你用 Azure CLI 创建带 Bastion 安全访问的 Linux VM,并安装 OpenClaw。核心是 NSG 规则配置:只允许 Bastion 子网 SSH,拒绝公网和其他 VNet 的 SSH 连接。先确保 Azure CLI 已安装并登录,再按步骤注册资源提供者、设置变量、创建资源组和 NSG。
第一站
🏢 先分清这套房子里谁干什么
把 Azure 名词压成人话,这页就不吓人了。
NSG
像楼道门禁规则。谁能敲哪扇门,先由它决定。
Azure Bastion
像官方电梯。你先走电梯进楼,再 SSH 进房间,不给 VM 自己挂公网门牌。
SSH Key
你的进门钥匙。没它,后面再多资源都只是摆设。
第二站
🧱 配置阶段那一串命令,翻成人话就是“先把地皮和门牌填好”
Azure CLI 这段看起来长,其实是在给每样东西起名字。
az login像先去物业前台刷脸,告诉 Azure:“是我,我要开始租房了。”
az provider register ...像提前开通“网络施工”和“算力施工”这两种工种,不然你下单时会被告知没权限。
那一大串变量
像先把小区名、门牌号、子网编号、管理员名字写到纸上。后面命令都只是照着这张纸施工。
SSH_PUB_KEY=...像把你的钥匙纹路交给物业,之后它才知道谁是被允许进门的人。
第三站
🚪 NSG 规则那一长段,其实只在做一件事:只让电梯口的人能敲 SSH
这就是官方为什么要连着写 Allow 和 Deny 三条规则。
✅ AllowSshFromBastionSubnet
像写明“只有从官方电梯厅出来的人,可以按这间房的 22 号门铃”。
⛔ DenyInternetSsh
像告诉大街上的陌生人:别敲,这扇门不对外。
⛔ DenyVnetSsh
像连同小区里其他楼的人也挡住,避免谁都能在内网里随便试门。
🎈 这段一句话
SSH 不是彻底公开,而是只对 Bastion 这部安全电梯开放。
第四站
🛗 真正进门那一步,就是“坐 Bastion 电梯上楼,再让安装车开工”
你会看到两条最关键的命令:一条负责进去,一条负责安装。
az network bastion ssh ...像不直接把房门对外,而是先从 Azure 官方电梯里穿过去,再进到 VM 里。
curl -fsSL https://openclaw.ai/install.sh -o /tmp/install.sh像先把安装车停到临时停车位,等会儿再正式开工。
bash /tmp/install.sh这一步才是让安装车真的开始搬家具、接电、开 onboarding。
openclaw gateway status像装修完后去看总控灯牌有没有亮,确认机器不是只摆着好看。
第五站
💸 成本和清理那段,其实是在提醒你:云上的电梯很贵,不用时记得关灯
这页少见地把账单说得很直白,这反而很实用。
💰 Bastion 很贵
官方直接说 Bastion 往往是大头,所以如果你不是天天 SSH,可以不用时拆掉。
az vm deallocate像把房间断电停用,计算费用先停下来,但磁盘这类家当还在。
az group delete -n \"${RG}\" --yes --no-wait像整栋房子连门禁带电梯一起打包退租。删掉资源组,就是整套一起清空。
🎈 收尾一句
Azure 这条路的核心不是“开一台云机”,而是“开一台门禁做对的云机”。