OpenClaw 第十五篇:企业私有化部署进阶
·
OpenClaw 第十五篇:企业私有化部署进阶
—— 集群配置、权限管控与团队技能共享,打造安全可控的团队 AI Agent 平台
前面 1~14 篇,我们从单机使用、远程控制、技术原理、自定义技能开发,一步步把 OpenClaw 从个人工具玩成了可二次开发的本地 AI Agent 框架。
但在企业 / 团队场景里,需求完全不一样:
- 多人共用,不能互相干扰
- 数据不能外泄,必须内网私有化
- 权限要分级:普通员工、管理员、开发人员
- 技能要统一管理、团队共享
- 要高可用,不能一台机器挂了全公司歇菜
这一篇,就是企业级落地完整版:私有化部署 + 集群 + 权限 + 团队技能市场,一步到位。
一、企业级 OpenClaw 架构总览(可直接给架构师看)
整体四层架构
-
接入层
- 内网 Web 控制台
- 内部 API 网关
- 统一登录(LDAP / 企业微信 / 钉钉 SSO)
-
调度与集群层
- 多实例负载均衡
- 任务分布式执行
- 状态同步、心跳、故障转移
-
权限与安全层
- 用户体系 / 角色 / 权限
- 沙箱增强
- 操作审计、日志中心
-
技能与应用层
- 公共技能市场
- 团队自定义技能
- 审批、版本、上架流程
二、私有化部署:核心要求(企业必看)
1. 私有化三原则
- 所有服务内网运行,不连外网
- 所有模型本地部署,不上云
- 所有数据落本地盘 / 内网存储
2. 基础环境
- 内网服务器:Linux 为主(CentOS / Ubuntu)
- Node.js 环境
- 本地大模型服务(如 Ollama、vLLM 私有化)
- 共享文件存储(NAS / 内网文件服务器)
3. 端口与域名规划(内网)
- 控制台:
http://openclaw.company.local - 网关:
192.168.x.x:18789 - 集群通信:
18790、18791
三、集群配置:多机分布式部署(高可用)
1. 集群角色
-
Master 节点
- 用户管理
- 权限控制
- 任务分发
- 技能市场管理
-
Worker 节点
- 真正执行任务(文件、Excel、自动化等)
- 可水平扩展:加机器就是加算力
-
共享存储
- 配置、日志、技能包、任务记录
2. 集群配置关键步骤
1)统一配置文件(cluster.json)
json
{
"cluster": true,
"mode": "master-worker",
"master": {
"host": "192.168.1.100",
"port": 18790
},
"workers": [
"192.168.1.101",
"192.168.1.102",
"192.168.1.103"
],
"loadBalance": "round-robin",
"heartbeatInterval": 3000
}
2)启动 Master
bash
运行
openclaw cluster start --role master --config cluster.json
3)启动 Worker
bash
运行
openclaw cluster start --role worker --master 192.168.1.100:18790
4)查看集群状态
bash
运行
openclaw cluster info
效果:任务会自动分配到空闲的 Worker,某台挂了自动切走。
四、企业级权限管控(最重要)
1. 三级角色体系
-
普通成员
- 只能使用已上架技能
- 只能访问自己目录
- 不能看他人任务
-
技能开发者
- 可开发、测试自定义技能
- 提交审核,不能直接上架
-
管理员(Admin)
- 用户管理
- 权限分配
- 技能审核、上架、下架
- 查看审计日志
2. 路径权限沙箱(企业级加强)
json
{
"file": {
"allowedPaths": {
"user:zhangsan": [
"D:/员工目录/zhangsan",
"D:/公共目录/部门共享"
],
"role:developer": [
"D:/技能开发目录"
],
"role:admin": ["ALL"]
}
}
}
- 每个用户只能看到自己的目录
- 越权直接拦截,日志记录
3. 操作审计(可追溯)
每条操作自动记录:
- 用户
- 时间
- 指令内容
- 执行结果
- IP、设备
bash
运行
openclaw audit log --user zhangsan --date 2026-03-19
五、团队技能共享:企业内部技能市场
1. 技能生命周期(企业标准)
- 开发者开发 → 2. 提交审核 → 3. 管理员审批 → 4. 上架公共市场 → 5. 全员可用
2. 技能共享目录(内网 NAS)
plaintext
/nas/openclaw/skills/
├── public/ # 公共技能(全员可用)
├── team/ # 部门技能(本部门可见)
└── audit/ # 待审核
3. 管理员命令(直接用)
bash
运行
# 上架技能
openclaw skill publish --name desk-archive --scope public
# 下架技能
openclaw skill unpublish --name desk-archive
# 查看所有公共技能
openclaw skill list --public
六、企业级安全加固(必配)
-
禁止外网访问
- 绑定内网 IP
- 防火墙只放内网网段
-
统一登录接入
- LDAP
- 企业微信 / 钉钉 SSO
-
关闭高危能力
- 禁止 shell
- 禁止删除系统文件
- 禁止访问 C:\Windows、/etc、/root
-
日志不落本地
- 直接写入内网日志系统
- 保留 180 天
七、典型企业场景落地(直接抄方案)
场景 1:财务部门自动报表
- 权限:仅财务可访问财务目录
- 技能:Excel 汇总、报表生成、加水印
- 定时:每日 17:30 自动生成
- 审计:所有操作可查
场景 2:运维自动化巡检
- 集群:多 Worker 分布式巡检
- 技能:端口检查、服务状态、磁盘监控
- 告警:推送到企业微信
场景 3:全员效率工具
- 公共技能:文件整理、重命名、格式转换
- 个人目录隔离
- 管理员统一更新
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
17
0- 0
已为社区贡献13条内容
所有评论(0)