1. 项目概述：为什么是“计算巢 + OpenClaw”这个组合值得深挖？

2026年这个时间点不是随便写的——它背后是阿里云计算巢服务完成V3架构全面升级、正式开放全量企业级AI工作流编排能力的关键节点。而OpenClaw，作为当前中文社区里少有的、真正把“大模型技能工程化”落地到生产环境的开源框架，它的核心价值不在于跑通一个LLM，而在于把Prompt、Tool Calling、Stateful Memory、多Agent协作、外部API集成这五层能力，封装成可版本管理、可灰度发布、可监控告警的标准化服务单元。你搜到的那些热词，“openclaw部署”“openclaw skill”“openclaw配置”，其实都指向同一个痛点：本地跑得通，一上云就崩；单机能调用，集群里状态错乱；写好一个Skill，换台服务器就得重配一遍环境变量和依赖路径。

计算巢就是为解决这类问题生的。它不是另一个“云服务器控制台”，而是阿里云把IaC（基础设施即代码）、SaC（服务即代码）、OaC（运维即代码）三者拧成一股绳的交付平台。你提交的不是YAML模板，而是一个带 manifest.yaml 、 skills/ 目录、 Dockerfile 和 healthcheck.sh 的完整Git仓库；计算巢自动完成镜像构建、资源调度、服务注册、SLA保障、日志归集、指标上报——你拿到的不是一个IP+端口，而是一个带域名、带HTTPS、带访问令牌、带调用配额的生产级API服务。这不是“部署”，是“交付”。所以标题里强调“保姆级步骤流程”，不是因为操作有多复杂，而是因为计算巢的抽象层级比传统云服务器高两层，新手容易在“该在哪写配置”“该在哪填参数”“该在哪看日志”这三个环节反复卡壳。我试过让三个不同背景的工程师（前端转AI、运维老手、应届算法岗）各自独立完成一次OpenClaw上计算巢，平均耗时4.7小时，其中3.2小时花在理解计算巢的“服务实例生命周期”和“环境变量注入机制”上。这篇内容，就是把这3.2小时踩过的坑，变成你15分钟就能绕开的路标。

关键词“阿里云”“计算巢”“OpenClaw”“部署”“保姆级步骤”不是并列关系，而是因果链： 因为要用阿里云的计算巢，所以OpenClaw的部署方式必须重构；因为要达到“保姆级”效果，所以每一步都必须明确回答“这步在干什么”“不这么干会怎样”“在哪验证成功”。 它适合三类人：正在评估AI服务上云方案的技术负责人、需要把内部LLM应用快速交付给业务方的MLOps工程师、以及想系统理解现代AI基础设施交付逻辑的进阶开发者。如果你还在用“ssh连ECS→手动docker run→改nginx反向代理”的方式部署OpenClaw，那这篇内容会直接刷新你对“部署”二字的认知。

2. 整体设计思路：为什么放弃传统ECS部署，选择计算巢交付？

2.1 传统ECS部署OpenClaw的三大硬伤

先说清楚我们为什么要“舍近求远”。很多人看到“计算巢”第一反应是“又一个新概念”，但实际拆解下来，传统ECS部署OpenClaw在生产环境里有三个无法回避的结构性缺陷：

第一是 环境漂移不可控 。OpenClaw依赖Python 3.11+、PyTorch 2.3+、特定版本的 transformers 和 llama-cpp-python ，这些包在不同Linux发行版上的编译行为差异极大。我在CentOS 7上编译成功的 llama-cpp-python ，在Alibaba Cloud Linux 3上会因glibc版本不兼容直接报 undefined symbol: __cxa_throw_bad_array_new_length 。更麻烦的是，OpenClaw的Skill往往要调用外部工具链（比如 pdfminer.six 解析PDF、 unstructured 处理文档、 playwright 做网页渲染），这些工具对系统级依赖（如poppler、tesseract、chromium）要求苛刻。每次服务器打补丁、内核升级、甚至只是 yum update 一下，都可能让运行一周的服务突然返回500错误。计算巢通过“容器镜像+声明式配置”彻底切断了这种漂移链——你的服务永远运行在构建时确定的、可复现的环境中。

第二是 服务治理能力缺失 。OpenClaw不是单体Web服务，它天然包含多个协同组件：主API服务（ openclaw-server ）、异步任务队列（Celery Worker）、向量数据库（Qdrant或Chroma）、缓存层（Redis）、以及可能的外部LLM网关（如Ollama或vLLM）。在ECS上，你得自己写systemd unit文件管理进程启停，用supervisord做进程保活，用Prometheus+Grafana搭监控，用ELK收日志。而计算巢把这些都内置了：你只需在 manifest.yaml 里声明 services 数组，计算巢自动为你创建Service Mesh，实现服务发现、熔断降级、请求追踪（OpenTelemetry原生支持）、健康检查探针自动注入。我见过最典型的案例：某客户在ECS上部署OpenClaw后，因Celery Worker内存泄漏未及时发现，导致整个API服务被拖垮；迁移到计算巢后，计算巢的自动扩缩容策略在Worker内存使用率超80%持续2分钟时，自动拉起新实例并下线旧实例，业务无感。

第三是 交付与协作效率低下 。OpenClaw的核心资产是Skill——那些封装了业务逻辑的Python模块。在ECS模式下，Skill更新=登录服务器→停服务→拉Git→改配置→重启→验证。这根本没法做CI/CD。而计算巢把Git仓库作为唯一事实源（Single Source of Truth）：你提交一个带 git tag v1.2.3 的commit，计算巢自动触发构建流水线，生成带语义化版本号的镜像，推送到阿里云ACR，并滚动更新所有关联服务实例。更重要的是，计算巢支持“环境隔离”：你可以为开发、测试、预发、生产环境分别创建不同的“服务实例”，它们共享同一套代码，但拥有完全独立的资源配置、网络策略、密钥管理。这直接解决了“测试环境改个配置，生产环境跟着挂”的经典事故。

2.2 计算巢交付OpenClaw的三层抽象模型

计算巢不是简单地把Docker Compose搬到云上，它构建了一个三层抽象模型，每一层都精准对应OpenClaw的部署需求：

• 第一层：服务定义层（Service Definition）
  对应OpenClaw的 openclaw-server 核心服务。你不需要写Dockerfile（虽然可以），计算巢提供官方 openclaw-base 基础镜像，预装了所有LLM推理依赖和常用Skill工具链。你只需在 manifest.yaml 中声明：

  services:
    openclaw-api:
      image: registry.cn-hangzhou.aliyuncs.com/openclaw/base:v0.8.2
      ports: [8000]
      env:
        - OPENCLAW_SKILL_DIR: /app/skills
        - OPENCLAW_LLM_PROVIDER: ollama
        - OLLAMA_HOST: http://ollama-service:11434
  

  这段配置的威力在于：它把“启动一个OpenClaw API服务”这个动作，从12个命令行操作压缩成3行声明。计算巢会自动处理端口映射、环境变量注入、健康检查探针（默认GET /health ）、以及最重要的—— 服务间DNS解析 。注意 OLLAMA_HOST 里的 ollama-service ，这是计算巢自动生成的服务名，无需你手动维护IP或修改hosts。

• 第二层：技能编排层（Skill Orchestration）
  OpenClaw的Skill不是静态文件，而是动态加载的Python模块。计算巢通过 skills/ 目录挂载机制解决这个问题：你把所有Skill代码放在Git仓库的 skills/ 子目录下，计算巢在服务启动时，将该目录以只读卷形式挂载到容器内的 /app/skills 路径。这意味着Skill更新=推送代码到Git，无需重建镜像。更关键的是，计算巢支持“Skill热重载”：当检测到 skills/ 目录下的 .py 文件变更，会自动向 openclaw-api 进程发送 SIGHUP 信号，触发Skill模块的重新导入。这让你能在生产环境安全地迭代Skill逻辑，而不用中断API服务。

• 第三层：基础设施编排层（Infrastructure Orchestration）
  这是计算巢区别于其他PaaS的核心。OpenClaw依赖的Qdrant向量库、Redis缓存、PostgreSQL元数据存储，在ECS上你需要分别部署三台ECS，手动配置网络ACL、安全组、VPC路由。在计算巢里，你只需在 manifest.yaml 中声明：

  resources:
    qdrant:
      type: acs::qdrant
      properties:
        version: "1.9.4"
        storageSize: 100
    redis:
      type: acs::redis
      properties:
        instanceType: redis.master.small.default
        capacity: 1024
  

  计算巢会自动调用阿里云ROS（Resource Orchestration Service）API，创建托管版Qdrant集群、按需版Redis实例，并将连接字符串（如 QDRANT_URL=http://qdrant-xxx.cn-hangzhou.polaris.aliyuncs.com:6379 ）作为环境变量注入到 openclaw-api 容器中。你完全不用关心底层ECS、VPC、SLB的配置细节——这些都被封装成了可复用、可审计、可版本化的基础设施代码。

这个三层模型不是理论空谈。我帮一家金融客户落地时，他们原有ECS部署方案平均每次OpenClaw升级耗时3.5小时（含回滚），且失败率23%；切换到计算巢后，平均交付时间降至11分钟，失败率归零。因为所有“人肉操作”都被替换成了“机器执行”——而机器不会手抖，不会忘记改配置，也不会在凌晨三点犯困。

3. 核心细节解析：从零开始构建可交付的OpenClaw服务

3.1 前置准备：账号、权限与网络规划

别急着敲命令，先确认三件事，否则后面90%的问题都源于此：

第一，阿里云账号权限必须精确到“最小必要” 。计算巢不是普通云产品，它需要跨服务调用权限。你不能只给“AliyunComputeFullAccess”，这太粗暴。必须授予以下四个自定义策略（可直接在RAM控制台创建）：

• AliyunComputeNestFullAccess ：计算巢自身操作权限（必需）
• AliyunROSFullAccess ：调用ROS创建Qdrant/Redis等资源（必需）
• AliyunContainerRegistryReadOnlyAccess ：读取ACR镜像（必需，用于基础镜像拉取）
• AliyunOSSReadOnlyAccess ：若你用OSS存Skill的训练数据或缓存（可选）

提示：很多用户卡在“创建服务实例失败”，错误日志显示 PermissionDenied ，90%是因为漏了 AliyunROSFullAccess 。ROS是计算巢的“基建引擎”，没有它，计算巢连一台ECS都申请不了。

第二，网络规划必须采用“专有网络（VPC）直连”模式 。计算巢默认使用“公网访问”，但这对OpenClaw是灾难性的：OpenClaw的Skill经常要调用内网API（如公司OA系统、CRM数据库），走公网意味着数据出域、延迟飙升、安全审计不通过。正确做法是在创建计算巢服务前，先在目标地域（如 cn-hangzhou ）创建一个VPC，并确保该VPC已绑定到你的企业云企业网（CEN）。这样，计算巢创建的所有资源（ECS、Qdrant、Redis）都会自动加入该VPC，获得内网互通能力。实测数据：同一地域内VPC直连，Qdrant向量查询P99延迟从320ms降至47ms。

第三，域名与HTTPS必须提前备案并配置 。计算巢为每个服务实例分配一个二级域名（如 openclaw-prod-12345678.nest.aliyuncs.com ），但这个域名无法直接用于生产。你需要用自己的域名（如 ai.yourcompany.com ）在阿里云云解析DNS中添加CNAME记录，指向计算巢分配的域名。更重要的是， 必须在阿里云SSL证书服务中申请免费DV证书，并在计算巢服务配置中绑定 。OpenClaw的Skill调用链中，很多外部API（如飞书机器人、钉钉群消息）强制要求HTTPS回调地址，没证书会导致Skill功能失效。我见过最惨的案例：客户所有功能都调试通过，就因为没配SSL证书，飞书接入一直返回 invalid callback url ，折腾两天才发现是证书问题。

3.2 代码仓库结构：让计算巢读懂你的OpenClaw

计算巢不是黑盒，它通过一套约定俗成的目录结构来理解你的服务。你的Git仓库必须严格遵循以下布局（以 https://github.com/yourname/openclaw-nest 为例）：

├── manifest.yaml              # 【核心】计算巢的“宪法”，定义服务、资源、网络
├── Dockerfile               # 【可选】若需定制基础镜像，否则用官方base
├── skills/                  # 【核心】所有Skill代码存放处，计算巢自动挂载
│   ├── __init__.py
│   ├── weather.py            # 示例：天气查询Skill
│   └── pdf_analyzer.py       # 示例：PDF解析Skill
├── config/                  # 【推荐】配置文件集中管理
│   ├── production.yaml       # 生产环境配置
│   └── development.yaml      # 开发环境配置
└── healthcheck.sh           # 【核心】健康检查脚本，计算巢用它判断服务是否就绪

重点解析三个核心文件：

manifest.yaml 的黄金配置
这是整个交付流程的“心脏”。一个生产可用的OpenClaw配置长这样：

# manifest.yaml
schemaVersion: '1.0'
metadata:
  name: openclaw-prod
  description: OpenClaw AI Skill Platform for Production
  version: 1.0.0

services:
  openclaw-api:
    image: registry.cn-hangzhou.aliyuncs.com/openclaw/base:v0.8.2
    ports: [8000]
    env:
      - OPENCLAW_SKILL_DIR: /app/skills
      - OPENCLAW_LLM_PROVIDER: ollama
      - OLLAMA_HOST: http://ollama-service:11434
      - QDRANT_URL: http://qdrant-service:6333
      - REDIS_URL: redis://redis-service:6379/0
      - DATABASE_URL: postgresql://postgres:password@postgres-service:5432/openclaw
    livenessProbe:
      httpGet:
        path: /health
        port: 8000
      initialDelaySeconds: 60
      periodSeconds: 30
    readinessProbe:
      httpGet:
        path: /readyz
        port: 8000
      initialDelaySeconds: 30
      periodSeconds: 10

resources:
  qdrant:
    type: acs::qdrant
    properties:
      version: "1.9.4"
      storageSize: 200
      instanceType: qdrant.shared.small
  redis:
    type: acs::redis
    properties:
      instanceType: redis.master.small.default
      capacity: 1024
  postgres:
    type: acs::rds
    properties:
      engine: PostgreSQL
      engineVersion: "14.9"
      dbInstanceClass: pg.n2.medium.1
      dbInstanceStorage: 100

network:
  vpcId: vpc-xxxxxx  # 替换为你的VPC ID
  securityGroupId: sg-xxxxxx  # 替换为你的安全组ID

关键细节说明：

• livenessProbe 和 readinessProbe 的 initialDelaySeconds 必须设大。OpenClaw启动时要加载LLM权重、初始化向量库连接、预热Skill模块，实测冷启动需45~75秒。如果设成默认的10秒，计算巢会误判服务崩溃，反复重启。
• 所有 *-service 的命名（如 qdrant-service ）是计算巢自动生成的DNS名称，你 绝不能 写成 qdrant.cn-hangzhou.polaris.aliyuncs.com 这类公网地址。计算巢的Service Mesh只认内部DNS。
• vpcId 和 securityGroupId 必须是你提前创建好的，且该安全组需放行 8000 （API）、 6333 （Qdrant）、 6379 （Redis）、 5432 （PostgreSQL）端口——计算巢不会帮你创建安全组规则。

skills/ 目录的加载机制
OpenClaw的Skill必须满足两个条件才能被自动识别：

1. 文件名必须是合法的Python模块名（不能含 - ，只能用 _ ，如 pdf_analyzer.py ✅， pdf-analyzer.py ❌）
2. 每个 .py 文件必须定义一个继承自 openclaw.skill.Skill 的类，且类名与文件名一致（小写转驼峰）：

   # skills/pdf_analyzer.py
   from openclaw.skill import Skill
   
   class PdfAnalyzer(Skill):  # 类名 = 文件名（pdf_analyzer → PdfAnalyzer）
       def execute(self, input_data: dict) -> dict:
           # 实现逻辑
           return {"result": "parsed text"}
   

计算巢在服务启动时，会扫描 /app/skills 目录下所有 .py 文件，动态导入并注册为Skill。你无需在任何地方手动 import ，这就是“声明式加载”。

healthcheck.sh 的生死线作用
这个脚本不是可有可无的装饰品，它是计算巢判断服务是否“真正就绪”的唯一依据。一个健壮的脚本长这样：

#!/bin/bash
# healthcheck.sh
set -e

# 检查OpenClaw API是否响应
if ! curl -f http://localhost:8000/health >/dev/null 2>&1; then
  echo "API health check failed"
  exit 1
fi

# 检查Qdrant连接
if ! curl -f http://qdrant-service:6333/health >/dev/null 2>&1; then
  echo "Qdrant health check failed"
  exit 1
fi

# 检查Redis连接
if ! timeout 5 redis-cli -h redis-service -p 6379 PING | grep -q "PONG"; then
  echo "Redis health check failed"
  exit 1
fi

# 检查PostgreSQL连接（需安装pg_isready）
if ! timeout 5 pg_isready -h postgres-service -p 5432 -U postgres -d openclaw; then
  echo "PostgreSQL health check failed"
  exit 1
fi

echo "All services healthy"
exit 0

注意： timeout 5 是关键！没有它，当Redis或PG连接超时时，脚本会卡死，导致计算巢判定服务异常。这个脚本会在每次服务实例启动、扩容、故障恢复时被执行，是你的“生命探测器”。

3.3 镜像构建与ACR推送：如何避免“本地能跑，云端报错”

虽然计算巢提供了 openclaw-base 基础镜像，但现实场景中你几乎一定会需要定制。比如：

• 你的Skill依赖 unstructured 库，而官方镜像没预装
• 你要用 qwen3.5:9b 模型，需在镜像里预下载GGUF权重
• 你需要集成公司内部的认证SDK（如阿里云RAM SDK）

这时， Dockerfile 就必不可少了。但千万别照搬网上教程的“万能Dockerfile”，那会让你在计算巢上栽大跟头。以下是经过27次实测验证的、专为计算巢优化的 Dockerfile ：

# Dockerfile
FROM registry.cn-hangzhou.aliyuncs.com/openclaw/base:v0.8.2

# 设置非root用户（计算巢强制要求）
RUN useradd -m -u 1001 -g users openclaw && \
    chown -R openclaw:users /app && \
    chmod -R 755 /app

# 切换到非root用户（计算巢安全策略强制）
USER openclaw:users

# 复制技能代码（计算巢会覆盖此目录，但保留.gitignore等文件）
COPY --chown=openclaw:users skills/ /app/skills/

# 安装额外Python依赖（务必用--no-cache-dir加速）
RUN pip install --no-cache-dir \
    unstructured[all] \
    pypdf \
    python-dotenv \
    aliyun-python-sdk-sts \
    && rm -rf /root/.cache/pip

# 预下载Qwen3.5:9b GGUF模型（避免运行时下载超时）
RUN mkdir -p /app/models && \
    wget -q https://huggingface.co/Qwen/Qwen3.5-9B-GGUF/resolve/main/qwen3.5-9b.Q5_K_M.gguf \
    -O /app/models/qwen3.5-9b.Q5_K_M.gguf

# 复制健康检查脚本
COPY --chown=openclaw:users healthcheck.sh /app/healthcheck.sh
RUN chmod +x /app/healthcheck.sh

# 声明计算巢专用入口点
ENTRYPOINT ["/app/healthcheck.sh"]
CMD ["sh", "-c", "exec openclaw-server --host 0.0.0.0:8000 --port 8000"]

关键点解析：

• USER openclaw:users 是铁律 。计算巢的安全沙箱禁止root进程运行，不加这行，服务实例永远处于 Pending 状态。
• --chown=openclaw:users 确保所有复制的文件都属于非root用户，避免权限拒绝。
• pip install 后的 rm -rf /root/.cache/pip 能减少镜像体积300MB+，加快计算巢拉取速度。实测：镜像从1.2GB压到850MB，部署时间从4分12秒降至1分58秒。
• wget 预下载模型是必须的。计算巢实例启动时网络策略较严，直接在 openclaw-server 启动时调用 huggingface_hub 下载，90%概率超时失败。把模型打进镜像，是唯一稳定方案。
• ENTRYPOINT 和 CMD 的分离设计，是为了让计算巢的健康检查能独立运行。计算巢先执行 ENTRYPOINT （即 healthcheck.sh ），成功后再执行 CMD 启动服务。如果合并成一个 CMD ，健康检查就没了。

构建并推送到阿里云ACR的命令（在本地终端执行）：

# 登录ACR（用你的地域，如cn-hangzhou）
sudo docker login --username=your-aliyun-account registry.cn-hangzhou.aliyuncs.com

# 构建镜像（注意tag格式：地域.阿里云账号.镜像名:版本）
sudo docker build -t registry.cn-hangzhou.aliyuncs.com/your-namespace/openclaw-custom:v1.0.0 .

# 推送
sudo docker push registry.cn-hangzhou.aliyuncs.com/your-namespace/openclaw-custom:v1.0.0

提示： your-namespace 必须是你的ACR个人版实例的命名空间，不是随便起的。在ACR控制台首页能看到。如果填错，推送会报 denied: requested access to the resource is denied 。

4. 实操全流程：从创建服务到生产上线的每一步

4.1 创建计算巢服务：不是点点点那么简单

登录阿里云控制台 → 进入“计算巢”产品页 → 点击“创建服务”。这里有个致命陷阱： 不要选“从模板创建” 。计算巢官方模板库里没有OpenClaw，强行选会进入一个找不到北的配置迷宫。必须选“从代码仓库创建”。

填写服务基本信息：

• 服务名称 ：建议用 openclaw-prod （环境）+ v1.0.0 （版本）组合，如 openclaw-prod-v1.0.0 。计算巢会把它作为服务实例的默认前缀。
• 代码仓库 ：选择“GitHub”或“GitLab”，粘贴你的仓库URL（如 https://github.com/yourname/openclaw-nest ）。
• 分支 ：填 main （或你主开发分支）。
• Manifest文件路径 ：填 manifest.yaml （必须精确，大小写敏感）。

点击“下一步”后，进入最关键的 参数配置页 。这里不是填空题，而是决策树：

参数名	推荐值	为什么这么选	不这么选的后果
部署地域	与你的VPC同地域（如 华东1（杭州） ）	确保VPC直连，延迟最低	若选 华北2（北京） ，VPC不通，服务无法访问内网资源
服务实例规格	ecs.g7ne.large （2核8G）	OpenClaw API本身轻量，但Qwen3.5:9b模型推理需至少6G显存，g7ne系列带NVIDIA T4 GPU	选 ecs.c7.large （纯CPU），模型加载直接OOM
系统盘类型	ESSD PL1	平衡性能与成本，PL1随机IOPS达5万，足够Qdrant向量检索	选 高效云盘 ，IOPS仅3000，向量查询P95延迟飙升至2秒+
公网访问	关闭	所有流量走VPC内网，安全合规	开启则暴露API到公网，违反金融/政务行业安全基线

提示：GPU实例的 ecs.g7ne.large 在杭州地域按量付费约¥3.2/小时，包年包月¥1800/年。别心疼钱，CPU实例跑大模型就是慢性自杀。

配置完点击“创建服务”，计算巢会进行三项校验：

1. 检查Git仓库可访问性（需确保仓库是公开的，或你已配置了计算巢的SSH密钥）
2. 解析 manifest.yaml 语法（YAML格式错误会在此报出，如 mapping values are not allowed in this context ）
3. 验证VPC和安全组是否存在且可访问

全部通过后，服务创建成功。此时你还没部署任何实例，只是注册了一个“服务蓝图”。

4.2 部署服务实例：第一次真正的“交付”

在服务详情页，点击“部署服务实例”。这才是真正把代码变成服务的时刻。

第一步：选择部署环境
计算巢提供三种环境模板：

• production （生产）：启用所有资源（Qdrant+Redis+PostgreSQL），网络策略最严
• staging （预发）：资源减半，允许公网访问用于测试
• development （开发）：仅启动 openclaw-api ，其他资源禁用，成本最低

选 production ，然后点击“下一步”。

第二步：配置实例参数（核心！）
这里会出现 manifest.yaml 里定义的所有可变参数。重点关注：

• openclaw-api.env.OPENCLAW_LLM_MODEL ：填 qwen3.5-9b.Q5_K_M.gguf （必须与Dockerfile里预下载的文件名完全一致）
• openclaw-api.env.OPENCLAW_SKILL_DIR ：保持默认 /app/skills ，别改
• qdrant.properties.storageSize ：填 200 （GB），这是向量库存储上限，按你Skill的文档量预估（10万PDF约需50GB）
• redis.properties.capacity ：填 1024 （MB），OpenClaw的Session缓存和临时结果存储，1GB够100并发

注意：所有参数名都是 manifest.yaml 里定义的，计算巢会自动映射。别手输，用下拉菜单选。

第三步：高级设置

• 自动扩缩容 ：开启，策略设为“CPU使用率 > 70% 持续3分钟，扩容1实例；< 30% 持续5分钟，缩容1实例”。OpenClaw的负载波动大，必须弹性。
• 日志服务 ：绑定到你的SLS（日志服务）Project，否则日志只能看1小时。
• 监控告警 ：勾选“API响应延迟 > 1000ms”和“Qdrant查询错误率 > 5%”，告警发送到你的钉钉群。

点击“部署”，计算巢开始执行：

1. 调用ROS创建Qdrant集群（约2分30秒）
2. 创建Redis实例（约45秒）
3. 创建PostgreSQL实例（约3分钟）
4. 拉取你的自定义镜像（约1分20秒，取决于镜像大小）
5. 启动容器，执行 healthcheck.sh （约1分10秒）
6. 所有健康检查通过，服务实例状态变为 Running

整个过程约9分钟。你可以在“实例详情”页的“事件”Tab里实时查看每一步日志。如果卡在某一步，点开日志，90%的问题都能定位。

4.3 验证与调试：如何确认OpenClaw真的跑起来了？

服务实例状态变绿只是第一步。真正的验证要分三层：

第一层：基础设施层验证
在实例详情页，找到“资源”Tab，确认Qdrant、Redis、PostgreSQL的状态都是 Running 。点击Qdrant右侧的“连接信息”，复制 Endpoint （如 qdrant-xxx.cn-hangzhou.polaris.aliyuncs.com:6333 ），在本地终端执行：

curl http://qdrant-xxx.cn-hangzhou.polaris.aliyuncs.com:6333/health
# 应返回 {"status":"ok","time":0.0012}

如果超时，说明VPC网络不通，回去检查安全组规则。

第二层：服务层验证
在实例详情页，找到“服务访问”Tab，复制“内部访问域名”（如 openclaw-api-12345678.nest.internal ）。在同VPC内的另一台ECS上执行：

curl -H "Authorization: Bearer your-api-token" \
     http://openclaw-api-12345678.nest.internal:8000/health
# 应返回 {"status":"healthy","checks":{"qdrant":"ok","redis":"ok"}}

提示： your-api-token 是你在 config/production.yaml 里配置的 api_token ，计算巢会自动注入为环境变量 OPENCLAW_API_TOKEN 。

第三层：业务层验证（终极考验）
用Postman或curl调用一个真实Skill：

curl -X POST \
  -H "Authorization: Bearer your-api-token" \
  -H "Content-Type: application/json" \
  -d '{"skill": "pdf_analyzer", "input": {"url": "https://example.com/sample.pdf"}}' \
  http://openclaw-api-12345678.nest.internal:8000/v1/skill

预期返回一个包含 {"result": "parsed text..."} 的JSON。如果返回 500 Internal Server Error ，去SLS日志服务里搜索 pdf_analyzer 关键字，看具体报错是 ModuleNotFoundError （Skill没加载）还是 ConnectionRefusedError （Qdrant连不上）。

4.4 技能更新与热重载：让迭代像改网页一样简单

这才是计算巢的魔法时刻。假设你要更新 pdf_analyzer.py 的逻辑：

1. 在本地编辑 skills/pdf_analyzer.py ，增加一行日志：

   def execute(self, input_data: dict) -> dict:
       self.logger.info("PDF Analyzer v1.1.0 started")  # 新增
       # 原有逻辑...
   

2. 提交并推送到GitHub：

   git add skills/pdf_analyzer.py
   git commit -m "feat(pdf): add logging for v1.1.0"
   git push origin main
   

3. 回到计算巢控制台，在服务实例页点击“更新实例”。计算巢会：

   • 检测到Git仓库有新commit
   • 重新挂载 skills/ 目录（文件级同步，毫秒级）
   • 向 openclaw-api 容器发送 SIGHUP 信号
   • OpenClaw框架捕获信号，重新扫描并导入所有Skill模块

整个过程不到20秒，API服务不中断。你可以在SLS日志里看到：

[INFO] PDF Analyzer v1.1.0 started
[INFO] Reloaded 3 skills: weather, pdf_analyzer, email_sender

实操心得：我曾用这个机制在生产环境紧急修复一个PDF解析的编码bug，从发现问题到上线只用了92秒。而传统ECS部署，光登录服务器、找路径、改文件、重启服务就要5分钟以上。

5. 常见问题与排查技巧实录：那些没人告诉你的坑

5.1 “服务实例一直处于Pending状态” —— 权限与网络的双重绞杀

这是新手最高频的报错。表面看是“卡住”，实际是计算巢在后台反复尝试创建资源却失败。排查必须按顺序：

第一步：查事件日志
在服务实例页 → “事件”Tab，找最早一条 Failed 事件。常见类型：

• Failed to create ROS stack ：ROS权限不足，补 AliyunROSFullAccess
• Failed to pull image from ACR ：ACR镜像地址写错，或没登录ACR
• `