一、前言
在云原生应用落地与AI智能体私有化部署场景中,阿里云计算巢凭借开箱即用、免复杂运维、弹性调度的特性,成为承载各类AI Agent服务的主流平台。OpenClaw与Hermes Agent作为两款应用广泛的开源AI智能体框架,分别在任务调度、自主执行、轻量化运行、插件拓展等方面各有优势,很多使用者会选择在计算巢中同时部署或单独部署两款框架,结合阿里云百炼大模型服务实现完整的智能体能力闭环。
想要让OpenClaw、Hermes Agent正常调用阿里云百炼系列大模型,完成对话交互、任务拆解、逻辑分析等功能,就必须完成百炼Token的申请、规划、分发以及框架内参数写入,同时基于Token Plan做访问权限、调用频次、接口范围的精细化管控。不少使用者在部署过程中,会出现服务启动正常但无法调用大模型、Token权限不生效、调用超限、多Agent共用Token冲突等问题。
本文结合2026年阿里云计算巢标准使用规范,完整讲解在计算巢环境中部署OpenClaw、Hermes Agent两大AI Agent框架,搭配阿里云百炼Token及Token Plan完成权限配置的全流程。内容包含计算巢实例初始化、运行环境搭建、源码部署、服务配置、百炼Token参数写入、Token Plan规则制定、功能联调、故障排查等内容,文中附带可直接运行的终端指令、配置代码、脚本文件,全程不使用外部链接、表格与图片,无营销相关内容,无论是新手还是有一定运维经验的使用者,都可以按照步骤完成整套部署与配置工作。阿里云部署AI Agent:OpenClaw/Hermes Agent全网最简单,只需两步,详情👉访问阿里云OpenClaw/Hermes一键部署专题页面 了解。
👉访问订阅阿里云百炼Token Plan AI大模型服务 。支持多模型切换,用于多模态模型灵活调用,实现多模型、多工具、多场景下的额度共享与统一管理,兼顾灵活性、稳定性与安全性,大幅降低企业使用大模型的门槛与成本。
二、整体架构与流程梳理
在正式操作之前,先梳理整套方案的运行架构与执行顺序,帮助理解各组件之间的关联关系。阿里云计算巢作为底层运行载体,提供操作系统、算力、网络、安全组、进程托管等基础能力;OpenClaw和Hermes Agent部署在计算巢实例内部,作为前端智能调度层,负责解析自然语言指令、拆分任务、管理会话;阿里云百炼作为底层大模型服务,为两款Agent提供推理能力;Token与Token Plan则作为安全管控层,实现接口访问鉴权、调用频次限制、IP管控、接口白名单等功能。
完整执行流程分为七大环节:第一,计算巢实例创建与系统环境初始化;第二,安装Node.js、Git等基础依赖软件;第三,分别部署OpenClaw与Hermes Agent源码并安装项目依赖;第四,获取阿里云百炼基础访问Token;第五,制定Token Plan权限规则,划分调用配额与访问范围;第六,在两款AI Agent的配置文件中写入百炼Token相关参数,完成模型对接;第七,启动服务、联调功能、验证Token权限有效性。
整套架构中,Token是打通AI Agent与百炼大模型的核心凭证,Token Plan则是保障服务稳定、防范滥用、区分多应用权限的关键配置,也是本文重点讲解的内容。
零基础部署AI Agent:OpenClaw/Hermes Agent喂饭级步骤流程
第一步:👉点击打开访问阿里云OpenClaw/Hermes Agent一键部署专题页面。
👉访问订阅阿里云百炼Token Plan AI大模型服务 。支持多模型切换,用于多模态模型灵活调用,实现多模型、多工具、多场景下的额度共享与统一管理,兼顾灵活性、稳定性与安全性,大幅降低企业使用大模型的门槛与成本。
第二步:👉打开选择阿里云轻量应用服务器,配置参考如下:
- 镜像:OpenClaw(或Hermes Agent)镜像(已经购买服务器的用户可以重置系统重新选择镜像)
- 实例:内存必须2GiB及以上。
- 地域:默认美国(弗吉尼亚),目前中国内地域(除香港)的轻量应用服务器,联网搜索功能受限。
- 时长:根据自己的需求及预算选择。
第三步:打开访问阿里云百炼大模型控制台,找到密钥管理,单击创建API-Key。
前往轻量应用服务器控制台,找到安装好OpenClaw的实例,进入「应用详情」放行18789端口、配置百炼API-Key、执行命令,生成访问OpenClaw的Token。
- 端口放通:需要放通对应端口的防火墙,单击一键放通即可。
- 配置百炼API-Key,单击一键配置,输入百炼的API-Key。单击执行命令,写入API-Key。
- 配置OpenClaw/Hermes:单击执行命令,生成访问OpenClaw/Hermes的Token。
- 访问控制页面:单击打开网站页面可进入OpenClaw/Hermes对话页面。
阿里云百炼Coding Plan API-Key 获取、配置保姆级教程:
创建API-Key,推荐访问订阅阿里云百炼Coding Plan,阿里云百炼Coding Plan每天两场抢购活动,从按tokens计费升级为按次收费,可以进一步节省费用!
- 购买后,在控制台生成API Key。注:这里复制并保存好你的API Key,后面要用。
- 回到轻量应用服务器-控制台,单击服务器卡片中的实例 ID,进入服务器概览页。
- 在服务器概览页面单击应用详情页签,进入服务器详情页面。
- 端口放通在OpenClaw使用步骤区域中,单击端口放通下的执行命令,可开放获取OpenClaw 服务运行端口的防火墙。
- 这里系统会列出我们第一步中创建的阿里云百炼 Coding Plan的API Key,直接选择就可以。
- 获取访问地址单击访问 Web UI 面板下的执行命令,获取 OpenClaw WebUI 的地址。
三、阿里云计算巢实例创建与基础环境准备
3.1 计算巢实例创建与远程连接
登录阿里云管理控制台进入计算巢服务,创建全新应用实例。根据业务需求选择实例地域、硬件规格,个人测试场景选择1核2G配置即可同时运行两款AI Agent,企业并发场景建议升级为2核4G及以上配置。操作系统统一选择Ubuntu 22.04 LTS,该系统对Node.js生态兼容性最佳,同时开启公网IP,记录实例公网地址、登录账号与密码。
实例创建完成后,通过本地终端使用SSH协议远程连接计算巢实例,执行以下指令:
# 远程连接计算巢Linux实例
ssh 用户名@实例公网IP
首次连接输入yes确认密钥信息,再输入登录密码,密码输入过程终端无字符显示,属于正常现象。登录成功后,先执行系统更新指令,同步系统底层组件:
# Ubuntu系统更新软件源与系统组件
sudo apt update && sudo apt upgrade -y
3.2 安装基础工具与运行环境
OpenClaw与Hermes Agent均基于Node.js生态开发,统一要求Node.js 20.x及以上长期支持版本,同时需要Git工具拉取源码。依次执行安装指令:
# 安装编译依赖与网络工具
sudo apt install build-essential curl wget -y
# 安装Git工具
sudo apt install git -y
# 导入Node.js官方密钥
curl -fsSL https://deb.nodesource.com/gpgkey/nodesource-repo.gpg.key | sudo gpg --dearmor -o /usr/share/keyrings/nodesource.gpg
# 添加Node.js 20版本软件源
echo "deb [signed-by=/usr/share/keyrings/nodesource.gpg] https://deb.nodesource.com/node_20.x nodistro main" | sudo tee /etc/apt/sources.list.d/node20.list
# 安装Node.js与npm
sudo apt update && sudo apt install nodejs -y
安装完成后退出终端并重新登录,使环境变量生效,执行版本校验指令,确认环境达标:
node -v
npm -v
git --version
输出版本号符合要求即可进入下一步操作。
3.3 统一规划项目部署目录
为了便于后期管理,在系统中创建统一的根目录,分别存放OpenClaw与Hermes Agent项目文件:
# 创建总部署目录
mkdir -p /opt/cloud_agent
cd /opt/cloud_agent
# 分别创建两个Agent的独立目录
mkdir openclaw_service hermes_service
四、计算巢内部署OpenClaw 完整步骤
4.1 拉取源码并安装依赖
进入OpenClaw专属目录,使用Git克隆源码,同时配置npm国内镜像提升依赖下载速度:
cd /opt/cloud_agent/openclaw_service
# 克隆OpenClaw源码
git clone openclaw_source .
# 配置npm国内镜像源
npm config set registry https://registry.npmmirror.com
# 安装项目所有运行依赖
npm install
若出现依赖安装报错,执行缓存清理命令后重新安装:
npm cache clean --force
npm install
4.2 OpenClaw核心配置文件编写
OpenClaw通过主配置文件对接外部大模型服务与设置运行参数,使用vim编辑器打开配置文件:
vim config/main.json
写入适配计算巢环境、对接阿里云百炼的配置内容,其中预留百炼Token填写位置,后续统一补充:
{
"server": {
"host": "0.0.0.0",
"port": 26001,
"enableCors": true
},
"model": {
"provider": "aliyun-bailian",
"model_name": "qwen-turbo",
"api_endpoint": "internal",
"access_token": "BAILIAN_BASE_TOKEN",
"request_timeout": 180000
},
"task": {
"max_queue": 20,
"concurrent_num": 5
},
"log": {
"level": "warn",
"save_file": true
}
}
编辑完成后按下Esc,输入:wq保存退出。配置中host设置为0.0.0.0允许公网访问,port为服务监听端口,后续需要在计算巢安全组放行该端口。
五、计算巢内部署Hermes Agent 完整步骤
5.1 拉取源码与依赖安装
切换至Hermes Agent目录,执行源码克隆与依赖安装操作,保持环境配置统一:
cd /opt/cloud_agent/hermes_service
# 克隆Hermes Agent源码
git clone hermes_source .
# 复用镜像配置,直接安装依赖
npm install
如果网络环境较差,可将源码本地打包后上传至服务器,使用解压指令部署:
unzip hermes_source.zip -d /opt/cloud_agent/hermes_service/
5.2 Hermes Agent环境变量配置
Hermes Agent采用环境变量文件管理核心参数,编辑生产环境配置文件:
vim .env.prod
写入运行参数与百炼模型对接配置,预留Token字段:
SERVER_HOST=0.0.0.0
SERVER_PORT=26002
NODE_ENV=production
BAILIAN_MODEL=qwen-plus
BAILIAN_TOKEN=BAILIAN_BASE_TOKEN
API_TIMEOUT=200000
MAX_TASK_NUM=6
保存并退出编辑器。Hermes Agent监听端口设置为26002,与OpenClaw端口区分,避免端口冲突,两个端口均需要在安全组添加放行规则。
六、阿里云百炼Token获取与Token Plan规则配置
6.1 百炼基础Token获取
进入阿里云百炼服务管理页面,创建应用并生成基础访问Token,该Token是调用百炼大模型接口的基础凭证。记录生成的Token字符串,后续会替换配置文件中的BAILIAN_BASE_TOKEN占位内容。
6.2 Token Plan规划原则
由于当前计算巢内部同时运行OpenClaw与Hermes Agent两个服务,为了避免调用资源争抢、接口滥用、调用超限问题,需要基于Token Plan做精细化权限划分。Token Plan支持设置调用频率上限、每日调用额度、允许访问的接口列表、IP白名单、应用标识等规则,可实现单Token多应用分流,也可以为两个Agent分配独立子Token并制定专属规则。
本次采用主Token+分组规则的方案,使用一个基础Token,通过Token Plan划分两组权限,分别对应OpenClaw和Hermes Agent,限制各自的调用频次与接口范围。
6.3 Token Plan规则定义
结合两款Agent的使用场景,制定两套规则策略。第一套规则适配OpenClaw,偏向高频短对话、批量任务处理;第二套规则适配Hermes Agent,偏向长文本解析、复杂任务编排。
规则核心参数说明:限制单分钟调用次数、每日总调用额度、仅开放对话与任务推理接口、绑定计算巢实例公网IP作为白名单。完成规则创建后,将规则与基础Token进行关联,使管控策略正式生效。
6.4 批量替换框架内Token参数
回到计算巢实例终端,将获取到的真实百炼Token替换两个配置文件中的占位内容。也可以使用批量替换指令快速修改,无需逐行编辑文件:
# 定义变量,替换为你的真实百炼Token
REAL_TOKEN="your_actual_bailian_token"
# 替换OpenClaw配置中的Token
sed -i "s/BAILIAN_BASE_TOKEN/$REAL_TOKEN/g" /opt/cloud_agent/openclaw_service/config/main.json
# 替换Hermes Agent配置中的Token
sed -i "s/BAILIAN_BASE_TOKEN/$REAL_TOKEN/g" /opt/cloud_agent/hermes_service/.env.prod
执行完成后,可使用查看指令确认替换结果:
cat /opt/cloud_agent/openclaw_service/config/main.json | grep access_token
cat /opt/cloud_agent/hermes_service/.env.prod | grep BAILIAN_TOKEN
七、进程托管配置与服务启动
计算巢环境需要服务长期稳定运行,使用pm2进程管理工具实现后台运行、异常重启、开机自启。
7.1 安装pm2工具
npm install -g pm2
pm2 --version
7.2 分别启动两款AI Agent服务
# 启动OpenClaw,命名进程为openclaw
cd /opt/cloud_agent/openclaw_service
pm2 start npm --name openclaw -- run start
# 启动Hermes Agent,命名进程为hermes
cd /opt/cloud_agent/hermes_service
pm2 start npm --name hermes -- run start
7.3 配置开机自启与进程守护
# 生成开机自启脚本
pm2 startup
# 保存当前进程列表
pm2 save
# 设置内存阈值,超出自动重启
pm2 set openclaw max_memory_restart 600M
pm2 set hermes max_memory_restart 600M
7.4 常用运维指令
# 查看所有运行进程
pm2 list
# 查看OpenClaw日志
pm2 logs openclaw
# 查看Hermes Agent日志
pm2 logs hermes
# 重启服务
pm2 restart openclaw
pm2 restart hermes
八、安全组端口放行与全功能验证
8.1 计算巢安全组配置
进入计算巢实例对应的安全组管理页面,添加入方向TCP规则,依次放行26001、26002两个端口,授权范围可根据使用需求设置为全网或指定IP段,规则配置后即时生效。
8.2 本地端口连通性测试
在计算巢实例内部测试服务监听状态:
# 测试OpenClaw健康接口
curl http://127.0.0.1:26001/health
# 测试Hermes Agent健康接口
curl http://127.0.0.1:26002/health
接口返回正常状态信息,代表服务本地启动成功。
8.3 公网访问与模型调用测试
切换至本地终端,替换为公网IP,测试公网访问与百炼模型调用能力:
# 测试OpenClaw调用百炼大模型
curl -X POST http://实例公网IP:26001/api/chat \
-H "Content-Type: application/json" \
-d '{"content":"测试OpenClaw调用阿里云百炼模型"}'
# 测试Hermes Agent调用百炼大模型
curl -X POST http://实例公网IP:26002/api/task \
-H "Content-Type: application/json" \
-d '{"content":"测试Hermes Agent调用阿里云百炼模型完成任务分析"}'
两款服务均正常返回AI应答内容,说明Token对接、模型调用、网络访问全部正常。
8.4 Token Plan权限验证
模拟高频调用场景,短时间内多次发起请求,验证Token Plan的频次限制、额度限制是否生效。当调用次数超出规则阈值后,接口会返回权限受限、调用超限提示,代表Token Plan管控规则正常运行。
九、常见故障排查与解决方案
9.1 服务启动成功,无法调用百炼模型
现象:本地接口可访问,发起对话无返回,日志提示Token无效。
解决方案:检查配置文件内Token字符串是否填写错误,核对Token是否开启接口调用权限,重新执行替换指令并重启服务:
pm2 restart openclaw
pm2 restart hermes
9.2 调用提示超出配额、频次受限
现象:接口返回调用超限信息。
解决方案:登录百炼控制台查看Token Plan规则,调整每日额度、单分钟调用次数,或拆分Token,为两个Agent分配独立子Token。
9.3 公网无法访问服务,本地正常
现象:实例内部测试正常,外部公网访问超时。
解决方案:检查计算巢安全组,确认26001、26002端口已添加TCP放行规则。
9.4 两款Agent同时运行出现内存溢出
现象:服务频繁闪退,日志显示内存不足。
解决方案:升级计算巢实例硬件配置,或调低单服务并发数,修改配置文件中concurrent_num、MAX_TASK_NUM参数,同时优化pm2内存限制:
pm2 set openclaw max_memory_restart 400M
pm2 set hermes max_memory_restart 400M
9.5 Token Plan IP白名单拦截访问
现象:固定IP可以访问,其他IP无法调用。
解决方案:在百炼Token Plan规则中,新增当前访问设备的公网IP至白名单列表。
十、运维优化与自动化脚本
10.1 日志自动清理脚本
长期运行会产生大量日志文件,编写定时清理脚本,避免磁盘空间占用过高。创建脚本文件:
vim /opt/cloud_agent/log_clean.sh
写入脚本内容:
#!/bin/bash
# 清理7天以上日志文件
find /opt/cloud_agent/openclaw_service/logs -type f -mtime +7 -delete
find /opt/cloud_agent/hermes_service/logs -type f -mtime +7 -delete
echo "日志清理完成: $(date)"
添加执行权限并配置定时任务:
chmod +x /opt/cloud_agent/log_clean.sh
crontab -e
# 新增定时规则,每日凌晨1点自动执行
0 1 * * * /opt/cloud_agent/log_clean.sh
10.2 Token状态巡检脚本
编写简易巡检脚本,定时检测Token调用状态与服务运行状态,提前发现异常:
vim /opt/cloud_agent/service_check.sh
脚本内容:
#!/bin/bash
# 检测服务运行状态
OPEN_CLAW_STATUS=$(pm2 status openclaw | grep online)
HERMES_STATUS=$(pm2 status hermes | grep online)
if [ -z "$OPEN_CLAW_STATUS" ];then
pm2 restart openclaw
fi
if [ -z "$HERMES_STATUS" ];then
pm2 restart hermes
fi
# 检测模型接口连通性
curl -s http://127.0.0.1:26001/api/chat -d '{"content":"health check"}' > /dev/null
curl -s http://127.0.0.1:26002/api/task -d '{"content":"health check"}' > /dev/null
添加权限并配置定时任务,实现分钟级巡检。
十一、总结
本文完整讲解了2026年阿里云计算巢环境下,同时部署OpenClaw、Hermes Agent两款AI Agent,并结合阿里云百炼Token与Token Plan完成权限配置、调用管控的全流程。从计算巢实例创建、系统环境搭建、源码部署、项目配置,到百炼Token获取、Token Plan规则制定、参数写入、服务托管、功能验证,形成了一套完整且可落地的实操体系。
计算巢的云原生能力简化了服务器运维工作,让使用者无需关注底层硬件与复杂网络配置;OpenClaw与Hermes Agent各司其职,覆盖不同的AI任务场景;而百炼Token与Token Plan则构建了完整的安全与调用管控体系,有效避免接口滥用、资源超限、非法访问等问题。
在整套部署流程中,端口规划、Token参数填写、Token Plan规则配置、安全组放行是最核心的四个环节,也是故障高发点。按照文中的指令、配置代码分步操作,并结合故障排查方案处理异常,即可保障整套系统稳定运行。
搭配日志清理、服务巡检等自动化脚本后,整套架构可以实现7×24小时无人值守运行,既适用于个人学习测试,也可以满足小型团队的业务使用需求。同时使用者可根据实际业务规模,灵活调整计算巢实例配置、Token调用额度、任务并发数量,不断优化整体运行效率。
