一、前言
AI智能体结合大模型服务的私有化部署,已经成为个人技术实践、小型团队业务提效的主流方案。阿里云ECS云服务器凭借性能稳定、网络可靠、配置灵活、运维自由度高等特点,是承载各类开源AI Agent框架的常用运行环境。OpenClaw与Hermes Agent是两款功能成熟、轻量化的开源AI智能体,前者侧重多任务调度与插件扩展,后者主打低资源占用与长任务稳定执行,二者均可对接阿里云百炼大模型服务,依托通义系列模型实现自然语言交互、指令拆解、自动化任务执行等能力。
想要让两款AI Agent正常调用阿里云百炼大模型接口,不仅需要完成框架本身的部署,还必须配置专属访问凭证,同时借助百炼Token Plan功能做精细化权限管控、调用频次限制、额度分配与IP访问约束。很多使用者在实操过程中,常会遇到服务正常启动但无法调用模型、Token鉴权失效、调用频率超限、多框架共用凭证产生冲突、外部非法访问等问题。
本文结合2026年阿里云ECS标准使用规范,从零开始讲解在ECS云服务器中部署OpenClaw、Hermes Agent两大AI Agent框架,搭配阿里云百炼Token以及Token Plan完成全流程配置的详细步骤。内容覆盖ECS实例准备、远程连接、系统环境搭建、源码部署、项目参数修改、百炼凭证配置、Token Plan规则制定、进程托管、功能联调、故障排查与日常运维,文中附带完整可执行的命令行代码、配置文件代码与自动化脚本,全程不使用外部链接、表格、图片,无营销内容,新手与运维人员均可按照步骤完成整套部署与配置工作。阿里云部署AI Agent:OpenClaw/Hermes Agent全网最简单,只需两步,详情👉访问阿里云OpenClaw/Hermes一键部署专题页面 了解。
👉访问订阅阿里云百炼Token Plan AI大模型服务 。支持多模型切换,用于多模态模型灵活调用,实现多模型、多工具、多场景下的额度共享与统一管理,兼顾灵活性、稳定性与安全性,大幅降低企业使用大模型的门槛与成本。
二、整体架构与部署逻辑梳理
在正式动手操作前,先理清整套系统的组成结构与执行顺序,便于理解各组件之间的协作关系。阿里云ECS云服务器作为底层运行载体,提供算力、操作系统、网络与存储资源;OpenClaw和Hermes Agent部署在ECS内部,承担指令解析、任务拆分、会话管理、工具调用等智能体核心工作;阿里云百炼作为上层大模型服务,为两个Agent提供对话推理、逻辑分析、文本生成等模型能力;百炼Token是访问大模型接口的身份凭证,Token Plan则是基于Token衍生的管控策略,用来限制调用频率、每日额度、可访问接口、IP白名单等。
整套部署与配置分为九大核心环节:第一,阿里云ECS实例创建、参数选型与基础信息记录;第二,通过SSH远程连接ECS服务器,完成系统初始化与底层组件更新;第三,安装Node.js、Git等必备运行环境与工具;第四,规划目录结构,分别部署OpenClaw与Hermes Agent源码并安装项目依赖;第五,修改两个AI Agent的核心配置文件,预留百炼Token接入字段;第六,在阿里云百炼控制台获取基础访问Token,结合双Agent使用场景制定Token Plan管控规则;第七,将有效Token写入框架配置文件,完成模型对接;第八,使用进程管理工具实现服务后台常驻、开机自启与异常重启;第九,配置ECS安全组放行端口,分层次测试服务连通性、模型调用能力与Token Plan管控效果。
其中Token与Token Plan是打通AI Agent和百炼大模型的关键,合理的规则配置可以避免接口滥用、资源抢占、调用超限等问题,保障整套服务长期稳定运行。
三、阿里云ECS实例准备与远程连接
3.1 ECS实例选型与创建
登录阿里云控制台,进入ECS云服务器管理页面,创建新的云服务器实例。结合同时运行OpenClaw和Hermes Agent的需求,硬件配置区分使用场景:个人学习、单用户测试选择1核2G基础配置即可满足运行要求;多用户并发、长时间运行复杂任务,建议选择2核4G及以上配置,避免内存不足导致服务闪退。
零基础部署AI Agent:OpenClaw/Hermes Agent喂饭级步骤流程
第一步:👉点击打开访问阿里云OpenClaw/Hermes Agent一键部署专题页面。
👉访问订阅阿里云百炼Token Plan AI大模型服务 。支持多模型切换,用于多模态模型灵活调用,实现多模型、多工具、多场景下的额度共享与统一管理,兼顾灵活性、稳定性与安全性,大幅降低企业使用大模型的门槛与成本。
第二步:👉打开选择阿里云轻量应用服务器,配置参考如下:
- 镜像:OpenClaw(或Hermes Agent)镜像(已经购买服务器的用户可以重置系统重新选择镜像)
- 实例:内存必须2GiB及以上。
- 地域:默认美国(弗吉尼亚),目前中国内地域(除香港)的轻量应用服务器,联网搜索功能受限。
- 时长:根据自己的需求及预算选择。
第三步:打开访问阿里云百炼大模型控制台,找到密钥管理,单击创建API-Key。
前往轻量应用服务器控制台,找到安装好OpenClaw的实例,进入「应用详情」放行18789端口、配置百炼API-Key、执行命令,生成访问OpenClaw的Token。
- 端口放通:需要放通对应端口的防火墙,单击一键放通即可。
- 配置百炼API-Key,单击一键配置,输入百炼的API-Key。单击执行命令,写入API-Key。
- 配置OpenClaw/Hermes:单击执行命令,生成访问OpenClaw/Hermes的Token。
- 访问控制页面:单击打开网站页面可进入OpenClaw/Hermes对话页面。
阿里云百炼Coding Plan API-Key 获取、配置保姆级教程:
创建API-Key,推荐访问订阅阿里云百炼Coding Plan,阿里云百炼Coding Plan每天两场抢购活动,从按tokens计费升级为按次收费,可以进一步节省费用!
- 购买后,在控制台生成API Key。注:这里复制并保存好你的API Key,后面要用。
- 回到轻量应用服务器-控制台,单击服务器卡片中的实例 ID,进入服务器概览页。
- 在服务器概览页面单击应用详情页签,进入服务器详情页面。
- 端口放通在OpenClaw使用步骤区域中,单击端口放通下的执行命令,可开放获取OpenClaw 服务运行端口的防火墙。
- 这里系统会列出我们第一步中创建的阿里云百炼 Coding Plan的API Key,直接选择就可以。
- 获取访问地址单击访问 Web UI 面板下的执行命令,获取 OpenClaw WebUI 的地址。
操作系统优先选择Ubuntu 22.04 LTS,该系统对Node.js生态、编译组件兼容性更强,适配两款AI Agent的底层运行依赖。创建实例时务必勾选分配公网IP地址,同时设置登录账号与密码,实例创建完成后,妥善记录公网IP、登录用户名、登录密码三组信息,后续所有远程操作都需要依赖这些内容。
ECS默认搭载虚拟防火墙,配合控制台安全组规则共同管控端口访问,后续需要根据两个Agent的服务端口,在安全组中添加入方向放行规则。
3.2 SSH远程连接ECS服务器
打开本地终端工具,Windows系统可使用PowerShell、命令提示符,macOS与Linux使用系统自带终端,执行以下SSH连接命令,将命令内占位内容替换为你的ECS用户名与公网IP:
ssh 用户名@ECS公网IP
首次发起连接时,终端会出现主机密钥确认提示,输入yes并按下回车,随后输入登录密码。密码输入阶段终端不会显示任何字符,属于正常安全机制,输入完成回车即可成功登录服务器系统。
3.3 系统初始化与底层组件更新
新创建的ECS系统缺少部分底层依赖,首先执行系统更新命令,同步软件源与系统组件,为后续软件安装打下基础:
# Ubuntu 系统执行更新操作
sudo apt update && sudo apt upgrade -y
等待命令执行完毕,全程无需手动干预,系统会自动完成组件下载、安装与升级。
四、基础运行环境安装配置
OpenClaw与Hermes Agent均基于Node.js生态开发,统一要求Node.js 20.x及以上长期支持版本,同时需要Git工具完成源码拉取,本节完成所有前置环境搭建。
4.1 安装编译依赖与Git工具
编译类组件是安装Node.js和项目依赖的基础,Git用于克隆开源源码,执行以下命令批量安装:
# 安装编译组件、网络工具
sudo apt install build-essential curl wget -y
# 安装Git版本控制工具
sudo apt install git -y
安装完成后,执行版本校验命令,确认工具正常可用:
git --version
终端输出版本号即代表Git安装成功。
4.2 安装Node.js 20.x版本
为保证环境稳定,使用官方软件源固定安装指定版本,避免版本错乱、环境变量失效等问题,依次执行以下命令:
# 导入Node.js官方签名密钥
curl -fsSL https://deb.nodesource.com/gpgkey/nodesource-repo.gpg.key | sudo gpg --dearmor -o /usr/share/keyrings/nodesource.gpg
# 写入Node.js 20版本软件源
echo "deb [signed-by=/usr/share/keyrings/nodesource.gpg] https://deb.nodesource.com/node_20.x nodistro main" | sudo tee /etc/apt/sources.list.d/node20.list
# 再次更新软件源并安装Node.js与npm
sudo apt update && sudo apt install nodejs -y
安装完成后,退出当前SSH连接,重新登录ECS服务器,让环境变量正式生效。重新登录后执行版本校验:
node -v
npm -v
若node -v输出20及以上版本号,说明运行环境全部达标。
4.3 统一规划项目部署目录
为规范文件管理,避免项目文件散乱,在系统中创建统一的总目录,并为两个AI Agent分别创建独立子目录:
# 创建总部署根目录
mkdir -p /usr/local/ai_agent
# 进入根目录并创建两个子目录
cd /usr/local/ai_agent
mkdir openclaw hermes
五、OpenClaw部署与基础配置
5.1 拉取源码并安装项目依赖
进入OpenClaw专属目录,使用Git克隆源码,同时配置国内npm镜像源,提升依赖包下载速度:
cd /usr/local/ai_agent/openclaw
# 克隆OpenClaw完整源码
git clone openclaw_source .
# 配置npm国内镜像
npm config set registry https://registry.npmmirror.com
# 安装项目全部运行依赖
npm install
若下载过程中出现缓存冲突、模块安装失败,执行清理命令后重试:
npm cache clean --force
npm install
5.2 编辑OpenClaw核心配置文件
使用vim编辑器打开项目主配置文件,配置服务端口、跨域、模型对接参数,并预留百炼Token填写位置:
vim config/app.json
将原有内容替换为以下适配ECS与阿里云百炼的配置代码:
{
"server": {
"listen_host": "0.0.0.0",
"listen_port": 31001,
"allow_cors": true,
"max_request": 30
},
"llm": {
"service_provider": "aliyun_bailian",
"model_name": "qwen-turbo",
"api_timeout": 180000,
"bailian_token": "BAILIAN_TOKEN_PLACEHOLDER"
},
"task_manager": {
"max_task_queue": 25,
"concurrent_task": 6
},
"log_config": {
"log_level": "warn",
"save_local_log": true
}
}
配置说明:listen_host设置为0.0.0.0允许全网IP访问,listen_port定义服务端口为31001,后续安全组需要放行该端口;bailian_token为Token预留字段,后续替换为真实凭证。编辑完成后按下Esc键,输入:wq保存并退出编辑器。
六、Hermes Agent部署与基础配置
6.1 拉取源码与安装依赖
切换至Hermes Agent目录,完成源码克隆与依赖安装,保持环境配置统一:
cd /usr/local/ai_agent/hermes
# 克隆Hermes Agent源码
git clone hermes_source .
# 执行依赖安装
npm install
若网络不稳定导致克隆失败,可将本地打包的源码压缩包上传至服务器,使用解压命令部署:
unzip hermes_source.zip -d /usr/local/ai_agent/hermes/
6.2 编辑Hermes Agent环境配置文件
Hermes Agent采用环境变量文件管理核心参数,编辑生产环境配置文件:
vim .env.production
写入以下配置内容,区分服务端口,同时预留百炼Token字段:
# 网络服务配置
SERVER_HOST=0.0.0.0
SERVER_PORT=31002
# 运行环境
RUN_ENV=production
# 阿里云百炼模型配置
BAILIAN_MODEL=qwen-plus
BAILIAN_ACCESS_TOKEN=BAILIAN_TOKEN_PLACEHOLDER
API_REQUEST_TIMEOUT=200000
# 任务调度配置
MAX_CONCURRENT_TASK=5
该服务端口设置为31002,与OpenClaw端口相互隔离,避免端口冲突。保存文件并退出编辑器。
七、阿里云百炼Token获取与Token Plan规则配置
7.1 获取百炼基础访问Token
进入阿里云百炼服务控制台,创建应用并生成专属访问Token,该字符串是调用百炼大模型接口的唯一身份凭证,完整复制并妥善保存该Token。
7.2 Token Plan设计思路
由于ECS中同时运行OpenClaw和Hermes Agent两个服务,为了合理分配调用资源、防范恶意调用、控制调用成本,需要使用百炼Token Plan功能制定管控规则。本次采用单主Token搭配多组规则的模式,基于同一个基础Token,分别为两个AI Agent设置独立的调用限额、访问接口、IP白名单。
核心管控维度包含:单分钟最大调用次数、每日总调用额度、可访问接口范围、IP白名单。将ECS服务器公网IP加入白名单,仅允许本机发起调用;区分两个Agent的使用场景,设置差异化额度,避免资源相互抢占。
7.3 替换配置文件中的Token占位符
回到ECS终端,使用批量替换命令,将两个配置文件内的占位符统一替换为真实百炼Token,操作更加高效:
# 定义变量,替换为你获取的真实百炼Token
REAL_BAILIAN_TOKEN="你的百炼真实Token字符串"
# 替换OpenClaw配置中的Token
sed -i "s/BAILIAN_TOKEN_PLACEHOLDER/$REAL_BAILIAN_TOKEN/g" /usr/local/ai_agent/openclaw/config/app.json
# 替换Hermes Agent配置中的Token
sed -i "s/BAILIAN_TOKEN_PLACEHOLDER/$REAL_BAILIAN_TOKEN/g" /usr/local/ai_agent/hermes/.env.production
替换完成后,可使用查看命令验证结果:
cat /usr/local/ai_agent/openclaw/config/app.json | grep bailian_token
cat /usr/local/ai_agent/hermes/.env.production | grep BAILIAN_ACCESS_TOKEN
八、进程托管与服务启动配置
ECS作为线上运行服务器,前台运行服务会在关闭终端后自动停止,因此使用pm2进程管理工具实现后台运行、异常自动重启、开机自启。
8.1 安装pm2工具
# 全局安装进程管理工具
npm install -g pm2
# 校验安装结果
pm2 --version
8.2 启动两款AI Agent服务
分别进入两个项目目录,使用pm2后台启动服务,并自定义进程名称方便管理:
# 启动OpenClaw
cd /usr/local/ai_agent/openclaw
pm2 start npm --name openclaw -- run start
# 启动Hermes Agent
cd /usr/local/ai_agent/hermes
pm2 start npm --name hermes -- run start
8.3 配置开机自启与内存守护
设置服务器重启后服务自动运行,同时配置内存阈值,服务内存超出限制时自动重启,防止进程卡死:
# 生成系统开机自启脚本
pm2 startup
# 保存当前进程列表至自启项
pm2 save
# 分别设置两个进程的内存上限
pm2 set openclaw max_memory_restart 512M
pm2 set hermes max_memory_restart 512M
8.4 日常运维常用命令
# 查看所有托管进程状态
pm2 list
# 查看OpenClaw实时日志
pm2 logs openclaw
# 查看Hermes Agent实时日志
pm2 logs hermes
# 重启指定服务
pm2 restart openclaw
pm2 restart hermes
# 停止指定服务
pm2 stop openclaw
pm2 stop hermes
九、ECS安全组配置与全功能测试
9.1 安全组端口放行
进入阿里云ECS控制台,找到当前实例对应的安全组,添加入方向TCP规则,依次放行31001、31002两个端口。授权范围可根据需求设置为全网IP或指定IP段,规则配置完成后即时生效。
9.2 服务器本地连通性测试
在ECS终端内,使用curl命令测试服务端口监听状态,确认服务正常运行:
# 测试OpenClaw健康接口
curl http://127.0.0.1:31001/health
# 测试Hermes Agent健康接口
curl http://127.0.0.1:31002/health
接口返回正常状态内容,代表服务本地启动无异常。
9.3 公网访问与模型调用测试
切换至本地终端,替换为ECS公网IP,测试公网访问与百炼模型调用能力:
# 测试OpenClaw调用百炼大模型
curl -X POST http://ECS公网IP:31001/api/chat \
-H "Content-Type: application/json" \
-d '{"content":"测试OpenClaw对接阿里云百炼大模型"}'
# 测试Hermes Agent调用百炼大模型
curl -X POST http://ECS公网IP:31002/api/task \
-H "Content-Type: application/json" \
-d '{"content":"测试Hermes Agent对接阿里云百炼大模型"}'
两款服务均正常返回对话内容,说明Token配置、模型对接、网络访问全部生效。
9.4 Token Plan管控规则验证
短时间内高频次发起接口请求,模拟超限场景。当调用次数、总额度达到Token Plan设置的阈值后,接口会返回调用受限、额度不足等提示,证明权限管控规则正常运行。
十、常见故障排查与解决方案
10.1 服务启动正常,无法调用百炼模型
现象:健康接口可正常访问,发起对话无响应,日志提示Token无效。
解决:检查配置文件中Token字符串是否填写错误,核对百炼控制台Token接口权限,修改完成后重启服务:
pm2 restart openclaw
pm2 restart hermes
10.2 公网访问超时,本地访问正常
现象:ECS内部测试一切正常,本地公网访问无响应。
解决:进入ECS安全组,检查31001、31002端口TCP放行规则是否添加完整。
10.3 端口被占用,服务启动失败
现象:日志提示目标端口已被其他进程占用。
解决:查询并终止占用端口的进程:
# 查询31001端口占用进程
netstat -tulpn | grep 31001
# 终止进程,替换为查询到的进程ID
kill -9 进程ID
10.4 调用提示超出配额限制
现象:接口返回调用频次超限、每日额度用尽。
解决:登录百炼控制台,调整Token Plan内的调用次数、每日额度,或为两个Agent拆分独立Token。
10.5 服务频繁闪退、内存溢出
现象:进程自动退出,日志显示内存不足。
解决:调低单服务并发任务数,同时下调pm2内存限制:
pm2 set openclaw max_memory_restart 384M
pm2 set hermes max_memory_restart 384M
十一、自动化运维脚本编写
为保障长期稳定运行,编写日志清理、服务巡检脚本,实现无人值守运维。
11.1 日志自动清理脚本
创建脚本文件,定期清理过期日志,避免磁盘占满:
vim /usr/local/ai_agent/log_clear.sh
写入脚本内容:
#!/bin/bash
# 清理7天以上日志文件
find /usr/local/ai_agent/openclaw/logs -type f -mtime +7 -delete
find /usr/local/ai_agent/hermes/logs -type f -mtime +7 -delete
echo "日志清理完成:$(date)"
添加执行权限并配置定时任务:
chmod +x /usr/local/ai_agent/log_clear.sh
crontab -e
# 添加定时规则,每日凌晨1点执行
0 1 * * * /usr/local/ai_agent/log_clear.sh
11.2 服务状态巡检脚本
定时检测服务运行状态,进程异常时自动重启:
vim /usr/local/ai_agent/service_check.sh
脚本内容:
#!/bin/bash
# 巡检OpenClaw状态
if ! pm2 status openclaw | grep -q online; then
pm2 restart openclaw
fi
# 巡检Hermes Agent状态
if ! pm2 status hermes | grep -q online; then
pm2 restart hermes
fi
添加权限并配置定时任务,实现分钟级巡检。
十二、总结
本文完整阐述了2026年在阿里云ECS云服务器中,部署OpenClaw、Hermes Agent两款AI Agent,并搭配阿里云百炼Token与Token Plan完成权限配置的全流程。从ECS实例创建、远程连接、系统环境搭建,到源码部署、配置修改、凭证接入、进程托管、端口放行、功能测试,再到故障排查与自动化运维,形成一套完整、可落地的实操体系。
ECS云服务器具备高度灵活的运维能力,适合需要自主管控环境、同时运行多个服务的场景;OpenClaw与Hermes Agent分工协作,覆盖多样化AI智能任务;百炼Token作为接口访问凭证,结合Token Plan实现精细化的调用管控,从源头规避资源滥用、非法访问、调用超限等问题。
整套流程中,Node.js版本匹配、服务端口规划、Token参数填写、安全组规则配置、Token Plan策略制定是五大核心要点,也是故障高发区域。严格按照文中命令与配置代码分步操作,配合对应的排错方案,即可顺利完成部署。
搭配日志清理、服务巡检等自动化脚本后,整套架构能够实现7×24小时稳定运行,既满足个人学习、功能测试需求,也可支撑小型团队的日常业务使用。使用者可根据自身业务规模,灵活调整ECS硬件配置、任务并发数、百炼调用额度,持续优化整体运行效率。
