ClawHosters
von Daniel Samer
5 Min. Lesezeit
Du hast einen Kubernetes Cluster. Du willst OpenClaw darauf laufen lassen. Klingt nach einem Nachmittagsprojekt.
Ist es auch. Aber nur, wenn du eine Sache vorher verstehst: OpenClaw ist eine zustandsbehaftete Single-Instance-Anwendung. Es hält persistente WebSocket-Verbindungen zu Telegram, Discord und anderen Messaging-Plattformen. Zwei Pods gleichzeitig? Doppelte Bot-Nachrichten, kaputtes State. Deshalb nutzen alle ernstzunehmenden Helm Charts die Recreate-Strategie statt RollingUpdate.
Wenn dich das nicht abschreckt, lies weiter. Es gibt tatsächlich gute Gründe, OpenClaw auf Kubernetes zu betreiben. Und drei solide Helm-Chart-Optionen, um dorthin zu kommen.
Welches Helm Chart passt?
Die Community hat mehrere Charts gebaut. Diese drei sind relevant:
serhanekicii/openclaw-helm (v1.4.4, App v2026.3.2) ist die produktionsreifste Option. Container laufen als Non-Root (UID 1000), Read-Only Root Filesystem, alle Linux Capabilities gedroppt, und eine Default-Deny NetworkPolicy, die nur DNS- und HTTPS-Egress erlaubt. Basiert auf dem bjw-s App-Template. Wenn du OpenClaw für etwas Ernsthaftes deployst, fang hier an.
Chrisbattarbee/openclaw-helm (App v2026.2.23) hält die Sache einfacher. Ein Befehl zum Installieren. Gut zum Testen oder zum Einstieg.
openclaw-rocks/k8s-operator geht einen komplett anderen Weg. Statt eines Helm Charts ist das ein Kubernetes Operator, der 11 einzelne Ressourcen durch eine einzige OpenClawInstance Custom Resource ersetzt. Wenn du mehrere OpenClaw-Instanzen betreibst (Multi-Tenant), ist das vermutlich das richtige Ziel.
Quick Start mit dem serhanekicii Chart
helm repo add openclaw https://serhanekicii.github.io/openclaw-helm
helm repo update
kubectl create namespace openclaw
kubectl create secret generic openclaw-env-secret -n openclaw \
--from-literal=ANTHROPIC_API_KEY=sk-ant-xxx \
--from-literal=OPENCLAW_GATEWAY_TOKEN=your-token
helm install openclaw openclaw/openclaw -n openclaw -f values.yaml
Das ist die Basisinstallation. Deine values.yaml sollte mindestens Resource Limits definieren (Standard: 200m CPU / 512Mi RAM Requests, Limits bei 2000m / 2Gi) und die Ingress-Konfiguration mit korrekten WebSocket-Timeouts:
ingress:
enabled: true
annotations:
nginx.ingress.kubernetes.io/proxy-read-timeout: "3600"
nginx.ingress.kubernetes.io/proxy-send-timeout: "3600"
Ohne diese Timeout-Annotations killt NGINX deine WebSocket-Verbindungen nach 60 Sekunden. Diesen Fehler zu debuggen kann Stunden kosten.
Die configMode-Falle
Ein Punkt, der Daniel Hnyk und andere Nutzer überrascht hat: Das Standard-configMode: merge bedeutet, dass Helm-Values mit der bestehenden Config auf dem PersistentVolume deep-merged werden. Einstellungen, die du über die OpenClaw-UI änderst, überleben Pod-Restarts. Aber wenn deine Helm-Values mit UI-Änderungen in Konflikt stehen, gewinnt Helm.
Die Empfehlung? Helm für Infrastruktur-Settings (Resource Limits, Ingress, Networking). Agent-Konfiguration, Model-Settings und Channel-Tokens über die UI verwalten.
Security-Defaults, die wirklich zählen
Der Clawkeeper Security Scanner hat festgestellt, dass 93,4% aller offen erreichbaren OpenClaw-Instanzen Authentication-Bypass-Schwachstellen hatten. Kubernetes hilft hier, weil ordentliche Helm Charts sinnvolle Defaults erzwingen:
Non-Root Container (UID 1000)
Read-Only Root Filesystem
Alle Linux Capabilities gedroppt, Privilege Escalation deaktiviert
Seccomp RuntimeDefault Profil
NetworkPolicy, die Egress auf DNS und HTTPS beschränkt
Secrets musst du trotzdem richtig handhaben. Für Produktion: External Secrets Operator oder Sealed Secrets statt API-Keys im Klartext.
Was das Ganze wirklich kostet
Hier wird es ehrlich. OpenClaw auf Kubernetes ist nicht gratis, und die Infrastrukturkosten summieren sich:
| Deployment-Option | Monatliche Kosten | Wartung |
|---|---|---|
| EKS (AWS) | ca. $152 | Du verwaltest alles |
| GKE (Google) | ca. $142 | Du verwaltest alles |
| AKS (Azure) | ca. $79 | Du verwaltest alles |
| k3s auf einem VPS | $15-25 | Du verwaltest alles |
| ClawHosters Budget | 19 EUR | Wir verwalten alles |
| ClawHosters Balanced | 35 EUR | Wir verwalten alles |
| ClawHosters Pro | 59 EUR | Wir verwalten alles |
Die Cloud-Kosten sind reine Infrastruktur, basierend auf Daten des OpenClaw Directory. LLM-API-Kosten kommen noch obendrauf.
Wann Kubernetes Sinn ergibt (und wann nicht)
Kubernetes ist die richtige Wahl, wenn du bereits einen Cluster betreibst, Multi-Tenant-Isolation für separate OpenClaw-Instanzen brauchst, eine Hosting-Plattform baust, GitOps für Agent-Konfiguration willst, oder tiefe Integration mit In-Cluster-Services wie lokalen LLMs oder Vektordatenbanken benötigst.
Vermutlich Overkill ist es, wenn du eine einzelne Instanz betreibst, ein kleines Team von ein bis vier Personen hast, keinen bestehenden Cluster besitzt, dein Budget unter $50 pro Monat liegt oder du keine dedizierte DevOps-Kapazität hast. In diesen Fällen bringt dich ein Managed-Service wie ClawHosters oder ein einfacher VPS mit Docker Compose schneller und günstiger ans Ziel.
Wie das Metoro Engineering Team festgestellt hat, ist ein echter Vorteil von Kubernetes, dass "alles bereits im selben Netzwerk" liegt. Das vereinfacht die Integration mit Monitoring-Tools, lokalen LLMs und anderen Services. Aber dieser Vorteil spielt nur eine Rolle, wenn du diese Services bereits betreibst.
Einen ausführlichen Vergleich zwischen Self-Hosting und Managed-Hosting findest du in unserem separaten Artikel. Und wenn dich die Kosten beschäftigen: Unser Guide zur OpenClaw Token-Kostenoptimierung behandelt die LLM-API-Seite der Gleichung.
