Hướng Dẫn Full Cài Đặt OpenClaw Trên VPS Ubuntu 24.04 chuẩn và bảo mật

Tổng Quan

OpenClaw là agentic AI runtime cho phép chạy AI assistant qua Telegram, Discord, và các kênh chat khác. Guide này bao gồm toàn bộ quá trình từ cấu hình VPS, cài đặt Ollama cho local LLM, đến kết nối OpenClaw với Telegram – đảm bảo hệ thống vận hành ổn định và an toàn.

Stack được hướng dẫn:

• Ubuntu 24.04 LTS
• Node.js 22+
• Ollama (local LLM inference)
• OpenClaw 2026.3.x
• Telegram Bot
• Google Gemini CLI (primary cloud model)

graph TD
    User([Khách hàng qua Telegram]) -->|Mạng Internet| NG[Nginx Reverse Proxy: 443]
    NG -->|Localhost Auth| GW[OpenClaw Gateway: 18789]
    GW -->|Inference Chính| GM[Cloud: Google Gemini API]
    GW -->|Inference Phụ| OL[Local: Ollama Service 11434]
    
    style NG fill:#3b82f6,stroke:#1d4ed8,stroke-width:2px,color:#fff
    style GW fill:#8b5cf6,stroke:#7c3aed,stroke-width:2px,color:#fff
    style OL fill:#10b981,stroke:#047857,stroke-width:2px,color:#fff

---

Phần 1: Chuẩn Bị VPS

1.1 Update hệ thống

sudo apt update && sudo apt upgrade -y
sudo apt install -y curl wget git nano python3 ufw fail2ban

1.2 Tạo user riêng cho OpenClaw

Không chạy OpenClaw với root. Tạo user claw:

sudo adduser claw

Lệnh này sẽ hỏi một số thông tin. Phần quan trọng nhất là đặt password cho user claw – nhập password mạnh và ghi lại, vì sẽ cần dùng khi sudo lần đầu. Các trường như Full Name, Room Number có thể để trống, nhấn Enter để bỏ qua.

sudo usermod -aG sudo claw
su - claw

Lưu ý: Từ bước này trở đi, tất cả lệnh đều chạy với user claw. Những lệnh cần quyền root sẽ dùng sudo.

1.3 Fix hostname (tránh lỗi sudo)

Trước khi cấu hình firewall, cần đảm bảo hostname được resolve đúng, nếu không mọi lệnh sudo sẽ báo warning unable to resolve host:

# Lấy hostname hiện tại
hostname

# Thêm vào /etc/hosts nếu chưa có
sudo bash -c 'echo "127.0.1.1 $(hostname)" >> /etc/hosts'

Verify:

grep "$(hostname)" /etc/hosts
# Phải thấy dòng "127.0.1.1 <tên-host>" trong output

1.4 Cấu hình Firewall (UFW)

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp
sudo ufw enable
sudo ufw status

Output mong muốn:

Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)

1.5 Tạo SSH Key (bắt buộc trước khi tắt password login)

Làm bước này trên máy local của bạn, không phải trên VPS:

ssh-keygen -t ed25519 -C "your-email@example.com" -f ~/.ssh/id_openclaw_vps
# Đặt tên key cụ thể để phân biệt với các server khác
# Đặt passphrase hoặc để trống

Copy public key lên VPS:

ssh-copy-id -i ~/.ssh/id_openclaw_vps.pub claw@<IP_VPS>
# Nhập password lần cuối

Hoặc thủ công nếu ssh-copy-id không có:

# Trên máy local – lấy public key
cat ~/.ssh/id_openclaw_vps.pub

# Trên VPS – paste vào authorized_keys
mkdir -p /home/claw/.ssh
chmod 700 /home/claw/.ssh
nano /home/claw/.ssh/authorized_keys
# Paste public key vào. Lưu và thoát: Ctrl+X → Y → Enter
chmod 600 /home/claw/.ssh/authorized_keys

Verify login bằng key trước khi tắt password – mở terminal mới và test:

ssh -i ~/.ssh/id_openclaw_vps claw@<IP_VPS>
# Nếu tạo key có đặt passphrase: sẽ hỏi passphrase của key (không phải password server)
# Nếu tạo key không đặt passphrase: login thẳng không cần nhập gì
# Trong cả 2 trường hợp đều KHÔNG hỏi password của server là thành công

Quan trọng: Đừng đóng terminal hiện tại trong khi test. Nếu login mới thất bại, bạn vẫn còn session cũ để sửa.

1.6 Bảo mật SSH

⚠️ Chỉ làm bước này sau khi đã verify login bằng SSH key thành công ở bước 1.5.

sudo nano /etc/ssh/sshd_config
# Lưu và thoát: Ctrl+X → Y → Enter

Đảm bảo các dòng sau được set:

PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes

sudo systemctl restart ssh

Verify từ terminal mới – mở terminal khác và SSH lại, không đóng session hiện tại. Login được thì hoàn chỉnh, không được thì dùng session cũ để revert.

1.7 Cấu hình Fail2ban

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

1.8 Thêm Swap (quan trọng với VPS 8GB)

VPS 8GB RAM không có swap nghĩa là khi RAM đầy, Linux sẽ kill process ngay lập tức thay vì dùng disk làm bộ nhớ tạm. Với OpenClaw chạy cùng Ollama, RAM có thể spike ngắn hạn khi load model hoặc xử lý context dài – swap 2GB đóng vai lưới an toàn, ngăn crash đột ngột trong những tình huống đó.

Lưu ý: swap chậm hơn RAM nhiều lần nên không thay thế được RAM thực. Đây chỉ là biện pháp phòng ngừa, không phải giải pháp cho việc thiếu RAM.

sudo fallocate -l 2G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab

Dòng cuối thêm swap vào /etc/fstab để swap tự động được bật lại sau khi reboot VPS.

Verify:

free -h
# Swap phải hiện 2GB

---

Phần 2: Cài Đặt Node.js

Dùng Node.js 22.x – phiên bản LTS (Long Term Support) hiện tại, được support 3 năm và có bản vá bảo mật đều đặn. Không dùng “latest” vì các Current release (23.x trở lên) chỉ được support 6 tháng và ít được test compatibility hơn với các npm package như OpenClaw.

curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt install -y nodejs
node --version  # Phải >= 22
npm --version

---

Phần 3: Cài Đặt Ollama

3.1 Cài Ollama

curl -fsSL https://ollama.com/install.sh | sh

3.2 Cấu hình Ollama service

export EDITOR=nano
sudo systemctl edit ollama

Thêm nội dung sau:

[Service]
Environment="OLLAMA_NUM_PARALLEL=1"
Environment="OLLAMA_MAX_LOADED_MODELS=1"
Environment="OLLAMA_HOST=0.0.0.0:11434"
Environment="OLLAMA_NUM_THREAD=2"

Sau khi paste xong, lưu và thoát: Ctrl+X → Y → Enter

OLLAMA_NUM_THREAD=2 giới hạn Ollama chỉ dùng 2 CPU core, nhường tài nguyên cho OpenClaw và OS. Điều chỉnh tùy số core thực tế.

sudo systemctl daemon-reload
sudo systemctl enable ollama
sudo systemctl start ollama

3.3 Pull model phù hợp

Guide này dùng qwen3:1.7b-q8_0 – bản mạnh nhất của Qwen3 1.7B, vẫn fit trong 8GB RAM khi chạy cùng OpenClaw, đủ dùng cho các tác vụ hàng ngày như summarization, draft content, workflow routing.

Chọn version phù hợp với RAM available (xem cột “available” sau khi chạy free -h):

Tag	RAM cần	Khi nào dùng
qwen3:1.7b-q8_0	~3GB	Available > 4GB – khuyên dùng
qwen3:1.7b-q4_K_M	~1.5GB	Available 2–4GB

Xem bảng so sánh đầy đủ các model ở Phần 11 nếu muốn chọn model khác phù hợp hơn với cấu hình VPS của bạn.

Kiểm tra RAM trước khi pull:

free -h
# Xem cột "available"

Pull model:

ollama pull qwen3:1.7b-q8_0

Verify:

ollama list

Output mong muốn:

NAME                 ID              SIZE      MODIFIED
qwen3:1.7b-q8_0     29b6a7a420a4    2.2 GB    X seconds ago

ollama run qwen3:1.7b-q8_0 "xin chào"

Output mong muốn:

Xin chào! Có thể giúp tôi gì không?

Model có thinking mode – sẽ thấy dòng Thinking... trước khi ra kết quả. Đây là bình thường.

---

Phần 4: Cài Đặt Google Gemini CLI

OpenClaw dùng Gemini CLI cho cloud inference – đây là model primary trong setup này, nhanh hơn nhiều so với local LLM chạy thuần CPU.

sudo npm install -g @google/gemini-cli

Fix permission cho config dir (cần thiết vì cài bằng sudo):

sudo chown -R claw:claw /home/claw/.gemini

Verify:

gemini --version
# Phải ra version mà không có error, ví dụ: 0.35.3

Login với Google account:

gemini

Lệnh này mở Gemini CLI interactive mode. Làm theo các bước sau:

Bước 1 – Trust folder

Do you trust the files in this folder?
  1. Trust folder (claw)   ← chọn cái này
  2. Trust parent folder (home)
  3. Don't trust

Chọn 1. Trust folder (claw).

Bước 2 – Chọn phương thức auth

How would you like to authenticate?
  1. Sign in with Google   ← chọn cái này
  2. Use Gemini API Key
  3. Vertex AI

Chọn 1. Sign in with Google. Gemini CLI sẽ in ra một URL – copy URL đó, mở trên máy local, đăng nhập Google, sau đó paste authorization code trở lại terminal VPS.

Bước 3 – Đã vào CLI

Auth thành công sẽ thấy:

Signed in with Google: your@gmail.com

Thoát CLI: nhấn Ctrl+D. Nếu không thoát được, mở terminal SSH mới và kill process:

ps aux | grep gemini
kill <PID>

Verify auth thành công bằng non-interactive mode:

gemini -p "hello"

Lưu ý: /auth là slash command dùng để đổi phương thức auth trong session đang chạy, không cần dùng khi setup lần đầu.

---

Phần 5: Cài Đặt OpenClaw

5.1 Cài OpenClaw CLI

sudo npm install -g openclaw
openclaw --version

5.2 Chạy Onboarding

openclaw onboard

Wizard sẽ hỏi lần lượt:

Bước 1 – Xác nhận personal use

I understand this is personal-by-default and shared/multi-user use requires lock-down. Continue?

Chọn Yes.

Bước 2 – Setup mode

Setup mode
● QuickStart (Configure details later via openclaw configure.)
○ Manual

Chọn QuickStart – có thể chỉnh chi tiết sau bằng openclaw configure.

Bước 3 – Model/auth provider

Model/auth provider
● Anthropic (Claude CLI + setup-token + API key)
○ ...
○ Ollama
○ Google
○ Skip for now

Chọn Skip for now – sẽ cấu hình Gemini CLI và Ollama riêng ở Phần 6.

Bước 4 – Filter models by provider

Filter models by provider
● All providers
○ ...
○ google-gemini-cli
○ ollama
○ ...

Chọn google-gemini-cli.

Bước 5 – Model check

Model check
No auth configured for provider "google-gemini-cli". The agent may fail until
credentials are added. Run `openclaw models auth login --provider google-gemini-cli`,
`openclaw configure`, or set an API key env var.

Warning này bình thường – OpenClaw chưa được link với credentials Gemini CLI. Bỏ qua, sẽ fix ngay sau khi wizard kết thúc.

Bước 6 – Telegram channel + token

Wizard hỏi chọn channel:

Select channel (QuickStart)
Telegram (Bot API)

Chọn Telegram (Bot API).

Sau đó hiện hướng dẫn lấy token, rồi hỏi:

How do you want to provide this Telegram bot token?
  Enter Telegram bot token

Chọn Enter Telegram bot token. Lúc này mở Telegram lấy token từ BotFather:

1. Tìm @BotFather
2. Gõ /newbot
3. Đặt tên bot (ví dụ: OpenClaw)
4. Đặt username (ví dụ: openclawbot) – không trùng với username Telegram cá nhân
5. BotFather cấp token dạng 123456789:ABC-DEF... – copy toàn bộ, paste vào terminal

Telegram DM access warning: Bot đang dùng DM policy pairing – bất kỳ ai tìm thấy bot đều có thể gửi pairing request, nhưng phải được approve thủ công bằng openclaw pairing approve telegram <code> thì mới chat được. Mặc định này phù hợp cho dùng cá nhân. Nếu muốn giới hạn chỉ một mình, có thể cấu hình allowlist sau:

# Lấy Telegram user ID tại: https://t.me/userinfobot
openclaw config set channels.telegram.dmPolicy "allowlist"
openclaw config set channels.telegram.allowFrom '["YOUR_USER_ID"]'

Bước 7 – Web search provider

Search provider
● DuckDuckGo Search (experimental)  ← chọn cái này
○ Brave Search
○ Exa Search
○ ...
○ Skip for now

Chọn DuckDuckGo Search (experimental) – miễn phí, không cần API key.

Bước 11 – API keys tùy chọn

Các bước sau đều chọn No – không cần thiết cho setup cơ bản, có thể cấu hình thêm sau:

Set GOOGLE_PLACES_API_KEY for goplaces?  → No
Set NOTION_API_KEY for notion?           → No
Set OPENAI_API_KEY for openai-whisper?   → No
Set ELEVENLABS_API_KEY for sag?          → No

Bước 12 – Hoàn tất onboarding

Wizard tự động thực hiện các bước sau, không cần làm gì:

• Lưu config vào ~/.openclaw/openclaw.json
• Bật systemd lingering cho user claw (giữ gateway chạy sau khi logout)
• Cài gateway service tại ~/.config/systemd/user/openclaw-gateway.service
• Khởi động gateway và verify Telegram

Output mong muốn:

Telegram: ok (@openclawbot)
Agents: main (default)

Bước 13 – Hatch bot

How do you want to hatch your bot?
● Hatch in TUI (recommended)
○ Open the Web UI
○ Do this later

Chọn Hatch in TUI – wizard sẽ khởi động TUI và gửi tin nhắn đầu tiên cho bot. Lúc này sẽ thấy lỗi:

⚠️ Agent failed before reply: No API key found for provider "google-gemini-cli".

Đây là lỗi expected – OpenClaw chưa được link với credentials Gemini CLI. Thoát TUI bằng Ctrl+C, sau đó fix ở bước tiếp theo.

---

Phần 6: Cấu Hình Model

6.1 Thêm Ollama provider

openclaw models auth add

Điền theo thứ tự:

• Token provider: custom
• Provider id: ollama
• Profile id: ollama:local
• Does this token expire?: No
• Paste token: ollama (placeholder, Ollama không cần auth)

6.2 Fix auth cho Gemini CLI

Sau khi onboarding, google-gemini-cli sẽ hiện Auth = no. Fix bằng lệnh:

openclaw models auth login --provider google-gemini-cli

Wizard hiện cảnh báo:

Google Gemini CLI caution
This is an unofficial integration and is not endorsed by Google.
Some users have reported account restrictions or suspensions...

Chọn Yes để tiếp tục.

OpenClaw lưu credentials riêng biệt với Gemini CLI nên cần auth lại một lần nữa ở đây.

Wizard sẽ in ra một URL:

Gemini CLI OAuth
You are running in a remote/VPS environment.
A URL will be shown for you to open in your LOCAL browser.
After signing in, copy the redirect URL and paste it back here.

Open this URL in your LOCAL browser:
https://accounts.google.com/o/oauth2/v2/auth?...

Copy URL đó, mở trên máy local, đăng nhập Google. Sau khi đăng nhập xong, browser sẽ redirect sang một URL mới – copy toàn bộ URL đó, paste vào terminal VPS.

Verify:

openclaw models list
# Cột Auth của google-gemini-cli phải hiện "yes"

6.3 Set model theo chiến lược

Guide này dùng Gemini làm primary vì VPS CPU-only không đủ nhanh để inference local LLM trong 2 phút timeout của OpenClaw. Ollama đóng vai fallback khi Gemini không available.

openclaw models set google-gemini-cli/gemini-2.5-flash
openclaw models fallbacks add ollama/qwen3:1.7b-q8_0

Lưu ý: Nếu VPS 16GB RAM trở lên với CPU mạnh, có thể đổi Ollama làm primary để tiết kiệm API cost. Với 8GB RAM / 4 CPU, Gemini primary là lựa chọn thực tế nhất.

6.4 Thêm Google Pro cho research nặng

# Đã có sẵn sau onboarding, verify:
openclaw models list

Khi cần research nặng, chỉ định thẳng trong session:

/model google-gemini-cli/gemini-2.5-pro-preview

6.5 Verify cấu hình

openclaw models list

Output mẫu mong muốn:

Model                                      Input      Ctx      Local Auth  Tags
google-gemini-cli/gemini-2.5-flash         text+image 1024k    no    yes   default,configured
ollama/qwen3:1.7b-q8_0                     text       40k      yes   yes   fallback#1,configured
google-gemini-cli/gemini-2.5-pro-preview   text+image 1024k    no    yes   configured

---

Phần 7: Cấu Hình Tools Profile

Giảm overhead cho model nhỏ bằng cách dùng tools profile tối giản:

openclaw config set tools.profile minimal

---

Phần 8: Khởi Động Gateway

8.1 Chạy gateway

openclaw gateway restart

8.2 Kiểm tra health

openclaw health

Output mong muốn:

Telegram: ok (@yourbotname)
Agents: main (default)

8.3 Test trên Telegram

Mở Telegram, nhắn “hello” với bot. Bot sẽ trả về pairing code vì DM policy đang là pairing:

OpenClaw: access not configured.
Your Telegram user id: 1575431582
Pairing code: {KEY}
Ask the bot owner to approve with:
openclaw pairing approve telegram {KEY}

Approve trên VPS để bắt đầu chat:

openclaw pairing approve telegram {KEY}

Sau khi approve, nhắn lại – bot sẽ reply bình thường. Chỉ cần approve một lần.

---

Phần 9: Expose Web UI Qua Subdomain

Web UI mặc định chỉ chạy tại 127.0.0.1:18789. Phần này hướng dẫn expose ra ngoài qua subdomain (ví dụ: claw.your-domain.com) với HTTPS.

9.1 Trỏ DNS

Vào DNS provider, thêm A record:

claw.your-domain.com → <IP_VPS>

Chờ DNS propagate (thường vài phút, tối đa 24h). Verify:

dig claw.your-domain.com +short
# Phải ra IP VPS

9.2 Mở port trên UFW

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw status

9.3 Cài Nginx và Certbot

sudo apt install -y nginx certbot python3-certbot-nginx

9.4 Cấu hình Nginx

sudo nano /etc/nginx/sites-available/openclaw

Paste nội dung sau:

server {
    listen 80;
    server_name claw.your-domain.com;

    location / {
        proxy_pass http://127.0.0.1:18789;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

Lưu và thoát: Ctrl+X → Y → Enter

sudo ln -s /etc/nginx/sites-available/openclaw /etc/nginx/sites-enabled/
sudo nginx -t
# Phải thấy: syntax is ok + test is successful
sudo systemctl reload nginx

9.5 Cấp SSL cert

sudo certbot --nginx -d claw.your-domain.com

Certbot sẽ hỏi lần lượt:

1. Email – nhập email để nhận thông báo khi cert sắp hết hạn
2. Terms of Service – nhập y để đồng ý
3. Chia sẻ email với EFF – nhập y hoặc n tùy ý

Output mong muốn:

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/claw.your-domain.com/fullchain.pem
Certbot has set up a scheduled task to automatically renew this certificate in the background.
Congratulations! You have successfully enabled HTTPS on https://claw.your-domain.com

Cert có hiệu lực 90 ngày. Certbot tự động renew trong background, không cần làm gì thêm.

Verify auto renew đang chạy:

sudo systemctl status certbot.timer

Output mong muốn:

● certbot.timer - Run certbot twice daily
     Loaded: loaded (/usr/lib/systemd/system/certbot.timer; enabled; preset: enabled)
     Active: active (waiting)
    Trigger: ...
   Triggers: ● certbot.service

active (waiting) là đúng – cert sẽ tự renew 2 lần/ngày.

9.6 Cấu hình gateway

Thêm domain vào allowed origins và set trusted proxy:

openclaw config set gateway.controlUi.allowedOrigins '["https://claw.your-domain.com"]'
openclaw config set gateway.trustedProxies '["127.0.0.1"]'
openclaw config set gateway.auth.mode "token"
openclaw gateway restart

Lấy tokenized URL để truy cập:

python3 -c "import json; d=json.load(open('/home/claw/.openclaw/openclaw.json')); print('https://claw.your-domain.com/#token=' + d['gateway']['auth']['token'])"

Mở URL đó trên browser. Nếu vào được thì dùng luôn, bookmark lại URL đó.

Nếu vẫn lỗi pairing required, chuyển sang Nginx Basic Auth ở bước 9.7:

openclaw config set gateway.auth.mode "none"
openclaw gateway restart

9.7 Bảo mật bằng Nginx Basic Auth

Nếu Token-based auth của OpenClaw không hoạt động ổn qua Nginx reverse proxy (lỗi pairing required), dùng Nginx Basic Auth thay thế:

sudo apt install -y apache2-utils
sudo htpasswd -c /etc/nginx/.htpasswd your-username
# Nhập password khi được hỏi

Thêm 2 dòng vào block location / trong Nginx config:

sudo nano /etc/nginx/sites-available/openclaw

auth_basic "OpenClaw";
auth_basic_user_file /etc/nginx/.htpasswd;

sudo nginx -t
sudo systemctl reload nginx

9.8 Cấu hình Fail2ban cho Nginx

Chặn brute force login:

sudo nano /etc/fail2ban/jail.local

Thêm nội dung:

[nginx-http-auth]
enabled = true
port = http,https
logpath = /var/log/nginx/error.log
maxretry = 5
bantime = 3600

sudo systemctl restart fail2ban
sudo fail2ban-client status nginx-http-auth

Sau 5 lần nhập sai password, IP bị ban 1 giờ.

9.9 Truy cập Web UI

Mở browser, vào https://claw.your-domain.com – browser sẽ hỏi username/password từ Basic Auth.

Sau khi qua Basic Auth, Web UI hiện form connect – để trống cả Gateway Token và Password, nhấn Connect là vào được.

Lưu ý: Nginx Basic Auth không có session timeout – browser cache credentials cho đến khi đóng hoàn toàn hoặc xóa cache. Nếu muốn nhập lại mỗi lần, dùng Incognito/Private window khi truy cập.

---

Phần 10: Monitoring & Troubleshooting

Xem log real-time

openclaw logs --follow

Kiểm tra RAM

free -h
# "available" phải còn > 2GB khi Ollama đang load model

Kiểm tra Ollama đang inference

ollama ps
# Hiện model đang load và % CPU đang dùng

Kiểm tra CPU load

top -bn1 | head -5
# Load average không nên vượt quá số CPU core

Các lỗi thường gặp

Lỗi	Nguyên nhân	Fix
OOM: model requires X GiB	Model quá lớn	Dùng quantization nhỏ hơn hoặc model nhỏ hơn
typing TTL reached (2m)	CPU inference quá chậm	Đổi Gemini làm primary
404 model_not_found	Model name sai	Verify tên model với openclaw models list
429 No capacity	Google API overload	Chờ hoặc switch sang Ollama
[xai-auth] bootstrap config fallback: no config-backed key found	OpenClaw tìm config xAI/Grok nhưng chưa setup	Bỏ qua – không ảnh hưởng nếu không dùng xAI

Reset session khi bot bị kẹt

echo '{}' > ~/.openclaw/agents/main/sessions/sessions.json
rm -f ~/.openclaw/agents/main/sessions/*.jsonl
openclaw gateway restart

---

Phần 11: Lựa Chọn Model Theo RAM

Bảng tham chiếu nhanh

Model	Quant	Size	RAM cần	Vietnamese	Tool Calling	Phù hợp
qwen3:1.7b	q4_K_M	~1.5GB	~2GB	Tốt	Khá	VPS 8GB + nhiều service
qwen3:1.7b	q8_0	~2.3GB	~3GB	Tốt	Khá	VPS 8GB nhàn
qwen2.5:3b-instruct	q4_K_M	~1.9GB	~2.5GB	Tốt	Tốt	Sweet spot cho 8GB
qwen2.5:3b-instruct	q8_0	~3.3GB	~4GB	Tốt	Tốt	VPS 16GB
qwen2.5:7b-instruct	q4_K_M	~5.2GB	~6.5GB	Tốt	Tốt	VPS 16GB

Với VPS 8GB chạy OpenClaw (chiếm ~4.5–5GB RAM khi active), model an toàn nhất là qwen2.5:3b-instruct-q4_K_M hoặc xuống qwen3:1.7b-q8_0.

---

Tổng Kết

Setup hoàn chỉnh gồm 3 lớp:

1. Primary model – Gemini 2.5 Flash (cloud, nhanh, 1024k context)
2. Fallback – Ollama local (offline, free, chậm hơn)
3. On-demand – Gemini Pro hoặc Claude khi cần research/reasoning nặng

Kiến trúc này tối ưu chi phí (local LLM miễn phí cho task thường ngày), đảm bảo availability (cloud fallback), và linh hoạt scale khi cần.

---

Guide này được viết dựa trên kinh nghiệm thực tế setup OpenClaw trên VPS 4 CPU / 8GB RAM.