Zum Hauptinhalt springen

Ansible-Installation

Stellen Sie OpenClaw auf Produktionsservern mit openclaw-ansible bereit — einem automatisierten Installer mit sicherheitsorientierter Architektur.
Das Repository openclaw-ansible ist die maßgebliche Quelle für die Bereitstellung mit Ansible. Diese Seite ist eine kurze Übersicht.

Voraussetzungen

AnforderungDetails
OSDebian 11+ oder Ubuntu 20.04+
ZugriffRoot- oder sudo-Berechtigungen
NetzwerkInternetverbindung für die Paketinstallation
Ansible2.14+ (wird automatisch durch das Schnellstart-Skript installiert)

Was Sie erhalten

  • Firewall-first-Sicherheit — UFW + Docker-Isolation (nur SSH + Tailscale zugänglich)
  • Tailscale-VPN — sicherer Fernzugriff, ohne Dienste öffentlich freizugeben
  • Docker — isolierte Sandbox-Container, nur an localhost gebundene Bindings
  • Defence in depth — 4-schichtige Sicherheitsarchitektur
  • Systemd-Integration — automatischer Start beim Booten mit Härtung
  • Ein-Befehl-Einrichtung — vollständige Bereitstellung in wenigen Minuten

Schnellstart

Installation mit einem Befehl: 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Was installiert wird

Das Ansible-Playbook installiert und konfiguriert:
  1. Tailscale — Mesh-VPN für sicheren Fernzugriff
  2. UFW-Firewall — nur SSH- + Tailscale-Ports
  3. Docker CE + Compose V2 — für das Standard-Sandbox-Backend des Agenten
  4. Node.js 24 + pnpm — Laufzeitabhängigkeiten (Node 22 LTS, derzeit 22.14+, bleibt unterstützt)
  5. OpenClaw — hostbasiert, nicht containerisiert
  6. Systemd-Service — automatischer Start mit Sicherheits-Härtung
Das Gateway läuft direkt auf dem Host (nicht in Docker). Agent-Sandboxing ist optional; dieses Playbook installiert Docker, weil es das Standard-Sandbox-Backend ist. Siehe Sandboxing für Details und andere Backends.

Einrichtung nach der Installation

1

Zum Benutzer openclaw wechseln

sudo -i -u openclaw
2

Den Onboarding-Assistenten ausführen

Das Skript nach der Installation führt Sie durch die Konfiguration der OpenClaw-Einstellungen.
3

Messaging-Anbieter verbinden

Melden Sie sich bei WhatsApp, Telegram, Discord oder Signal an:
openclaw channels login
4

Die Installation überprüfen

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Mit Tailscale verbinden

Treten Sie Ihrem VPN-Mesh für sicheren Fernzugriff bei.

Schnellbefehle

# Servicestatus prüfen
sudo systemctl status openclaw

# Live-Logs anzeigen
sudo journalctl -u openclaw -f

# Gateway neu starten
sudo systemctl restart openclaw

# Anbieter-Login (als Benutzer openclaw ausführen)
sudo -i -u openclaw
openclaw channels login

Sicherheitsarchitektur

Die Bereitstellung verwendet ein 4-Schichten-Verteidigungsmodell:
  1. Firewall (UFW) — nur SSH (22) + Tailscale (41641/udp) sind öffentlich erreichbar
  2. VPN (Tailscale) — Gateway ist nur über das VPN-Mesh erreichbar
  3. Docker-Isolation — die iptables-Kette DOCKER-USER verhindert die Freigabe externer Ports
  4. Systemd-Härtung — NoNewPrivileges, PrivateTmp, unprivilegierter Benutzer
So überprüfen Sie Ihre externe Angriffsfläche: 
nmap -p- YOUR_SERVER_IP
Nur Port 22 (SSH) sollte offen sein. Alle anderen Dienste (Gateway, Docker) sind gesperrt. Docker wird für Agent-Sandboxes (isolierte Tool-Ausführung) installiert, nicht für den Betrieb des Gateways selbst. Siehe Multi-Agent Sandbox and Tools für die Sandbox-Konfiguration.

Manuelle Installation

Wenn Sie die Automatisierung lieber manuell steuern möchten:
1

Voraussetzungen installieren

sudo apt update && sudo apt install -y ansible git
2

Das Repository klonen

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Ansible-Collections installieren

ansible-galaxy collection install -r requirements.yml
4

Das Playbook ausführen

./run-playbook.sh
Alternativ direkt ausführen und danach das Setup-Skript manuell ausführen:
ansible-playbook playbook.yml --ask-become-pass
# Dann ausführen: /tmp/openclaw-setup.sh

Aktualisieren

Der Ansible-Installer richtet OpenClaw für manuelle Updates ein. Siehe Updating für den Standard-Aktualisierungsablauf. Um das Ansible-Playbook erneut auszuführen (zum Beispiel für Konfigurationsänderungen): 
cd openclaw-ansible
./run-playbook.sh
Dies ist idempotent und kann sicher mehrfach ausgeführt werden.

Fehlerbehebung

  • Stellen Sie sicher, dass Sie zuerst über Tailscale-VPN zugreifen können
  • SSH-Zugriff (Port 22) ist immer erlaubt
  • Das Gateway ist absichtlich nur über Tailscale erreichbar
# Logs prüfen
sudo journalctl -u openclaw -n 100

# Berechtigungen prüfen
sudo ls -la /opt/openclaw

# Manuellen Start testen
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Prüfen, ob Docker läuft
sudo systemctl status docker

# Sandbox-Image prüfen
sudo docker images | grep openclaw-sandbox

# Sandbox-Image bauen, falls es fehlt
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
Stellen Sie sicher, dass Sie als Benutzer openclaw arbeiten:
sudo -i -u openclaw
openclaw channels login

Erweiterte Konfiguration

Für detaillierte Informationen zur Sicherheitsarchitektur und Fehlerbehebung siehe das Repository openclaw-ansible:

Verwandt