Containers
Ansible
Stellen Sie OpenClaw mit openclaw-ansible auf Produktionsservern bereit -- einem automatisierten Installer mit sicherheitsorientierter Architektur.
Voraussetzungen
| Anforderung | Details |
|---|---|
| OS | Debian 11+ oder Ubuntu 20.04+ |
| Zugriff | Root- oder sudo-Berechtigungen |
| Netzwerk | Internetverbindung für die Paketinstallation |
| Ansible | 2.14+ (wird vom Schnellstart-Skript automatisch installiert) |
Was Sie erhalten
- Firewall-orientierte Sicherheit -- UFW + Docker-Isolierung (nur SSH + Tailscale erreichbar)
- Tailscale VPN -- sicherer Remote-Zugriff, ohne Dienste öffentlich offenzulegen
- Docker -- isolierte Sandbox-Container, Bindings nur an localhost
- Gestaffelte Verteidigung -- Sicherheitsarchitektur mit 4 Schichten
- Systemd-Integration -- automatischer Start beim Booten mit Härtung
- Einrichtung mit einem Befehl -- vollständige Bereitstellung in wenigen Minuten
Schnellstart
Installation mit einem Befehl:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashWas installiert wird
Das Ansible-Playbook installiert und konfiguriert:
- Tailscale -- Mesh-VPN für sicheren Remote-Zugriff
- UFW-Firewall -- nur SSH- und Tailscale-Ports
- Docker CE + Compose V2 -- für das standardmäßige Agent-Sandbox-Backend
- Node.js 24 + pnpm -- Runtime-Abhängigkeiten (Node 22 LTS, derzeit
22.19+, bleibt unterstützt) - OpenClaw -- hostbasiert, nicht containerisiert
- Systemd-Dienst -- automatischer Start mit Sicherheitshärtung
Einrichtung nach der Installation
Zum openclaw-Benutzer wechseln
sudo -i -u openclawOnboarding-Assistenten ausführen
Das Nachinstallationsskript führt Sie durch die Konfiguration der OpenClaw-Einstellungen.
Messaging-Provider verbinden
Melden Sie sich bei WhatsApp, Telegram, Discord oder Signal an:
openclaw channels loginInstallation überprüfen
sudo systemctl status openclawsudo journalctl -u openclaw -fMit Tailscale verbinden
Treten Sie Ihrem VPN-Mesh für sicheren Remote-Zugriff bei.
Schnellbefehle
# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels loginSicherheitsarchitektur
Die Bereitstellung verwendet ein Verteidigungsmodell mit 4 Schichten:
- Firewall (UFW) -- nur SSH (22) + Tailscale (41641/udp) öffentlich erreichbar
- VPN (Tailscale) -- Gateway nur über VPN-Mesh erreichbar
- Docker-Isolierung -- DOCKER-USER-iptables-Chain verhindert externe Portfreigabe
- Systemd-Härtung -- NoNewPrivileges, PrivateTmp, unprivilegierter Benutzer
So überprüfen Sie Ihre externe Angriffsfläche:
nmap -p- YOUR_SERVER_IPNur Port 22 (SSH) sollte geöffnet sein. Alle anderen Dienste (Gateway, Docker) sind gesperrt.
Docker wird für Agent-Sandboxes (isolierte Tool-Ausführung) installiert, nicht zum Ausführen des Gateways selbst. Informationen zur Sandbox-Konfiguration finden Sie unter Multi-Agent Sandbox and Tools.
Manuelle Installation
Wenn Sie manuelle Kontrolle gegenüber der Automatisierung bevorzugen:
Voraussetzungen installieren
sudo apt update && sudo apt install -y ansible gitRepository klonen
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleAnsible-Collections installieren
ansible-galaxy collection install -r requirements.ymlPlaybook ausführen
./run-playbook.shAlternativ können Sie es direkt ausführen und anschließend das Einrichtungsskript manuell starten:
ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.shAktualisierung
Der Ansible-Installer richtet OpenClaw für manuelle Updates ein. Den Standardablauf für Updates finden Sie unter Aktualisierung.
So führen Sie das Ansible-Playbook erneut aus (zum Beispiel für Konfigurationsänderungen):
cd openclaw-ansible./run-playbook.shDies ist idempotent und kann sicher mehrfach ausgeführt werden.
Fehlerbehebung
Firewall blockiert meine Verbindung
- Stellen Sie sicher, dass Sie zuerst Zugriff über Tailscale VPN haben
- SSH-Zugriff (Port 22) ist immer erlaubt
- Der Gateway ist absichtlich nur über Tailscale erreichbar
Dienst startet nicht
# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runProbleme mit Docker-Sandbox
# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupProvider-Anmeldung schlägt fehl
Stellen Sie sicher, dass Sie als Benutzer openclaw arbeiten:
sudo -i -u openclawopenclaw channels loginErweiterte Konfiguration
Ausführliche Informationen zur Sicherheitsarchitektur und Fehlerbehebung finden Sie im openclaw-ansible-Repo:
Verwandte Themen
- openclaw-ansible -- vollständiger Bereitstellungsleitfaden
- Docker -- containerisierte Gateway-Einrichtung
- Sandboxing -- Agent-Sandbox-Konfiguration
- Multi-Agent Sandbox and Tools -- Isolierung pro Agent