Containers

Ansible

Stellen Sie OpenClaw mit openclaw-ansible auf Produktionsservern bereit -- einem automatisierten Installer mit sicherheitsorientierter Architektur.

Voraussetzungen

Anforderung Details
OS Debian 11+ oder Ubuntu 20.04+
Zugriff Root- oder sudo-Berechtigungen
Netzwerk Internetverbindung für die Paketinstallation
Ansible 2.14+ (wird vom Schnellstart-Skript automatisch installiert)

Was Sie erhalten

  • Firewall-orientierte Sicherheit -- UFW + Docker-Isolierung (nur SSH + Tailscale erreichbar)
  • Tailscale VPN -- sicherer Remote-Zugriff, ohne Dienste öffentlich offenzulegen
  • Docker -- isolierte Sandbox-Container, Bindings nur an localhost
  • Gestaffelte Verteidigung -- Sicherheitsarchitektur mit 4 Schichten
  • Systemd-Integration -- automatischer Start beim Booten mit Härtung
  • Einrichtung mit einem Befehl -- vollständige Bereitstellung in wenigen Minuten

Schnellstart

Installation mit einem Befehl:

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Was installiert wird

Das Ansible-Playbook installiert und konfiguriert:

  1. Tailscale -- Mesh-VPN für sicheren Remote-Zugriff
  2. UFW-Firewall -- nur SSH- und Tailscale-Ports
  3. Docker CE + Compose V2 -- für das standardmäßige Agent-Sandbox-Backend
  4. Node.js 24 + pnpm -- Runtime-Abhängigkeiten (Node 22 LTS, derzeit 22.19+, bleibt unterstützt)
  5. OpenClaw -- hostbasiert, nicht containerisiert
  6. Systemd-Dienst -- automatischer Start mit Sicherheitshärtung

Einrichtung nach der Installation

  • Zum openclaw-Benutzer wechseln

    bash
    sudo -i -u openclaw
  • Onboarding-Assistenten ausführen

    Das Nachinstallationsskript führt Sie durch die Konfiguration der OpenClaw-Einstellungen.

  • Messaging-Provider verbinden

    Melden Sie sich bei WhatsApp, Telegram, Discord oder Signal an:

    bash
    openclaw channels login
  • Installation überprüfen

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Mit Tailscale verbinden

    Treten Sie Ihrem VPN-Mesh für sicheren Remote-Zugriff bei.

  • Schnellbefehle

    bash
    # Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

    Sicherheitsarchitektur

    Die Bereitstellung verwendet ein Verteidigungsmodell mit 4 Schichten:

    1. Firewall (UFW) -- nur SSH (22) + Tailscale (41641/udp) öffentlich erreichbar
    2. VPN (Tailscale) -- Gateway nur über VPN-Mesh erreichbar
    3. Docker-Isolierung -- DOCKER-USER-iptables-Chain verhindert externe Portfreigabe
    4. Systemd-Härtung -- NoNewPrivileges, PrivateTmp, unprivilegierter Benutzer

    So überprüfen Sie Ihre externe Angriffsfläche:

    bash
    nmap -p- YOUR_SERVER_IP

    Nur Port 22 (SSH) sollte geöffnet sein. Alle anderen Dienste (Gateway, Docker) sind gesperrt.

    Docker wird für Agent-Sandboxes (isolierte Tool-Ausführung) installiert, nicht zum Ausführen des Gateways selbst. Informationen zur Sandbox-Konfiguration finden Sie unter Multi-Agent Sandbox and Tools.

    Manuelle Installation

    Wenn Sie manuelle Kontrolle gegenüber der Automatisierung bevorzugen:

  • Voraussetzungen installieren

    bash
    sudo apt update && sudo apt install -y ansible git
  • Repository klonen

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Ansible-Collections installieren

    bash
    ansible-galaxy collection install -r requirements.yml
  • Playbook ausführen

    bash
    ./run-playbook.sh

    Alternativ können Sie es direkt ausführen und anschließend das Einrichtungsskript manuell starten:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh
  • Aktualisierung

    Der Ansible-Installer richtet OpenClaw für manuelle Updates ein. Den Standardablauf für Updates finden Sie unter Aktualisierung.

    So führen Sie das Ansible-Playbook erneut aus (zum Beispiel für Konfigurationsänderungen):

    bash
    cd openclaw-ansible./run-playbook.sh

    Dies ist idempotent und kann sicher mehrfach ausgeführt werden.

    Fehlerbehebung

    Firewall blockiert meine Verbindung
    • Stellen Sie sicher, dass Sie zuerst Zugriff über Tailscale VPN haben
    • SSH-Zugriff (Port 22) ist immer erlaubt
    • Der Gateway ist absichtlich nur über Tailscale erreichbar
    Dienst startet nicht
    bash
    # Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Probleme mit Docker-Sandbox
    bash
    # Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Provider-Anmeldung schlägt fehl

    Stellen Sie sicher, dass Sie als Benutzer openclaw arbeiten:

    bash
    sudo -i -u openclawopenclaw channels login

    Erweiterte Konfiguration

    Ausführliche Informationen zur Sicherheitsarchitektur und Fehlerbehebung finden Sie im openclaw-ansible-Repo:

    Verwandte Themen

    Was this useful?
    On this page

    On this page