Containers

Ansible

Despliega OpenClaw en servidores de producción con openclaw-ansible, un instalador automatizado con una arquitectura centrada en la seguridad.

Requisitos previos

Requisito Detalles
SO Debian 11+ o Ubuntu 20.04+
Acceso Privilegios de root o sudo
Red Conexión a Internet para la instalación de paquetes
Ansible 2.14+ (instalado automáticamente por el script de inicio rápido)

Qué obtienes

  • Seguridad con firewall primero -- aislamiento con UFW + Docker (solo SSH + Tailscale accesibles)
  • VPN Tailscale -- acceso remoto seguro sin exponer servicios públicamente
  • Docker -- contenedores de sandbox aislados, enlaces solo a localhost
  • Defensa en profundidad -- arquitectura de seguridad de 4 capas
  • Integración con systemd -- inicio automático al arrancar con hardening
  • Configuración con un solo comando -- despliegue completo en minutos

Inicio rápido

Instalación con un solo comando:

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Qué se instala

El playbook de Ansible instala y configura:

  1. Tailscale -- VPN de malla para acceso remoto seguro
  2. Firewall UFW -- solo puertos SSH + Tailscale
  3. Docker CE + Compose V2 -- para el backend de sandbox de agente predeterminado
  4. Node.js 24 + pnpm -- dependencias de runtime (Node 22 LTS, actualmente 22.19+, sigue siendo compatible)
  5. OpenClaw -- basado en el host, no en contenedores
  6. Servicio systemd -- inicio automático con hardening de seguridad

Configuración posterior a la instalación

  • Cambiar al usuario openclaw

    bash
    sudo -i -u openclaw
  • Ejecutar el asistente de incorporación

    El script posterior a la instalación te guía para configurar los ajustes de OpenClaw.

  • Conectar proveedores de mensajería

    Inicia sesión en WhatsApp, Telegram, Discord o Signal:

    bash
    openclaw channels login
  • Verificar la instalación

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Conectarse a Tailscale

    Únete a tu malla VPN para acceso remoto seguro.

  • Comandos rápidos

    bash
    # Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

    Arquitectura de seguridad

    El despliegue usa un modelo de defensa de 4 capas:

    1. Firewall (UFW) -- solo SSH (22) + Tailscale (41641/udp) expuestos públicamente
    2. VPN (Tailscale) -- gateway accesible solo mediante la malla VPN
    3. Aislamiento de Docker -- la cadena iptables DOCKER-USER evita la exposición externa de puertos
    4. Hardening de systemd -- NoNewPrivileges, PrivateTmp, usuario sin privilegios

    Para verificar tu superficie de ataque externa:

    bash
    nmap -p- YOUR_SERVER_IP

    Solo el puerto 22 (SSH) debería estar abierto. Todos los demás servicios (gateway, Docker) están bloqueados.

    Docker se instala para los sandboxes de agentes (ejecución aislada de herramientas), no para ejecutar el gateway en sí. Consulta Sandbox y herramientas multiagente para la configuración del sandbox.

    Instalación manual

    Si prefieres control manual sobre la automatización:

  • Instalar requisitos previos

    bash
    sudo apt update && sudo apt install -y ansible git
  • Clonar el repositorio

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Instalar colecciones de Ansible

    bash
    ansible-galaxy collection install -r requirements.yml
  • Ejecutar el playbook

    bash
    ./run-playbook.sh

    También puedes ejecutarlo directamente y luego ejecutar manualmente el script de configuración:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh
  • Actualización

    El instalador de Ansible configura OpenClaw para actualizaciones manuales. Consulta Actualizar para el flujo de actualización estándar.

    Para volver a ejecutar el playbook de Ansible (por ejemplo, para cambios de configuración):

    bash
    cd openclaw-ansible./run-playbook.sh

    Es idempotente y seguro ejecutarlo varias veces.

    Solución de problemas

    El firewall bloquea mi conexión
    • Asegúrate primero de poder acceder mediante la VPN Tailscale
    • El acceso SSH (puerto 22) siempre está permitido
    • El gateway solo es accesible mediante Tailscale por diseño
    El servicio no se inicia
    bash
    # Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Problemas con el sandbox de Docker
    bash
    # Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Falla el inicio de sesión del proveedor

    Asegúrate de ejecutarlo como el usuario openclaw:

    bash
    sudo -i -u openclawopenclaw channels login

    Configuración avanzada

    Para ver la arquitectura de seguridad detallada y la solución de problemas, consulta el repositorio openclaw-ansible:

    Relacionado

    Was this useful?
    On this page

    On this page