Saltar al contenido principal

Instalación con Ansible

Despliega OpenClaw en servidores de producción con openclaw-ansible, un instalador automatizado con una arquitectura centrada en la seguridad.
El repositorio openclaw-ansible es la fuente de referencia para el despliegue con Ansible. Esta página es un resumen rápido.

Requisitos previos

RequisitoDetalles
SODebian 11+ o Ubuntu 20.04+
AccesoPrivilegios de root o sudo
RedConexión a Internet para la instalación de paquetes
Ansible2.14+ (instalado automáticamente por el script de inicio rápido)

Qué obtienes

  • Seguridad con firewall primero — aislamiento con UFW + Docker (solo SSH + Tailscale accesibles)
  • VPN Tailscale — acceso remoto seguro sin exponer servicios públicamente
  • Docker — contenedores sandbox aislados, enlaces solo a localhost
  • Defensa en profundidad — arquitectura de seguridad de 4 capas
  • Integración con systemd — inicio automático al arrancar con endurecimiento
  • Configuración con un solo comando — despliegue completo en minutos

Inicio rápido

Instalación con un solo comando: 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Qué se instala

El playbook de Ansible instala y configura:
  1. Tailscale — VPN mallada para acceso remoto seguro
  2. Firewall UFW — solo puertos SSH + Tailscale
  3. Docker CE + Compose V2 — para sandboxes de agentes
  4. Node.js 24 + pnpm — dependencias de runtime (Node 22 LTS, actualmente 22.14+, sigue siendo compatible)
  5. OpenClaw — basado en host, no en contenedores
  6. Servicio systemd — inicio automático con endurecimiento de seguridad
La gateway se ejecuta directamente en el host (no en Docker), pero los sandboxes de agentes usan Docker para aislamiento. Consulta Sandboxing para más detalles.

Configuración posterior a la instalación

1

Cambiar al usuario openclaw

sudo -i -u openclaw
2

Ejecutar el asistente de onboarding

El script posterior a la instalación te guía para configurar los ajustes de OpenClaw.
3

Conectar proveedores de mensajería

Inicia sesión en WhatsApp, Telegram, Discord o Signal:
openclaw channels login
4

Verificar la instalación

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Conectarte a Tailscale

Únete a tu malla VPN para acceso remoto seguro.

Comandos rápidos

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Arquitectura de seguridad

El despliegue usa un modelo de defensa de 4 capas:
  1. Firewall (UFW) — solo SSH (22) + Tailscale (41641/udp) expuestos públicamente
  2. VPN (Tailscale) — la gateway es accesible solo a través de la malla VPN
  3. Aislamiento con Docker — la cadena iptables DOCKER-USER evita la exposición de puertos externos
  4. Endurecimiento con systemd — NoNewPrivileges, PrivateTmp, usuario sin privilegios
Para verificar tu superficie de ataque externa: 
nmap -p- YOUR_SERVER_IP
Solo el puerto 22 (SSH) debería estar abierto. Todos los demás servicios (gateway, Docker) quedan bloqueados. Docker se instala para los sandboxes de agentes (ejecución aislada de herramientas), no para ejecutar la propia gateway. Consulta Multi-Agent Sandbox and Tools para la configuración de sandbox.

Instalación manual

Si prefieres control manual sobre la automatización:
1

Instalar requisitos previos

sudo apt update && sudo apt install -y ansible git
2

Clonar el repositorio

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Instalar colecciones de Ansible

ansible-galaxy collection install -r requirements.yml
4

Ejecutar el playbook

./run-playbook.sh
Como alternativa, ejecútalo directamente y luego ejecuta manualmente el script de configuración:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Actualización

El instalador de Ansible configura OpenClaw para actualizaciones manuales. Consulta Updating para ver el flujo estándar de actualización. Para volver a ejecutar el playbook de Ansible (por ejemplo, para cambios de configuración): 
cd openclaw-ansible
./run-playbook.sh
Es idempotente y seguro ejecutarlo varias veces.

Solución de problemas

  • Asegúrate de poder acceder primero mediante la VPN Tailscale
  • El acceso SSH (puerto 22) siempre está permitido
  • La gateway es accesible solo por Tailscale por diseño
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
Asegúrate de estar ejecutando como el usuario openclaw:
sudo -i -u openclaw
openclaw channels login

Configuración avanzada

Para ver la arquitectura de seguridad detallada y la solución de problemas, consulta el repositorio openclaw-ansible:

Relacionado