Instalación con Ansible
Despliega OpenClaw en servidores de producción con openclaw-ansible: un instalador automatizado con arquitectura centrada en la seguridad.El repositorio openclaw-ansible es la fuente de verdad para el despliegue con Ansible. Esta página es una visión general rápida.
Requisitos previos
| Requisito | Detalles |
|---|---|
| SO | Debian 11+ o Ubuntu 20.04+ |
| Acceso | Privilegios de root o sudo |
| Red | Conexión a Internet para la instalación de paquetes |
| Ansible | 2.14+ (instalado automáticamente por el script de inicio rápido) |
Qué obtienes
- Seguridad centrada en firewall: aislamiento con UFW + Docker (solo SSH + Tailscale accesibles)
- VPN de Tailscale: acceso remoto seguro sin exponer servicios públicamente
- Docker: contenedores sandbox aislados, bindings solo en localhost
- Defensa en profundidad: arquitectura de seguridad de 4 capas
- Integración con systemd: inicio automático al arrancar con refuerzo de seguridad
- Configuración con un solo comando: despliegue completo en minutos
Inicio rápido
Instalación con un solo comando:Qué se instala
El playbook de Ansible instala y configura:- Tailscale: VPN mesh para acceso remoto seguro
- Firewall UFW: solo puertos SSH + Tailscale
- Docker CE + Compose V2: para el backend sandbox predeterminado del agente
- Node.js 24 + pnpm: dependencias de runtime (Node 22 LTS, actualmente
22.14+, sigue siendo compatible) - OpenClaw: basado en host, no en contenedor
- Servicio systemd: inicio automático con refuerzo de seguridad
El gateway se ejecuta directamente en el host (no en Docker). El sandboxing de agentes es
opcional; este playbook instala Docker porque es el backend sandbox
predeterminado. Consulta Sandboxing para ver detalles y otros backends.
Configuración posterior a la instalación
Ejecuta el asistente de incorporación
El script posterior a la instalación te guía para configurar los ajustes de OpenClaw.
Comandos rápidos
Arquitectura de seguridad
El despliegue usa un modelo de defensa de 4 capas:- Firewall (UFW): solo SSH (22) + Tailscale (41641/udp) expuestos públicamente
- VPN (Tailscale): el gateway es accesible solo a través de la malla VPN
- Aislamiento con Docker: la cadena iptables DOCKER-USER evita la exposición externa de puertos
- Refuerzo con systemd: NoNewPrivileges, PrivateTmp, usuario sin privilegios
Instalación manual
Si prefieres control manual sobre la automatización:Actualización
El instalador de Ansible configura OpenClaw para actualizaciones manuales. Consulta Actualización para el flujo estándar de actualización. Para volver a ejecutar el playbook de Ansible (por ejemplo, para cambios de configuración):Solución de problemas
El firewall bloquea mi conexión
El firewall bloquea mi conexión
- Asegúrate de poder acceder primero por la VPN de Tailscale
- El acceso SSH (puerto 22) siempre está permitido
- El gateway solo es accesible por Tailscale por diseño
El servicio no inicia
El servicio no inicia
Problemas con el sandbox de Docker
Problemas con el sandbox de Docker
Falla el inicio de sesión del proveedor
Falla el inicio de sesión del proveedor
Asegúrate de estar ejecutando como el usuario
openclaw:Configuración avanzada
Para ver la arquitectura de seguridad detallada y la solución de problemas, consulta el repositorio openclaw-ansible:Relacionado
- openclaw-ansible — guía completa de despliegue
- Docker — configuración del gateway en contenedor
- Sandboxing — configuración del sandbox del agente
- Sandbox y herramientas multiagente — aislamiento por agente