Containers
Ansible
Despliega OpenClaw en servidores de producción con openclaw-ansible, un instalador automatizado con una arquitectura centrada en la seguridad.
Requisitos previos
| Requisito | Detalles |
|---|---|
| SO | Debian 11+ o Ubuntu 20.04+ |
| Acceso | Privilegios de root o sudo |
| Red | Conexión a Internet para la instalación de paquetes |
| Ansible | 2.14+ (instalado automáticamente por el script de inicio rápido) |
Qué obtienes
- Seguridad con firewall primero -- aislamiento con UFW + Docker (solo SSH + Tailscale accesibles)
- VPN Tailscale -- acceso remoto seguro sin exponer servicios públicamente
- Docker -- contenedores de sandbox aislados, enlaces solo a localhost
- Defensa en profundidad -- arquitectura de seguridad de 4 capas
- Integración con systemd -- inicio automático al arrancar con hardening
- Configuración con un solo comando -- despliegue completo en minutos
Inicio rápido
Instalación con un solo comando:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashQué se instala
El playbook de Ansible instala y configura:
- Tailscale -- VPN de malla para acceso remoto seguro
- Firewall UFW -- solo puertos SSH + Tailscale
- Docker CE + Compose V2 -- para el backend de sandbox de agente predeterminado
- Node.js 24 + pnpm -- dependencias de runtime (Node 22 LTS, actualmente
22.19+, sigue siendo compatible) - OpenClaw -- basado en el host, no en contenedores
- Servicio systemd -- inicio automático con hardening de seguridad
Configuración posterior a la instalación
Cambiar al usuario openclaw
sudo -i -u openclawEjecutar el asistente de incorporación
El script posterior a la instalación te guía para configurar los ajustes de OpenClaw.
Conectar proveedores de mensajería
Inicia sesión en WhatsApp, Telegram, Discord o Signal:
openclaw channels loginVerificar la instalación
sudo systemctl status openclawsudo journalctl -u openclaw -fConectarse a Tailscale
Únete a tu malla VPN para acceso remoto seguro.
Comandos rápidos
# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels loginArquitectura de seguridad
El despliegue usa un modelo de defensa de 4 capas:
- Firewall (UFW) -- solo SSH (22) + Tailscale (41641/udp) expuestos públicamente
- VPN (Tailscale) -- gateway accesible solo mediante la malla VPN
- Aislamiento de Docker -- la cadena iptables DOCKER-USER evita la exposición externa de puertos
- Hardening de systemd -- NoNewPrivileges, PrivateTmp, usuario sin privilegios
Para verificar tu superficie de ataque externa:
nmap -p- YOUR_SERVER_IPSolo el puerto 22 (SSH) debería estar abierto. Todos los demás servicios (gateway, Docker) están bloqueados.
Docker se instala para los sandboxes de agentes (ejecución aislada de herramientas), no para ejecutar el gateway en sí. Consulta Sandbox y herramientas multiagente para la configuración del sandbox.
Instalación manual
Si prefieres control manual sobre la automatización:
Instalar requisitos previos
sudo apt update && sudo apt install -y ansible gitClonar el repositorio
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstalar colecciones de Ansible
ansible-galaxy collection install -r requirements.ymlEjecutar el playbook
./run-playbook.shTambién puedes ejecutarlo directamente y luego ejecutar manualmente el script de configuración:
ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.shActualización
El instalador de Ansible configura OpenClaw para actualizaciones manuales. Consulta Actualizar para el flujo de actualización estándar.
Para volver a ejecutar el playbook de Ansible (por ejemplo, para cambios de configuración):
cd openclaw-ansible./run-playbook.shEs idempotente y seguro ejecutarlo varias veces.
Solución de problemas
El firewall bloquea mi conexión
- Asegúrate primero de poder acceder mediante la VPN Tailscale
- El acceso SSH (puerto 22) siempre está permitido
- El gateway solo es accesible mediante Tailscale por diseño
El servicio no se inicia
# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runProblemas con el sandbox de Docker
# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupFalla el inicio de sesión del proveedor
Asegúrate de ejecutarlo como el usuario openclaw:
sudo -i -u openclawopenclaw channels loginConfiguración avanzada
Para ver la arquitectura de seguridad detallada y la solución de problemas, consulta el repositorio openclaw-ansible:
Relacionado
- openclaw-ansible -- guía completa de despliegue
- Docker -- configuración de gateway en contenedores
- Sandboxing -- configuración de sandbox de agentes
- Sandbox y herramientas multiagente -- aislamiento por agente