Ansible

OpenClaw را با openclaw-ansible روی سرورهای تولید مستقر کنید -- یک نصب‌کننده خودکار با معماری امنیت‌محور.

پیش‌نیازها

چه چیزی دریافت می‌کنید

• امنیت با اولویت فایروال -- UFW + ایزوله‌سازی Docker (فقط SSH + Tailscale در دسترس)
• Tailscale VPN -- دسترسی راه دور امن بدون عمومی‌کردن سرویس‌ها
• Docker -- کانتینرهای سندباکس ایزوله، اتصال‌های فقط localhost
• دفاع چندلایه -- معماری امنیتی ۴ لایه
• یکپارچه‌سازی با Systemd -- شروع خودکار هنگام راه‌اندازی با سخت‌سازی امنیتی
• راه‌اندازی با یک فرمان -- استقرار کامل در چند دقیقه

شروع سریع

نصب با یک فرمان:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

چه چیزهایی نصب می‌شود

پلی‌بوک Ansible این موارد را نصب و پیکربندی می‌کند:

1. Tailscale -- VPN مش برای دسترسی راه دور امن
2. فایروال UFW -- فقط پورت‌های SSH + Tailscale
3. Docker CE + Compose V2 -- برای بک‌اند پیش‌فرض سندباکس عامل
4. Node.js 24 + pnpm -- وابستگی‌های زمان اجرا (Node 22 LTS، در حال حاضر 22.16+، همچنان پشتیبانی می‌شود)
5. OpenClaw -- مبتنی بر میزبان، نه کانتینری‌شده
6. سرویس Systemd -- شروع خودکار با سخت‌سازی امنیتی

راه‌اندازی پس از نصب

sudo -i -u openclaw

openclaw channels login

sudo systemctl status openclawsudo journalctl -u openclaw -f

فرمان‌های سریع

# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

معماری امنیتی

استقرار از یک مدل دفاعی ۴ لایه استفاده می‌کند:

1. فایروال (UFW) -- فقط SSH (22) + Tailscale (41641/udp) به‌صورت عمومی در معرض دسترس است
2. VPN (Tailscale) -- Gateway فقط از طریق مش VPN در دسترس است
3. ایزوله‌سازی Docker -- زنجیره iptables با نام DOCKER-USER از در معرض قرار گرفتن پورت‌های خارجی جلوگیری می‌کند
4. سخت‌سازی Systemd -- NoNewPrivileges، PrivateTmp، کاربر بدون امتیاز

برای بررسی سطح حمله خارجی خود:

nmap -p- YOUR_SERVER_IP

فقط پورت 22 (SSH) باید باز باشد. همه سرویس‌های دیگر (Gateway، Docker) قفل شده‌اند.

Docker برای سندباکس‌های عامل نصب می‌شود (اجرای ایزوله ابزار)، نه برای اجرای خود Gateway. برای پیکربندی سندباکس، سندباکس و ابزارهای چندعاملی را ببینید.

نصب دستی

اگر کنترل دستی را به خودکارسازی ترجیح می‌دهید:

sudo apt update && sudo apt install -y ansible git

git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible

ansible-galaxy collection install -r requirements.yml

./run-playbook.sh

ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh

به‌روزرسانی

نصب‌کننده Ansible، OpenClaw را برای به‌روزرسانی‌های دستی آماده می‌کند. برای جریان استاندارد به‌روزرسانی، به‌روزرسانی را ببینید.

برای اجرای دوباره پلی‌بوک Ansible (برای مثال، برای تغییرات پیکربندی):

cd openclaw-ansible./run-playbook.sh

این فرایند idempotent است و اجرای چندباره آن امن است.

عیب‌یابی

# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run

# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup

sudo -i -u openclawopenclaw channels login

پیکربندی پیشرفته

برای معماری امنیتی دقیق و عیب‌یابی، مخزن openclaw-ansible را ببینید:

• معماری امنیتی
• جزئیات فنی
• راهنمای عیب‌یابی

مرتبط

• openclaw-ansible -- راهنمای کامل استقرار
• Docker -- راه‌اندازی Gateway کانتینری‌شده
• سندباکس‌کردن -- پیکربندی سندباکس عامل
• سندباکس و ابزارهای چندعاملی -- ایزوله‌سازی برای هر عامل