Containers
Ansible
Déployez OpenClaw sur des serveurs de production avec openclaw-ansible -- un installateur automatisé avec une architecture axée sur la sécurité.
Prérequis
| Exigence | Détails |
|---|---|
| OS | Debian 11+ ou Ubuntu 20.04+ |
| Accès | Privilèges root ou sudo |
| Réseau | Connexion Internet pour l’installation des paquets |
| Ansible | 2.14+ (installé automatiquement par le script de démarrage rapide) |
Ce que vous obtenez
- Sécurité axée d’abord sur le pare-feu -- isolation UFW + Docker (seuls SSH + Tailscale sont accessibles)
- VPN Tailscale -- accès distant sécurisé sans exposer publiquement les services
- Docker -- conteneurs sandbox isolés, liaisons limitées à localhost
- Défense en profondeur -- architecture de sécurité à 4 couches
- Intégration systemd -- démarrage automatique au boot avec durcissement
- Installation en une seule commande -- déploiement complet en quelques minutes
Démarrage rapide
Installation en une seule commande :
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashCe qui est installé
Le playbook Ansible installe et configure :
- Tailscale -- VPN maillé pour un accès distant sécurisé
- Pare-feu UFW -- ports SSH + Tailscale uniquement
- Docker CE + Compose V2 -- pour le backend sandbox d’agent par défaut
- Node.js 24 + pnpm -- dépendances d’exécution (Node 22 LTS, actuellement
22.19+, reste pris en charge) - OpenClaw -- basé sur l’hôte, non conteneurisé
- Service systemd -- démarrage automatique avec durcissement de sécurité
Configuration après installation
Basculer vers l’utilisateur openclaw
sudo -i -u openclawExécuter l’assistant d’onboarding
Le script post-installation vous guide dans la configuration des paramètres OpenClaw.
Connecter les fournisseurs de messagerie
Connectez-vous à WhatsApp, Telegram, Discord ou Signal :
openclaw channels loginVérifier l’installation
sudo systemctl status openclawsudo journalctl -u openclaw -fSe connecter à Tailscale
Rejoignez votre maillage VPN pour un accès distant sécurisé.
Commandes rapides
# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels loginArchitecture de sécurité
Le déploiement utilise un modèle de défense à 4 couches :
- Pare-feu (UFW) -- seuls SSH (22) + Tailscale (41641/udp) sont exposés publiquement
- VPN (Tailscale) -- passerelle accessible uniquement via le maillage VPN
- Isolation Docker -- la chaîne iptables DOCKER-USER empêche l’exposition de ports externes
- Durcissement systemd -- NoNewPrivileges, PrivateTmp, utilisateur non privilégié
Pour vérifier votre surface d’attaque externe :
nmap -p- YOUR_SERVER_IPSeul le port 22 (SSH) devrait être ouvert. Tous les autres services (passerelle, Docker) sont verrouillés.
Docker est installé pour les sandboxes d’agents (exécution d’outils isolée), pas pour exécuter la passerelle elle-même. Consultez Multi-Agent Sandbox and Tools pour la configuration du sandbox.
Installation manuelle
Si vous préférez contrôler manuellement l’automatisation :
Installer les prérequis
sudo apt update && sudo apt install -y ansible gitCloner le dépôt
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstaller les collections Ansible
ansible-galaxy collection install -r requirements.ymlExécuter le playbook
./run-playbook.shVous pouvez aussi l’exécuter directement puis lancer manuellement le script de configuration ensuite :
ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.shMise à jour
L’installateur Ansible configure OpenClaw pour les mises à jour manuelles. Consultez Updating pour le flux de mise à jour standard.
Pour réexécuter le playbook Ansible (par exemple, pour des changements de configuration) :
cd openclaw-ansible./run-playbook.shCette opération est idempotente et peut être exécutée plusieurs fois sans risque.
Dépannage
Le pare-feu bloque ma connexion
- Assurez-vous d’abord de pouvoir accéder via le VPN Tailscale
- L’accès SSH (port 22) est toujours autorisé
- La passerelle est accessible uniquement via Tailscale par conception
Le service ne démarre pas
# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runProblèmes de sandbox Docker
# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupLa connexion au fournisseur échoue
Assurez-vous d’exécuter les commandes en tant qu’utilisateur openclaw :
sudo -i -u openclawopenclaw channels loginConfiguration avancée
Pour l’architecture de sécurité détaillée et le dépannage, consultez le dépôt openclaw-ansible :
Connexe
- openclaw-ansible -- guide de déploiement complet
- Docker -- configuration de passerelle conteneurisée
- Sandboxing -- configuration du sandbox d’agent
- Multi-Agent Sandbox and Tools -- isolation par agent