Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Déployez OpenClaw sur des serveurs de production avec openclaw-ansible — un installateur automatisé doté d’une architecture axée sur la sécurité.
Le dépôt openclaw-ansible est la source de vérité pour le déploiement Ansible. Cette page en donne un aperçu rapide.

Prérequis

ExigenceDétails
OSDebian 11+ ou Ubuntu 20.04+
AccèsPrivilèges root ou sudo
RéseauConnexion Internet pour l’installation des paquets
Ansible2.14+ (installé automatiquement par le script de démarrage rapide)

Ce que vous obtenez

  • Sécurité axée sur le pare-feu — isolation UFW + Docker (seuls SSH + Tailscale sont accessibles)
  • VPN Tailscale — accès distant sécurisé sans exposer publiquement les services
  • Docker — conteneurs sandbox isolés, liaisons uniquement sur localhost
  • Défense en profondeur — architecture de sécurité à 4 couches
  • Intégration Systemd — démarrage automatique au boot avec durcissement
  • Configuration en une commande — déploiement complet en quelques minutes

Démarrage rapide

Installation en une commande : 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Ce qui est installé

Le playbook Ansible installe et configure :
  1. Tailscale — VPN maillé pour un accès distant sécurisé
  2. Pare-feu UFW — ports SSH + Tailscale uniquement
  3. Docker CE + Compose V2 — pour le backend de sandbox d’agent par défaut
  4. Node.js 24 + pnpm — dépendances d’exécution (Node 22 LTS, actuellement 22.16+, reste pris en charge)
  5. OpenClaw — hébergé sur l’hôte, non conteneurisé
  6. Service Systemd — démarrage automatique avec durcissement de sécurité
Le Gateway s’exécute directement sur l’hôte (pas dans Docker). Le sandboxing des agents est facultatif ; ce playbook installe Docker parce qu’il s’agit du backend de sandbox par défaut. Consultez Sandboxing pour plus de détails et d’autres backends.

Configuration après installation

1

Basculer vers l’utilisateur openclaw

sudo -i -u openclaw
2

Exécuter l’assistant d’onboarding

Le script de post-installation vous guide dans la configuration des paramètres OpenClaw.
3

Connecter les fournisseurs de messagerie

Connectez-vous à WhatsApp, Telegram, Discord ou Signal :
openclaw channels login
4

Vérifier l’installation

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Se connecter à Tailscale

Rejoignez votre maillage VPN pour un accès distant sécurisé.

Commandes rapides

# Vérifier l’état du service
sudo systemctl status openclaw

# Afficher les journaux en direct
sudo journalctl -u openclaw -f

# Redémarrer le gateway
sudo systemctl restart openclaw

# Connexion au fournisseur (à exécuter en tant qu’utilisateur openclaw)
sudo -i -u openclaw
openclaw channels login

Architecture de sécurité

Le déploiement utilise un modèle de défense à 4 couches :
  1. Pare-feu (UFW) — seuls SSH (22) + Tailscale (41641/udp) sont exposés publiquement
  2. VPN (Tailscale) — gateway accessible uniquement via le maillage VPN
  3. Isolation Docker — la chaîne iptables DOCKER-USER empêche l’exposition de ports externes
  4. Durcissement Systemd — NoNewPrivileges, PrivateTmp, utilisateur non privilégié
Pour vérifier votre surface d’attaque externe : 
nmap -p- YOUR_SERVER_IP
Seul le port 22 (SSH) devrait être ouvert. Tous les autres services (gateway, Docker) sont verrouillés. Docker est installé pour les sandboxes d’agents (exécution d’outils isolée), pas pour exécuter le gateway lui-même. Consultez Sandbox multi-agent et outils pour la configuration du sandbox.

Installation manuelle

Si vous préférez un contrôle manuel plutôt que l’automatisation :
1

Installer les prérequis

sudo apt update && sudo apt install -y ansible git
2

Cloner le dépôt

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Installer les collections Ansible

ansible-galaxy collection install -r requirements.yml
4

Exécuter le playbook

./run-playbook.sh
Vous pouvez aussi l’exécuter directement, puis lancer manuellement le script de configuration ensuite :
ansible-playbook playbook.yml --ask-become-pass
# Puis exécuter : /tmp/openclaw-setup.sh

Mise à jour

L’installateur Ansible configure OpenClaw pour les mises à jour manuelles. Consultez Mise à jour pour le flux de mise à jour standard. Pour relancer le playbook Ansible (par exemple, pour des changements de configuration) : 
cd openclaw-ansible
./run-playbook.sh
Cette opération est idempotente et peut être exécutée plusieurs fois en toute sécurité.

Dépannage

  • Assurez-vous d’abord de pouvoir accéder via le VPN Tailscale
  • L’accès SSH (port 22) est toujours autorisé
  • Le gateway est accessible uniquement via Tailscale par conception
# Vérifier les journaux
sudo journalctl -u openclaw -n 100

# Vérifier les autorisations
sudo ls -la /opt/openclaw

# Tester le démarrage manuel
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Vérifier que Docker est en cours d’exécution
sudo systemctl status docker

# Vérifier l’image de sandbox
sudo docker images | grep openclaw-sandbox

# Construire l’image de sandbox si elle manque (nécessite un checkout des sources)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# Pour les installations npm sans checkout des sources, consultez
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
Assurez-vous d’exécuter la commande en tant qu’utilisateur openclaw :
sudo -i -u openclaw
openclaw channels login

Configuration avancée

Pour une architecture de sécurité détaillée et le dépannage, consultez le dépôt openclaw-ansible :

Articles connexes