Passer au contenu principal

Installation avec Ansible

Déployez OpenClaw sur des serveurs de production avec openclaw-ansible — un installeur automatisé avec une architecture axée sur la sécurité.
Le dépôt openclaw-ansible fait office de source de vérité pour le déploiement Ansible. Cette page en est un aperçu rapide.

Prérequis

ExigenceDétails
OSDebian 11+ ou Ubuntu 20.04+
AccèsPrivilèges root ou sudo
RéseauConnexion Internet pour l’installation des paquets
Ansible2.14+ (installé automatiquement par le script de démarrage rapide)

Ce que vous obtenez

  • Sécurité axée pare-feu — isolation UFW + Docker (seuls SSH + Tailscale sont accessibles)
  • VPN Tailscale — accès distant sécurisé sans exposition publique des services
  • Docker — conteneurs sandbox isolés, liaisons localhost uniquement
  • Défense en profondeur — architecture de sécurité à 4 couches
  • Intégration Systemd — démarrage automatique au boot avec durcissement
  • Configuration en une commande — déploiement complet en quelques minutes

Démarrage rapide

Installation en une commande : 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Ce qui est installé

Le playbook Ansible installe et configure :
  1. Tailscale — VPN maillé pour un accès distant sécurisé
  2. Pare-feu UFW — ports SSH + Tailscale uniquement
  3. Docker CE + Compose V2 — pour les sandboxes d’agent
  4. Node.js 24 + pnpm — dépendances d’exécution (Node 22 LTS, actuellement 22.14+, reste pris en charge)
  5. OpenClaw — basé sur l’hôte, non conteneurisé
  6. Service Systemd — démarrage automatique avec durcissement de sécurité
La passerelle s’exécute directement sur l’hôte (pas dans Docker), mais les sandboxes d’agent utilisent Docker pour l’isolation. Consultez Sandboxing pour plus de détails.

Configuration après installation

1

Basculer vers l’utilisateur openclaw

sudo -i -u openclaw
2

Exécuter l’assistant d’intégration guidée

Le script post-installation vous guide dans la configuration des paramètres OpenClaw.
3

Connecter les fournisseurs de messagerie

Connectez-vous à WhatsApp, Telegram, Discord ou Signal :
openclaw channels login
4

Vérifier l’installation

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Se connecter à Tailscale

Rejoignez votre réseau VPN maillé pour un accès distant sécurisé.

Commandes rapides

# Vérifier l’état du service
sudo systemctl status openclaw

# Voir les journaux en direct
sudo journalctl -u openclaw -f

# Redémarrer la passerelle
sudo systemctl restart openclaw

# Connexion fournisseur (à exécuter comme utilisateur openclaw)
sudo -i -u openclaw
openclaw channels login

Architecture de sécurité

Le déploiement utilise un modèle de défense à 4 couches :
  1. Pare-feu (UFW) — seuls SSH (22) + Tailscale (41641/udp) sont exposés publiquement
  2. VPN (Tailscale) — la passerelle est accessible uniquement via le maillage VPN
  3. Isolation Docker — la chaîne iptables DOCKER-USER empêche l’exposition externe des ports
  4. Durcissement Systemd — NoNewPrivileges, PrivateTmp, utilisateur non privilégié
Pour vérifier votre surface d’attaque externe : 
nmap -p- YOUR_SERVER_IP
Seul le port 22 (SSH) devrait être ouvert. Tous les autres services (passerelle, Docker) sont verrouillés. Docker est installé pour les sandboxes d’agent (exécution d’outils isolée), et non pour exécuter la passerelle elle-même. Consultez Multi-Agent Sandbox and Tools pour la configuration du sandbox.

Installation manuelle

Si vous préférez garder le contrôle manuel de l’automatisation :
1

Installer les prérequis

sudo apt update && sudo apt install -y ansible git
2

Cloner le dépôt

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Installer les collections Ansible

ansible-galaxy collection install -r requirements.yml
4

Exécuter le playbook

./run-playbook.sh
Sinon, exécutez directement puis lancez manuellement le script de configuration ensuite :
ansible-playbook playbook.yml --ask-become-pass
# Puis exécutez : /tmp/openclaw-setup.sh

Mise à jour

L’installeur Ansible configure OpenClaw pour des mises à jour manuelles. Consultez Mise à jour pour le flux standard de mise à jour. Pour relancer le playbook Ansible (par exemple pour des changements de configuration) : 
cd openclaw-ansible
./run-playbook.sh
C’est idempotent et sûr à exécuter plusieurs fois.

Dépannage

  • Assurez-vous d’abord de pouvoir accéder via le VPN Tailscale
  • L’accès SSH (port 22) est toujours autorisé
  • La passerelle n’est accessible que via Tailscale par conception
# Vérifier les journaux
sudo journalctl -u openclaw -n 100

# Vérifier les permissions
sudo ls -la /opt/openclaw

# Tester un démarrage manuel
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Vérifier que Docker fonctionne
sudo systemctl status docker

# Vérifier l’image sandbox
sudo docker images | grep openclaw-sandbox

# Construire l’image sandbox si absente
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
Assurez-vous d’exécuter la commande en tant qu’utilisateur openclaw :
sudo -i -u openclaw
openclaw channels login

Configuration avancée

Pour l’architecture de sécurité détaillée et le dépannage, consultez le dépôt openclaw-ansible :

Lié