Vai al contenuto principale

Installazione con Ansible

Esegui il deployment di OpenClaw su server di produzione con openclaw-ansible — un installer automatizzato con architettura orientata alla sicurezza.
Il repository openclaw-ansible è la fonte di verità per il deployment con Ansible. Questa pagina è una panoramica rapida.

Prerequisiti

RequisitoDettagli
OSDebian 11+ o Ubuntu 20.04+
AccessoPrivilegi root o sudo
ReteConnessione Internet per l’installazione dei pacchetti
Ansible2.14+ (installato automaticamente dallo script quick-start)

Cosa ottieni

  • Sicurezza firewall-first — isolamento UFW + Docker (accessibili solo SSH + Tailscale)
  • VPN Tailscale — accesso remoto sicuro senza esporre pubblicamente i servizi
  • Docker — container sandbox isolati, binding solo localhost
  • Difesa in profondità — architettura di sicurezza a 4 livelli
  • Integrazione con systemd — avvio automatico al boot con hardening
  • Configurazione con un solo comando — deployment completo in pochi minuti

Avvio rapido

Installazione con un solo comando: 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Cosa viene installato

Il playbook Ansible installa e configura:
  1. Tailscale — mesh VPN per accesso remoto sicuro
  2. Firewall UFW — solo porte SSH + Tailscale
  3. Docker CE + Compose V2 — per le sandbox degli agenti
  4. Node.js 24 + pnpm — dipendenze di runtime (Node 22 LTS, attualmente 22.14+, resta supportato)
  5. OpenClaw — basato su host, non containerizzato
  6. Servizio systemd — avvio automatico con hardening della sicurezza
Il gateway viene eseguito direttamente sull’host (non in Docker), ma le sandbox degli agenti usano Docker per l’isolamento. Vedi Sandboxing per i dettagli.

Configurazione post-installazione

1

Passa all'utente openclaw

sudo -i -u openclaw
2

Esegui la procedura guidata di onboarding

Lo script post-installazione ti guida nella configurazione delle impostazioni di OpenClaw.
3

Collega i provider di messaggistica

Accedi a WhatsApp, Telegram, Discord o Signal:
openclaw channels login
4

Verifica l'installazione

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Connettiti a Tailscale

Unisciti alla tua mesh VPN per un accesso remoto sicuro.

Comandi rapidi

# Controlla lo stato del servizio
sudo systemctl status openclaw

# Visualizza i log live
sudo journalctl -u openclaw -f

# Riavvia il gateway
sudo systemctl restart openclaw

# Login del provider (esegui come utente openclaw)
sudo -i -u openclaw
openclaw channels login

Architettura di sicurezza

Il deployment usa un modello di difesa a 4 livelli:
  1. Firewall (UFW) — solo SSH (22) + Tailscale (41641/udp) esposti pubblicamente
  2. VPN (Tailscale) — gateway accessibile solo tramite mesh VPN
  3. Isolamento Docker — la catena iptables DOCKER-USER impedisce l’esposizione di porte esterne
  4. Hardening systemd — NoNewPrivileges, PrivateTmp, utente non privilegiato
Per verificare la tua superficie di attacco esterna: 
nmap -p- YOUR_SERVER_IP
Solo la porta 22 (SSH) dovrebbe essere aperta. Tutti gli altri servizi (gateway, Docker) sono bloccati. Docker viene installato per le sandbox degli agenti (esecuzione isolata degli strumenti), non per eseguire il gateway stesso. Vedi Sandbox e strumenti multi-agente per la configurazione della sandbox.

Installazione manuale

Se preferisci avere controllo manuale sull’automazione:
1

Installa i prerequisiti

sudo apt update && sudo apt install -y ansible git
2

Clona il repository

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Installa le collection Ansible

ansible-galaxy collection install -r requirements.yml
4

Esegui il playbook

./run-playbook.sh
In alternativa, eseguilo direttamente e poi esegui manualmente lo script di configurazione:
ansible-playbook playbook.yml --ask-become-pass
# Poi esegui: /tmp/openclaw-setup.sh

Aggiornamento

L’installer Ansible configura OpenClaw per aggiornamenti manuali. Vedi Aggiornamento per il flusso di aggiornamento standard. Per rieseguire il playbook Ansible (ad esempio, per modifiche di configurazione): 
cd openclaw-ansible
./run-playbook.sh
È idempotente e sicuro da eseguire più volte.

Risoluzione dei problemi

  • Assicurati di poter accedere prima tramite VPN Tailscale
  • L’accesso SSH (porta 22) è sempre consentito
  • Il gateway è accessibile solo tramite Tailscale per progettazione
# Controlla i log
sudo journalctl -u openclaw -n 100

# Verifica i permessi
sudo ls -la /opt/openclaw

# Testa l'avvio manuale
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Verifica che Docker sia in esecuzione
sudo systemctl status docker

# Controlla l'immagine sandbox
sudo docker images | grep openclaw-sandbox

# Costruisci l'immagine sandbox se manca
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
Assicurati di essere in esecuzione come utente openclaw:
sudo -i -u openclaw
openclaw channels login

Configurazione avanzata

Per architettura di sicurezza dettagliata e risoluzione dei problemi, vedi il repository openclaw-ansible:

Correlati