Containers
Ansible
Distribuisci OpenClaw su server di produzione con openclaw-ansible -- un installer automatizzato con un'architettura orientata prima di tutto alla sicurezza.
Prerequisiti
| Requisito | Dettagli |
|---|---|
| OS | Debian 11+ o Ubuntu 20.04+ |
| Accesso | Privilegi root o sudo |
| Rete | Connessione Internet per l'installazione dei pacchetti |
| Ansible | 2.14+ (installato automaticamente dallo script quick-start) |
Cosa ottieni
- Sicurezza firewall-first -- isolamento UFW + Docker (accessibili solo SSH + Tailscale)
- VPN Tailscale -- accesso remoto sicuro senza esporre pubblicamente i servizi
- Docker -- container sandbox isolati, binding solo su localhost
- Difesa in profondità -- architettura di sicurezza a 4 livelli
- Integrazione Systemd -- avvio automatico al boot con hardening
- Configurazione con un solo comando -- distribuzione completa in pochi minuti
Avvio rapido
Installazione con un solo comando:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashCosa viene installato
Il playbook Ansible installa e configura:
- Tailscale -- VPN mesh per accesso remoto sicuro
- Firewall UFW -- solo porte SSH + Tailscale
- Docker CE + Compose V2 -- per il backend sandbox dell'agente predefinito
- Node.js 24 + pnpm -- dipendenze di runtime (Node 22 LTS, attualmente
22.19+, resta supportato) - OpenClaw -- basato sull'host, non containerizzato
- Servizio Systemd -- avvio automatico con hardening di sicurezza
Configurazione post-installazione
Passa all'utente openclaw
sudo -i -u openclawEsegui la procedura guidata di onboarding
Lo script post-installazione ti guida nella configurazione delle impostazioni di OpenClaw.
Connetti i provider di messaggistica
Accedi a WhatsApp, Telegram, Discord o Signal:
openclaw channels loginVerifica l'installazione
sudo systemctl status openclawsudo journalctl -u openclaw -fConnettiti a Tailscale
Unisciti alla tua mesh VPN per l'accesso remoto sicuro.
Comandi rapidi
# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels loginArchitettura di sicurezza
La distribuzione usa un modello di difesa a 4 livelli:
- Firewall (UFW) -- solo SSH (22) + Tailscale (41641/udp) esposti pubblicamente
- VPN (Tailscale) -- gateway accessibile solo tramite mesh VPN
- Isolamento Docker -- la catena iptables DOCKER-USER impedisce l'esposizione di porte esterne
- Hardening Systemd -- NoNewPrivileges, PrivateTmp, utente non privilegiato
Per verificare la tua superficie di attacco esterna:
nmap -p- YOUR_SERVER_IPSolo la porta 22 (SSH) dovrebbe essere aperta. Tutti gli altri servizi (gateway, Docker) sono bloccati.
Docker viene installato per le sandbox degli agenti (esecuzione isolata degli strumenti), non per eseguire il gateway stesso. Vedi Multi-Agent Sandbox and Tools per la configurazione della sandbox.
Installazione manuale
Se preferisci il controllo manuale rispetto all'automazione:
Installa i prerequisiti
sudo apt update && sudo apt install -y ansible gitClona il repository
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstalla le collection Ansible
ansible-galaxy collection install -r requirements.ymlEsegui il playbook
./run-playbook.shIn alternativa, eseguilo direttamente e poi esegui manualmente lo script di configurazione:
ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.shAggiornamento
L'installer Ansible configura OpenClaw per gli aggiornamenti manuali. Vedi Aggiornamento per il flusso di aggiornamento standard.
Per rieseguire il playbook Ansible (per esempio, per modifiche di configurazione):
cd openclaw-ansible./run-playbook.shÈ idempotente e sicuro da eseguire più volte.
Risoluzione dei problemi
Il firewall blocca la mia connessione
- Assicurati di poter accedere prima tramite VPN Tailscale
- L'accesso SSH (porta 22) è sempre consentito
- Il gateway è accessibile solo tramite Tailscale per progettazione
Il servizio non si avvia
# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runProblemi con la sandbox Docker
# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupL'accesso al provider non riesce
Assicurati di essere in esecuzione come utente openclaw:
sudo -i -u openclawopenclaw channels loginConfigurazione avanzata
Per l'architettura di sicurezza dettagliata e la risoluzione dei problemi, vedi il repository openclaw-ansible:
Correlati
- openclaw-ansible -- guida completa alla distribuzione
- Docker -- configurazione del gateway containerizzato
- Sandboxing -- configurazione della sandbox degli agenti
- Multi-Agent Sandbox and Tools -- isolamento per agente