Containers
Ansible
OpenClaw を openclaw-ansible で本番サーバーにデプロイします -- セキュリティ優先のアーキテクチャを備えた自動インストーラーです。
前提条件
| 要件 | 詳細 |
|---|---|
| OS | Debian 11+ または Ubuntu 20.04+ |
| アクセス | root または sudo 権限 |
| ネットワーク | パッケージインストール用のインターネット接続 |
| Ansible | 2.14+(クイックスタートスクリプトで自動インストール) |
得られるもの
- ファイアウォール優先のセキュリティ -- UFW + Docker 分離(SSH + Tailscale のみアクセス可能)
- Tailscale VPN -- サービスを公開せずに安全なリモートアクセスを提供
- Docker -- 分離されたサンドボックスコンテナ、localhost のみのバインディング
- 多層防御 -- 4 層のセキュリティアーキテクチャ
- Systemd 連携 -- ハードニング付きで起動時に自動開始
- ワンコマンドセットアップ -- 数分で完全なデプロイ
クイックスタート
ワンコマンドインストール:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashインストールされるもの
Ansible playbook は次をインストールして設定します。
- Tailscale -- 安全なリモートアクセス用のメッシュ VPN
- UFW ファイアウォール -- SSH + Tailscale ポートのみ
- Docker CE + Compose V2 -- デフォルトのエージェントサンドボックスバックエンド用
- Node.js 24 + pnpm -- ランタイム依存関係(Node 22 LTS、現在は
22.19+、引き続きサポート) - OpenClaw -- ホストベース、コンテナ化なし
- Systemd サービス -- セキュリティハードニング付きで自動開始
インストール後のセットアップ
Switch to the openclaw user
sudo -i -u openclawRun the onboarding wizard
インストール後スクリプトが OpenClaw 設定の構成を案内します。
Connect messaging providers
WhatsApp、Telegram、Discord、または Signal にログインします。
openclaw channels loginVerify the installation
sudo systemctl status openclawsudo journalctl -u openclaw -fConnect to Tailscale
安全なリモートアクセスのために VPN メッシュへ参加します。
クイックコマンド
# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels loginセキュリティアーキテクチャ
このデプロイは 4 層の防御モデルを使用します。
- ファイアウォール(UFW) -- SSH(22)+ Tailscale(41641/udp)のみを公開
- VPN(Tailscale) -- ゲートウェイは VPN メッシュ経由でのみアクセス可能
- Docker 分離 -- DOCKER-USER iptables チェーンが外部ポート公開を防止
- Systemd ハードニング -- NoNewPrivileges、PrivateTmp、非特権ユーザー
外部攻撃面を確認するには:
nmap -p- YOUR_SERVER_IPポート 22(SSH)のみが開いている必要があります。その他すべてのサービス(ゲートウェイ、Docker)はロックダウンされます。
Docker はエージェントサンドボックス(分離されたツール実行)のためにインストールされ、ゲートウェイ自体を実行するためではありません。サンドボックス設定については マルチエージェントサンドボックスとツール を参照してください。
手動インストール
自動化よりも手動で制御したい場合:
Install prerequisites
sudo apt update && sudo apt install -y ansible gitClone the repository
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstall Ansible collections
ansible-galaxy collection install -r requirements.ymlRun the playbook
./run-playbook.shまたは、直接実行してから、その後にセットアップスクリプトを手動で実行します。
ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh更新
Ansible インストーラーは、手動更新向けに OpenClaw をセットアップします。標準の更新フローについては 更新 を参照してください。
Ansible playbook を再実行するには(たとえば、設定変更のため):
cd openclaw-ansible./run-playbook.shこれは冪等であり、複数回実行しても安全です。
トラブルシューティング
Firewall blocks my connection
- まず Tailscale VPN 経由でアクセスできることを確認します
- SSH アクセス(ポート 22)は常に許可されます
- ゲートウェイは設計上、Tailscale 経由でのみアクセス可能です
Service will not start
# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runDocker sandbox issues
# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupProvider login fails
openclaw ユーザーとして実行していることを確認してください。
sudo -i -u openclawopenclaw channels login高度な設定
詳細なセキュリティアーキテクチャとトラブルシューティングについては、openclaw-ansible リポジトリを参照してください。
関連
- openclaw-ansible -- 完全なデプロイガイド
- Docker -- コンテナ化されたゲートウェイセットアップ
- サンドボックス化 -- エージェントサンドボックス設定
- マルチエージェントサンドボックスとツール -- エージェントごとの分離