メインコンテンツへスキップ

Ansibleインストール

本番サーバーにOpenClawをデプロイするには、openclaw-ansible を使用します。これは、セキュリティファーストのアーキテクチャを備えた自動インストーラーです。
Ansibleデプロイの信頼できる情報源は openclaw-ansible リポジトリです。このページは簡単な概要です。

前提条件

RequirementDetails
OSDebian 11+ または Ubuntu 20.04+
Accessroot または sudo 権限
Networkパッケージインストール用のインターネット接続
Ansible2.14+ (クイックスタートスクリプトによって自動インストールされます)

導入されるもの

  • ファイアウォール優先のセキュリティ — UFW + Docker分離(SSH + Tailscaleのみアクセス可能)
  • Tailscale VPN — サービスを公開せずに安全なリモートアクセス
  • Docker — 分離されたサンドボックスコンテナ、localhost専用バインド
  • 多層防御 — 4層のセキュリティアーキテクチャ
  • Systemd統合 — ハードニング付きで起動時に自動開始
  • ワンコマンドセットアップ — 数分で完全デプロイ

クイックスタート

ワンコマンドインストール: 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

インストールされる内容

Ansible playbookは次をインストールして設定します:
  1. Tailscale — 安全なリモートアクセスのためのメッシュVPN
  2. UFW firewall — SSH + Tailscaleポートのみ
  3. Docker CE + Compose V2 — エージェントサンドボックス用
  4. Node.js 24 + pnpm — ランタイム依存関係(Node 22 LTS、現在 22.14+、も引き続きサポート)
  5. OpenClaw — コンテナ化ではなくホストベース
  6. Systemd service — セキュリティハードニング付き自動起動
gatewayはDocker内ではなくホスト上で直接実行されますが、エージェントサンドボックスは分離のためにDockerを使用します。詳細は サンドボックス化 を参照してください。

インストール後のセットアップ

1

openclawユーザーに切り替える

sudo -i -u openclaw
2

オンボーディングウィザードを実行する

インストール後スクリプトが、OpenClaw設定の構成を案内します。
3

メッセージングプロバイダーを接続する

WhatsApp、Telegram、Discord、またはSignalにログインします:
openclaw channels login
4

インストールを確認する

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Tailscaleに接続する

安全なリモートアクセスのためにVPNメッシュに参加します。

クイックコマンド

# サービス状態を確認
sudo systemctl status openclaw

# ライブログを表示
sudo journalctl -u openclaw -f

# gatewayを再起動
sudo systemctl restart openclaw

# プロバイダーログイン(openclawユーザーとして実行)
sudo -i -u openclaw
openclaw channels login

セキュリティアーキテクチャ

このデプロイは4層の防御モデルを使用します:
  1. ファイアウォール(UFW) — SSH(22)+ Tailscale(41641/udp)のみを公開
  2. VPN(Tailscale) — gatewayはVPNメッシュ経由でのみアクセス可能
  3. Docker分離 — DOCKER-USER iptablesチェーンが外部ポート公開を防止
  4. Systemdハードニング — NoNewPrivileges、PrivateTmp、非特権ユーザー
外部攻撃面を確認するには: 
nmap -p- YOUR_SERVER_IP
開いているべきなのはポート22(SSH)のみです。ほかのすべてのサービス(gateway、Docker)はロックダウンされます。 Dockerはgateway自体を実行するためではなく、エージェントサンドボックス(分離されたツール実行)のためにインストールされます。サンドボックス設定については Multi-Agent Sandbox and Tools を参照してください。

手動インストール

自動化よりも手動で制御したい場合:
1

前提パッケージをインストールする

sudo apt update && sudo apt install -y ansible git
2

リポジトリをcloneする

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Ansibleコレクションをインストールする

ansible-galaxy collection install -r requirements.yml
4

playbookを実行する

./run-playbook.sh
あるいは、直接実行してから後でセットアップスクリプトを手動実行することもできます:
ansible-playbook playbook.yml --ask-become-pass
# 次に実行: /tmp/openclaw-setup.sh

更新

Ansibleインストーラーは、OpenClawを手動更新できるように設定します。標準の更新フローについては Updating を参照してください。 Ansible playbookを再実行するには(たとえば設定変更のため): 
cd openclaw-ansible
./run-playbook.sh
これは冪等であり、複数回実行しても安全です。

トラブルシューティング

  • まずTailscale VPN経由でアクセスできることを確認してください
  • SSHアクセス(ポート22)は常に許可されます
  • gatewayは設計上、Tailscale経由でのみアクセス可能です
# ログを確認
sudo journalctl -u openclaw -n 100

# 権限を確認
sudo ls -la /opt/openclaw

# 手動起動をテスト
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Dockerが動作していることを確認
sudo systemctl status docker

# サンドボックスイメージを確認
sudo docker images | grep openclaw-sandbox

# なければサンドボックスイメージをビルド
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
openclaw ユーザーとして実行していることを確認してください:
sudo -i -u openclaw
openclaw channels login

高度な設定

詳細なセキュリティアーキテクチャとトラブルシューティングについては、openclaw-ansibleリポジトリを参照してください:

関連