Przejdź do głównej treści

Instalacja Ansible

Wdróż OpenClaw na serwery produkcyjne za pomocą openclaw-ansible — zautomatyzowanego instalatora z architekturą stawiającą bezpieczeństwo na pierwszym miejscu.
Repozytorium openclaw-ansible jest źródłem prawdy dla wdrożeń Ansible. Ta strona to krótki przegląd.

Wymagania wstępne

WymaganieSzczegóły
OSDebian 11+ lub Ubuntu 20.04+
DostępUprawnienia root lub sudo
SiećPołączenie z internetem do instalacji pakietów
Ansible2.14+ (instalowany automatycznie przez skrypt szybkiego startu)

Co otrzymujesz

  • Bezpieczeństwo stawiające na zaporę — UFW + izolacja Docker (publicznie dostępne tylko SSH + Tailscale)
  • VPN Tailscale — bezpieczny zdalny dostęp bez publicznego wystawiania usług
  • Docker — izolowane kontenery sandbox, powiązania tylko z localhost
  • Defence in depth — 4-warstwowa architektura bezpieczeństwa
  • Integracja z Systemd — automatyczny start przy uruchomieniu z utwardzaniem
  • Konfiguracja jednym poleceniem — pełne wdrożenie w kilka minut

Szybki start

Instalacja jednym poleceniem: 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Co zostanie zainstalowane

Playbook Ansible instaluje i konfiguruje:
  1. Tailscale — mesh VPN do bezpiecznego zdalnego dostępu
  2. Zapora UFW — tylko porty SSH + Tailscale
  3. Docker CE + Compose V2 — dla sandboxów agentów
  4. Node.js 24 + pnpm — zależności środowiska uruchomieniowego (Node 22 LTS, obecnie 22.14+, nadal jest obsługiwany)
  5. OpenClaw — hostowane bezpośrednio, bez konteneryzacji
  6. Usługa Systemd — automatyczny start z utwardzaniem bezpieczeństwa
Gateway działa bezpośrednio na hoście (nie w Docker), ale sandboxy agentów używają Docker do izolacji. Szczegóły znajdziesz w Sandboxing.

Konfiguracja po instalacji

1

Przełącz się na użytkownika openclaw

sudo -i -u openclaw
2

Uruchom kreator onboardingu

Skrypt po instalacji przeprowadzi Cię przez konfigurację ustawień OpenClaw.
3

Połącz dostawców wiadomości

Zaloguj się do WhatsApp, Telegram, Discord lub Signal:
openclaw channels login
4

Zweryfikuj instalację

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Połącz się z Tailscale

Dołącz do swojej siatki VPN, aby uzyskać bezpieczny zdalny dostęp.

Szybkie polecenia

# Sprawdź stan usługi
sudo systemctl status openclaw

# Wyświetl logi na żywo
sudo journalctl -u openclaw -f

# Zrestartuj gateway
sudo systemctl restart openclaw

# Logowanie dostawcy (uruchom jako użytkownik openclaw)
sudo -i -u openclaw
openclaw channels login

Architektura bezpieczeństwa

Wdrożenie wykorzystuje 4-warstwowy model obrony:
  1. Zapora (UFW) — publicznie wystawione tylko SSH (22) + Tailscale (41641/udp)
  2. VPN (Tailscale) — gateway dostępny tylko przez siatkę VPN
  3. Izolacja Docker — łańcuch iptables DOCKER-USER zapobiega zewnętrznemu wystawieniu portów
  4. Utwardzanie Systemd — NoNewPrivileges, PrivateTmp, użytkownik bez uprawnień
Aby zweryfikować zewnętrzną powierzchnię ataku: 
nmap -p- YOUR_SERVER_IP
Otwarty powinien być tylko port 22 (SSH). Wszystkie pozostałe usługi (gateway, Docker) są zablokowane. Docker jest instalowany dla sandboxów agentów (izolowane wykonywanie narzędzi), a nie do uruchamiania samego gateway. Zobacz Multi-Agent Sandbox and Tools, aby poznać konfigurację sandboxa.

Instalacja ręczna

Jeśli wolisz ręcznie kontrolować automatyzację:
1

Zainstaluj wymagania wstępne

sudo apt update && sudo apt install -y ansible git
2

Sklonuj repozytorium

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Zainstaluj kolekcje Ansible

ansible-galaxy collection install -r requirements.yml
4

Uruchom playbook

./run-playbook.sh
Alternatywnie uruchom go bezpośrednio, a potem ręcznie wykonaj skrypt konfiguracji:
ansible-playbook playbook.yml --ask-become-pass
# Następnie uruchom: /tmp/openclaw-setup.sh

Aktualizowanie

Instalator Ansible konfiguruje OpenClaw do ręcznych aktualizacji. Standardowy przepływ aktualizacji znajdziesz w Updating. Aby ponownie uruchomić playbook Ansible (na przykład przy zmianach konfiguracji): 
cd openclaw-ansible
./run-playbook.sh
Jest to idempotentne i bezpieczne do wielokrotnego uruchamiania.

Rozwiązywanie problemów

  • Najpierw upewnij się, że masz dostęp przez VPN Tailscale
  • Dostęp SSH (port 22) jest zawsze dozwolony
  • Gateway jest celowo dostępny tylko przez Tailscale
# Sprawdź logi
sudo journalctl -u openclaw -n 100

# Zweryfikuj uprawnienia
sudo ls -la /opt/openclaw

# Przetestuj ręczny start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Zweryfikuj, że Docker działa
sudo systemctl status docker

# Sprawdź obraz sandboxa
sudo docker images | grep openclaw-sandbox

# Zbuduj obraz sandboxa, jeśli go brakuje
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
Upewnij się, że działasz jako użytkownik openclaw:
sudo -i -u openclaw
openclaw channels login

Konfiguracja zaawansowana

Szczegółową architekturę bezpieczeństwa i informacje o rozwiązywaniu problemów znajdziesz w repozytorium openclaw-ansible:

Powiązane