Containers
Ansible
Wdróż OpenClaw na serwerach produkcyjnych za pomocą openclaw-ansible -- zautomatyzowanego instalatora o architekturze nastawionej przede wszystkim na bezpieczeństwo.
Wymagania wstępne
| Wymaganie | Szczegóły |
|---|---|
| OS | Debian 11+ lub Ubuntu 20.04+ |
| Dostęp | Uprawnienia root lub sudo |
| Sieć | Połączenie z internetem do instalacji pakietów |
| Ansible | 2.14+ (instalowany automatycznie przez skrypt szybkiego startu) |
Co otrzymujesz
- Bezpieczeństwo z priorytetem zapory -- izolacja UFW + Docker (dostępne tylko SSH + Tailscale)
- VPN Tailscale -- bezpieczny zdalny dostęp bez publicznego wystawiania usług
- Docker -- izolowane kontenery piaskownicy, powiązania tylko z localhost
- Obrona wielowarstwowa -- 4-warstwowa architektura bezpieczeństwa
- Integracja z Systemd -- automatyczne uruchamianie przy starcie z utwardzeniem
- Konfiguracja jednym poleceniem -- pełne wdrożenie w kilka minut
Szybki start
Instalacja jednym poleceniem:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashCo zostanie zainstalowane
Playbook Ansible instaluje i konfiguruje:
- Tailscale -- mesh VPN do bezpiecznego zdalnego dostępu
- Zapora UFW -- tylko porty SSH + Tailscale
- Docker CE + Compose V2 -- dla domyślnego backendu piaskownicy agenta
- Node.js 24 + pnpm -- zależności środowiska uruchomieniowego (Node 22 LTS, obecnie
22.19+, nadal jest obsługiwany) - OpenClaw -- uruchamiany na hoście, nie w kontenerze
- Usługa Systemd -- automatyczny start z utwardzeniem bezpieczeństwa
Konfiguracja po instalacji
Switch to the openclaw user
sudo -i -u openclawRun the onboarding wizard
Skrypt poinstalacyjny przeprowadzi Cię przez konfigurację ustawień OpenClaw.
Connect messaging providers
Zaloguj się do WhatsApp, Telegram, Discord lub Signal:
openclaw channels loginVerify the installation
sudo systemctl status openclawsudo journalctl -u openclaw -fConnect to Tailscale
Dołącz do swojej siatki VPN, aby uzyskać bezpieczny zdalny dostęp.
Szybkie polecenia
# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels loginArchitektura bezpieczeństwa
Wdrożenie używa 4-warstwowego modelu obrony:
- Zapora (UFW) -- publicznie wystawione tylko SSH (22) + Tailscale (41641/udp)
- VPN (Tailscale) -- Gateway dostępny tylko przez siatkę VPN
- Izolacja Docker -- łańcuch iptables DOCKER-USER zapobiega zewnętrznemu wystawieniu portów
- Utwardzenie Systemd -- NoNewPrivileges, PrivateTmp, użytkownik bez podwyższonych uprawnień
Aby zweryfikować zewnętrzną powierzchnię ataku:
nmap -p- YOUR_SERVER_IPOtwarty powinien być tylko port 22 (SSH). Wszystkie inne usługi (Gateway, Docker) są zablokowane.
Docker jest instalowany dla piaskownic agentów (izolowane wykonywanie narzędzi), a nie do uruchamiania samego Gateway. Zobacz Piaskownica i narzędzia dla wielu agentów, aby skonfigurować piaskownicę.
Instalacja ręczna
Jeśli wolisz ręczną kontrolę zamiast automatyzacji:
Install prerequisites
sudo apt update && sudo apt install -y ansible gitClone the repository
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstall Ansible collections
ansible-galaxy collection install -r requirements.ymlRun the playbook
./run-playbook.shAlternatywnie uruchom bezpośrednio, a następnie ręcznie wykonaj skrypt konfiguracji:
ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.shAktualizacja
Instalator Ansible konfiguruje OpenClaw pod ręczne aktualizacje. Zobacz Aktualizacja, aby poznać standardowy przepływ aktualizacji.
Aby ponownie uruchomić playbook Ansible (na przykład przy zmianach konfiguracji):
cd openclaw-ansible./run-playbook.shJest to idempotentne i można bezpiecznie uruchamiać wielokrotnie.
Rozwiązywanie problemów
Firewall blocks my connection
- Najpierw upewnij się, że możesz uzyskać dostęp przez VPN Tailscale
- Dostęp SSH (port 22) jest zawsze dozwolony
- Gateway jest z założenia dostępny tylko przez Tailscale
Service will not start
# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runDocker sandbox issues
# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupProvider login fails
Upewnij się, że działasz jako użytkownik openclaw:
sudo -i -u openclawopenclaw channels loginKonfiguracja zaawansowana
Aby uzyskać szczegółowe informacje o architekturze bezpieczeństwa i rozwiązywaniu problemów, zobacz repozytorium openclaw-ansible:
Powiązane
- openclaw-ansible -- pełny przewodnik wdrożenia
- Docker -- konfiguracja konteneryzowanego Gateway
- Piaskownica -- konfiguracja piaskownicy agenta
- Piaskownica i narzędzia dla wielu agentów -- izolacja per agent