Containers

Ansible

Wdróż OpenClaw na serwerach produkcyjnych za pomocą openclaw-ansible -- zautomatyzowanego instalatora o architekturze nastawionej przede wszystkim na bezpieczeństwo.

Wymagania wstępne

Wymaganie Szczegóły
OS Debian 11+ lub Ubuntu 20.04+
Dostęp Uprawnienia root lub sudo
Sieć Połączenie z internetem do instalacji pakietów
Ansible 2.14+ (instalowany automatycznie przez skrypt szybkiego startu)

Co otrzymujesz

  • Bezpieczeństwo z priorytetem zapory -- izolacja UFW + Docker (dostępne tylko SSH + Tailscale)
  • VPN Tailscale -- bezpieczny zdalny dostęp bez publicznego wystawiania usług
  • Docker -- izolowane kontenery piaskownicy, powiązania tylko z localhost
  • Obrona wielowarstwowa -- 4-warstwowa architektura bezpieczeństwa
  • Integracja z Systemd -- automatyczne uruchamianie przy starcie z utwardzeniem
  • Konfiguracja jednym poleceniem -- pełne wdrożenie w kilka minut

Szybki start

Instalacja jednym poleceniem:

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Co zostanie zainstalowane

Playbook Ansible instaluje i konfiguruje:

  1. Tailscale -- mesh VPN do bezpiecznego zdalnego dostępu
  2. Zapora UFW -- tylko porty SSH + Tailscale
  3. Docker CE + Compose V2 -- dla domyślnego backendu piaskownicy agenta
  4. Node.js 24 + pnpm -- zależności środowiska uruchomieniowego (Node 22 LTS, obecnie 22.19+, nadal jest obsługiwany)
  5. OpenClaw -- uruchamiany na hoście, nie w kontenerze
  6. Usługa Systemd -- automatyczny start z utwardzeniem bezpieczeństwa

Konfiguracja po instalacji

  • Switch to the openclaw user

    bash
    sudo -i -u openclaw
  • Run the onboarding wizard

    Skrypt poinstalacyjny przeprowadzi Cię przez konfigurację ustawień OpenClaw.

  • Connect messaging providers

    Zaloguj się do WhatsApp, Telegram, Discord lub Signal:

    bash
    openclaw channels login
  • Verify the installation

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Connect to Tailscale

    Dołącz do swojej siatki VPN, aby uzyskać bezpieczny zdalny dostęp.

  • Szybkie polecenia

    bash
    # Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

    Architektura bezpieczeństwa

    Wdrożenie używa 4-warstwowego modelu obrony:

    1. Zapora (UFW) -- publicznie wystawione tylko SSH (22) + Tailscale (41641/udp)
    2. VPN (Tailscale) -- Gateway dostępny tylko przez siatkę VPN
    3. Izolacja Docker -- łańcuch iptables DOCKER-USER zapobiega zewnętrznemu wystawieniu portów
    4. Utwardzenie Systemd -- NoNewPrivileges, PrivateTmp, użytkownik bez podwyższonych uprawnień

    Aby zweryfikować zewnętrzną powierzchnię ataku:

    bash
    nmap -p- YOUR_SERVER_IP

    Otwarty powinien być tylko port 22 (SSH). Wszystkie inne usługi (Gateway, Docker) są zablokowane.

    Docker jest instalowany dla piaskownic agentów (izolowane wykonywanie narzędzi), a nie do uruchamiania samego Gateway. Zobacz Piaskownica i narzędzia dla wielu agentów, aby skonfigurować piaskownicę.

    Instalacja ręczna

    Jeśli wolisz ręczną kontrolę zamiast automatyzacji:

  • Install prerequisites

    bash
    sudo apt update && sudo apt install -y ansible git
  • Clone the repository

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Install Ansible collections

    bash
    ansible-galaxy collection install -r requirements.yml
  • Run the playbook

    bash
    ./run-playbook.sh

    Alternatywnie uruchom bezpośrednio, a następnie ręcznie wykonaj skrypt konfiguracji:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh
  • Aktualizacja

    Instalator Ansible konfiguruje OpenClaw pod ręczne aktualizacje. Zobacz Aktualizacja, aby poznać standardowy przepływ aktualizacji.

    Aby ponownie uruchomić playbook Ansible (na przykład przy zmianach konfiguracji):

    bash
    cd openclaw-ansible./run-playbook.sh

    Jest to idempotentne i można bezpiecznie uruchamiać wielokrotnie.

    Rozwiązywanie problemów

    Firewall blocks my connection
    • Najpierw upewnij się, że możesz uzyskać dostęp przez VPN Tailscale
    • Dostęp SSH (port 22) jest zawsze dozwolony
    • Gateway jest z założenia dostępny tylko przez Tailscale
    Service will not start
    bash
    # Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Docker sandbox issues
    bash
    # Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Provider login fails

    Upewnij się, że działasz jako użytkownik openclaw:

    bash
    sudo -i -u openclawopenclaw channels login

    Konfiguracja zaawansowana

    Aby uzyskać szczegółowe informacje o architekturze bezpieczeństwa i rozwiązywaniu problemów, zobacz repozytorium openclaw-ansible:

    Powiązane

    Was this useful?
    On this page

    On this page