Containers
Ansible
Implante o OpenClaw em servidores de produção com openclaw-ansible -- um instalador automatizado com arquitetura que prioriza segurança.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| SO | Debian 11+ ou Ubuntu 20.04+ |
| Acesso | Privilégios de root ou sudo |
| Rede | Conexão com a Internet para instalação de pacotes |
| Ansible | 2.14+ (instalado automaticamente pelo script de início rápido) |
O que você recebe
- Segurança baseada em firewall -- isolamento com UFW + Docker (somente SSH + Tailscale acessíveis)
- VPN Tailscale -- acesso remoto seguro sem expor serviços publicamente
- Docker -- contêineres de sandbox isolados, bindings somente em localhost
- Defesa em profundidade -- arquitetura de segurança em 4 camadas
- Integração com systemd -- inicialização automática no boot com hardening
- Configuração com um comando -- implantação completa em minutos
Início rápido
Instalação com um comando:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashO que é instalado
O playbook do Ansible instala e configura:
- Tailscale -- VPN mesh para acesso remoto seguro
- Firewall UFW -- somente portas SSH + Tailscale
- Docker CE + Compose V2 -- para o backend padrão de sandbox do agente
- Node.js 24 + pnpm -- dependências de runtime (Node 22 LTS, atualmente
22.19+, continua com suporte) - OpenClaw -- baseado no host, não conteinerizado
- Serviço systemd -- inicialização automática com hardening de segurança
Configuração pós-instalação
Switch to the openclaw user
sudo -i -u openclawRun the onboarding wizard
O script pós-instalação orienta você na configuração das definições do OpenClaw.
Connect messaging providers
Faça login no WhatsApp, Telegram, Discord ou Signal:
openclaw channels loginVerify the installation
sudo systemctl status openclawsudo journalctl -u openclaw -fConnect to Tailscale
Entre na sua mesh VPN para acesso remoto seguro.
Comandos rápidos
# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels loginArquitetura de segurança
A implantação usa um modelo de defesa em 4 camadas:
- Firewall (UFW) -- somente SSH (22) + Tailscale (41641/udp) expostos publicamente
- VPN (Tailscale) -- Gateway acessível somente pela mesh VPN
- Isolamento do Docker -- a cadeia iptables DOCKER-USER impede exposição de portas externas
- Hardening do systemd -- NoNewPrivileges, PrivateTmp, usuário sem privilégios
Para verificar sua superfície de ataque externa:
nmap -p- YOUR_SERVER_IPSomente a porta 22 (SSH) deve estar aberta. Todos os outros serviços (Gateway, Docker) ficam bloqueados.
O Docker é instalado para sandboxes de agentes (execução isolada de ferramentas), não para executar o próprio Gateway. Veja Sandbox multiagente e ferramentas para configuração de sandbox.
Instalação manual
Se você preferir controle manual sobre a automação:
Install prerequisites
sudo apt update && sudo apt install -y ansible gitClone the repository
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstall Ansible collections
ansible-galaxy collection install -r requirements.ymlRun the playbook
./run-playbook.shComo alternativa, execute diretamente e depois execute manualmente o script de configuração:
ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.shAtualização
O instalador Ansible configura o OpenClaw para atualizações manuais. Veja Atualização para o fluxo padrão de atualização.
Para executar novamente o playbook do Ansible (por exemplo, para alterações de configuração):
cd openclaw-ansible./run-playbook.shIsso é idempotente e seguro para executar várias vezes.
Solução de problemas
Firewall blocks my connection
- Garanta que você consiga acessar primeiro pela VPN Tailscale
- O acesso SSH (porta 22) é sempre permitido
- O Gateway é acessível somente via Tailscale por design
Service will not start
# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runDocker sandbox issues
# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupProvider login fails
Certifique-se de estar executando como o usuário openclaw:
sudo -i -u openclawopenclaw channels loginConfiguração avançada
Para arquitetura de segurança detalhada e solução de problemas, consulte o repositório openclaw-ansible:
Relacionados
- openclaw-ansible -- guia completo de implantação
- Docker -- configuração de Gateway conteinerizado
- Sandboxing -- configuração de sandbox de agente
- Sandbox multiagente e ferramentas -- isolamento por agente