Containers

Ansible

Implante o OpenClaw em servidores de produção com openclaw-ansible -- um instalador automatizado com arquitetura que prioriza segurança.

Pré-requisitos

Requisito Detalhes
SO Debian 11+ ou Ubuntu 20.04+
Acesso Privilégios de root ou sudo
Rede Conexão com a Internet para instalação de pacotes
Ansible 2.14+ (instalado automaticamente pelo script de início rápido)

O que você recebe

  • Segurança baseada em firewall -- isolamento com UFW + Docker (somente SSH + Tailscale acessíveis)
  • VPN Tailscale -- acesso remoto seguro sem expor serviços publicamente
  • Docker -- contêineres de sandbox isolados, bindings somente em localhost
  • Defesa em profundidade -- arquitetura de segurança em 4 camadas
  • Integração com systemd -- inicialização automática no boot com hardening
  • Configuração com um comando -- implantação completa em minutos

Início rápido

Instalação com um comando:

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

O que é instalado

O playbook do Ansible instala e configura:

  1. Tailscale -- VPN mesh para acesso remoto seguro
  2. Firewall UFW -- somente portas SSH + Tailscale
  3. Docker CE + Compose V2 -- para o backend padrão de sandbox do agente
  4. Node.js 24 + pnpm -- dependências de runtime (Node 22 LTS, atualmente 22.19+, continua com suporte)
  5. OpenClaw -- baseado no host, não conteinerizado
  6. Serviço systemd -- inicialização automática com hardening de segurança

Configuração pós-instalação

  • Switch to the openclaw user

    bash
    sudo -i -u openclaw
  • Run the onboarding wizard

    O script pós-instalação orienta você na configuração das definições do OpenClaw.

  • Connect messaging providers

    Faça login no WhatsApp, Telegram, Discord ou Signal:

    bash
    openclaw channels login
  • Verify the installation

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Connect to Tailscale

    Entre na sua mesh VPN para acesso remoto seguro.

  • Comandos rápidos

    bash
    # Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

    Arquitetura de segurança

    A implantação usa um modelo de defesa em 4 camadas:

    1. Firewall (UFW) -- somente SSH (22) + Tailscale (41641/udp) expostos publicamente
    2. VPN (Tailscale) -- Gateway acessível somente pela mesh VPN
    3. Isolamento do Docker -- a cadeia iptables DOCKER-USER impede exposição de portas externas
    4. Hardening do systemd -- NoNewPrivileges, PrivateTmp, usuário sem privilégios

    Para verificar sua superfície de ataque externa:

    bash
    nmap -p- YOUR_SERVER_IP

    Somente a porta 22 (SSH) deve estar aberta. Todos os outros serviços (Gateway, Docker) ficam bloqueados.

    O Docker é instalado para sandboxes de agentes (execução isolada de ferramentas), não para executar o próprio Gateway. Veja Sandbox multiagente e ferramentas para configuração de sandbox.

    Instalação manual

    Se você preferir controle manual sobre a automação:

  • Install prerequisites

    bash
    sudo apt update && sudo apt install -y ansible git
  • Clone the repository

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Install Ansible collections

    bash
    ansible-galaxy collection install -r requirements.yml
  • Run the playbook

    bash
    ./run-playbook.sh

    Como alternativa, execute diretamente e depois execute manualmente o script de configuração:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh
  • Atualização

    O instalador Ansible configura o OpenClaw para atualizações manuais. Veja Atualização para o fluxo padrão de atualização.

    Para executar novamente o playbook do Ansible (por exemplo, para alterações de configuração):

    bash
    cd openclaw-ansible./run-playbook.sh

    Isso é idempotente e seguro para executar várias vezes.

    Solução de problemas

    Firewall blocks my connection
    • Garanta que você consiga acessar primeiro pela VPN Tailscale
    • O acesso SSH (porta 22) é sempre permitido
    • O Gateway é acessível somente via Tailscale por design
    Service will not start
    bash
    # Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Docker sandbox issues
    bash
    # Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Provider login fails

    Certifique-se de estar executando como o usuário openclaw:

    bash
    sudo -i -u openclawopenclaw channels login

    Configuração avançada

    Para arquitetura de segurança detalhada e solução de problemas, consulte o repositório openclaw-ansible:

    Relacionados

    Was this useful?
    On this page

    On this page