English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaishiالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiruفارسیไทย
View as MarkdownView this page as plain textOpen in ChatGPTAsk questions about this pageOpen in ClaudeAsk questions about this pageOpen in PerplexityAsk questions about this page

Containers

Ansible

Разверните OpenClaw на производственных серверах с openclaw-ansible -- автоматическим установщиком с архитектурой, ориентированной на безопасность.

Предварительные требования

Требование Подробности
ОС Debian 11+ или Ubuntu 20.04+
Доступ Права root или sudo
Сеть Подключение к Интернету для установки пакетов
Ansible 2.14+ (устанавливается автоматически скриптом быстрого старта)

Что вы получаете

  • Безопасность с приоритетом межсетевого экрана -- изоляция UFW + Docker (доступны только SSH + Tailscale)
  • Tailscale VPN -- безопасный удаленный доступ без публичного раскрытия сервисов
  • Docker -- изолированные контейнеры-песочницы, привязки только к localhost
  • Глубоко эшелонированная защита -- 4-уровневая архитектура безопасности
  • Интеграция с systemd -- автозапуск при загрузке с усилением безопасности
  • Настройка одной командой -- полное развертывание за минуты

Быстрый старт

Установка одной командой:

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Что устанавливается

Playbook Ansible устанавливает и настраивает:

  1. Tailscale -- mesh VPN для безопасного удаленного доступа
  2. Межсетевой экран UFW -- только порты SSH + Tailscale
  3. Docker CE + Compose V2 -- для стандартного backend песочницы агента
  4. Node.js 24 + pnpm -- зависимости среды выполнения (Node 22 LTS, сейчас 22.19+, остается поддерживаемым)
  5. OpenClaw -- размещается на хосте, не контейнеризируется
  6. Сервис systemd -- автозапуск с усилением безопасности

Настройка после установки

  • Переключитесь на пользователя openclaw

    bash
    sudo -i -u openclaw

  • Запустите мастер первичной настройки

    Скрипт после установки проведет вас через настройку параметров OpenClaw.

  • Подключите провайдеры сообщений

    Войдите в WhatsApp, Telegram, Discord или Signal:

    bash
    openclaw channels login

  • Проверьте установку

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f

  • Подключитесь к Tailscale

    Присоединитесь к вашей VPN mesh для безопасного удаленного доступа.

    • Быстрые команды

    bash
    # Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

    Архитектура безопасности

    Развертывание использует 4-уровневую модель защиты:

    1. Межсетевой экран (UFW) -- публично открыты только SSH (22) + Tailscale (41641/udp)
    2. VPN (Tailscale) -- Gateway доступен только через VPN mesh
    3. Изоляция Docker -- цепочка iptables DOCKER-USER предотвращает внешнее раскрытие портов
    4. Усиление systemd -- NoNewPrivileges, PrivateTmp, непривилегированный пользователь

    Чтобы проверить вашу внешнюю поверхность атаки:

    bash
    nmap -p- YOUR_SERVER_IP

    Открыт должен быть только порт 22 (SSH). Все остальные сервисы (Gateway, Docker) заблокированы.

    Docker устанавливается для песочниц агентов (изолированного выполнения инструментов), а не для запуска самого Gateway. Настройку песочницы см. в Многоагентная песочница и инструменты.

    Ручная установка

    Если вы предпочитаете ручной контроль вместо автоматизации:

  • Установите предварительные зависимости

    bash
    sudo apt update && sudo apt install -y ansible git

  • Клонируйте репозиторий

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible

  • Установите коллекции Ansible

    bash
    ansible-galaxy collection install -r requirements.yml

  • Запустите playbook

    bash
    ./run-playbook.sh

    Либо запустите напрямую, а затем вручную выполните скрипт настройки:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh

    • Обновление

    Установщик Ansible настраивает OpenClaw для ручных обновлений. Стандартный процесс обновления см. в Обновление.

    Чтобы повторно запустить playbook Ansible (например, для изменений конфигурации):

    bash
    cd openclaw-ansible./run-playbook.sh

    Это идемпотентно и безопасно для многократного запуска.

    Устранение неполадок

    Межсетевой экран блокирует мое подключение
    • Сначала убедитесь, что у вас есть доступ через Tailscale VPN
    • Доступ по SSH (порт 22) всегда разрешен
    • Gateway по проекту доступен только через Tailscale
    Сервис не запускается
    bash
    # Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Проблемы с песочницей Docker
    bash
    # Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Вход в провайдер не удается

    Убедитесь, что вы запускаете команды от пользователя openclaw:

    bash
    sudo -i -u openclawopenclaw channels login

    Расширенная конфигурация

    Подробную архитектуру безопасности и устранение неполадок см. в репозитории openclaw-ansible:

    Связанные материалы

    Was this useful?
    On this page

    On this page