Containers

Ansible

Розгорніть OpenClaw на production-серверах за допомогою openclaw-ansible -- автоматизованого інсталятора з архітектурою, орієнтованою насамперед на безпеку.

Передумови

Вимога Подробиці
ОС Debian 11+ або Ubuntu 20.04+
Доступ Права root або sudo
Мережа Підключення до інтернету для встановлення пакетів
Ansible 2.14+ (встановлюється автоматично скриптом швидкого старту)

Що ви отримуєте

  • Безпека з пріоритетом firewall -- ізоляція UFW + Docker (доступні лише SSH + Tailscale)
  • Tailscale VPN -- безпечний віддалений доступ без публічного відкриття сервісів
  • Docker -- ізольовані sandbox-контейнери, прив’язки лише до localhost
  • Багаторівневий захист -- 4-рівнева архітектура безпеки
  • Інтеграція з systemd -- автоматичний запуск під час завантаження з hardening
  • Налаштування однією командою -- повне розгортання за лічені хвилини

Швидкий старт

Встановлення однією командою:

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Що встановлюється

Ansible playbook встановлює й налаштовує:

  1. Tailscale -- mesh VPN для безпечного віддаленого доступу
  2. UFW firewall -- лише порти SSH + Tailscale
  3. Docker CE + Compose V2 -- для стандартного backend sandbox агента
  4. Node.js 24 + pnpm -- runtime-залежності (Node 22 LTS, наразі 22.19+, залишається підтримуваним)
  5. OpenClaw -- на хості, без контейнеризації
  6. Сервіс systemd -- автоматичний запуск із посиленням безпеки

Налаштування після встановлення

  • Перейдіть на користувача openclaw

    bash
    sudo -i -u openclaw
  • Запустіть майстер onboarding

    Скрипт після встановлення проведе вас через налаштування параметрів OpenClaw.

  • Підключіть провайдери повідомлень

    Увійдіть у WhatsApp, Telegram, Discord або Signal:

    bash
    openclaw channels login
  • Перевірте встановлення

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Підключіться до Tailscale

    Приєднайтеся до своєї VPN mesh для безпечного віддаленого доступу.

  • Швидкі команди

    bash
    # Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

    Архітектура безпеки

    Розгортання використовує 4-рівневу модель захисту:

    1. Firewall (UFW) -- публічно відкриті лише SSH (22) + Tailscale (41641/udp)
    2. VPN (Tailscale) -- gateway доступний лише через VPN mesh
    3. Ізоляція Docker -- ланцюжок iptables DOCKER-USER запобігає зовнішньому відкриттю портів
    4. Hardening systemd -- NoNewPrivileges, PrivateTmp, непривілейований користувач

    Щоб перевірити зовнішню поверхню атаки:

    bash
    nmap -p- YOUR_SERVER_IP

    Відкритим має бути лише порт 22 (SSH). Усі інші сервіси (gateway, Docker) заблоковані.

    Docker встановлюється для sandbox агентів (ізольованого виконання інструментів), а не для запуску самого gateway. Конфігурацію sandbox див. у Multi-Agent Sandbox and Tools.

    Ручне встановлення

    Якщо ви віддаєте перевагу ручному контролю над автоматизацією:

  • Встановіть передумови

    bash
    sudo apt update && sudo apt install -y ansible git
  • Клонуйте репозиторій

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Встановіть колекції Ansible

    bash
    ansible-galaxy collection install -r requirements.yml
  • Запустіть playbook

    bash
    ./run-playbook.sh

    Або запустіть напряму, а потім вручну виконайте скрипт налаштування:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh
  • Оновлення

    Інсталятор Ansible налаштовує OpenClaw для ручних оновлень. Стандартний процес оновлення див. у Updating.

    Щоб повторно запустити Ansible playbook (наприклад, для змін конфігурації):

    bash
    cd openclaw-ansible./run-playbook.sh

    Це ідемпотентно й безпечно для багаторазового запуску.

    Усунення несправностей

    Firewall блокує моє підключення
    • Спершу переконайтеся, що маєте доступ через Tailscale VPN
    • Доступ SSH (порт 22) завжди дозволено
    • Gateway за задумом доступний лише через Tailscale
    Сервіс не запускається
    bash
    # Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Проблеми із sandbox Docker
    bash
    # Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Вхід до провайдера не вдається

    Переконайтеся, що ви запускаєте команди як користувач openclaw:

    bash
    sudo -i -u openclawopenclaw channels login

    Розширена конфігурація

    Докладну архітектуру безпеки та інструкції з усунення несправностей див. у репозиторії openclaw-ansible:

    Пов’язане

    • openclaw-ansible -- повний посібник із розгортання
    • Docker -- налаштування контейнеризованого gateway
    • Sandboxing -- конфігурація sandbox агента
    • Multi-Agent Sandbox and Tools -- ізоляція на рівні окремого агента
    Was this useful?
    On this page

    On this page