Перейти до основного вмісту

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Розгорніть OpenClaw на виробничих серверах за допомогою openclaw-ansible — автоматизованого інсталятора з архітектурою, орієнтованою на безпеку.
Репозиторій openclaw-ansible є джерелом істини для розгортання Ansible. Ця сторінка містить короткий огляд.

Передумови

ВимогаПодробиці
OSDebian 11+ або Ubuntu 20.04+
ДоступПрава root або sudo
МережаПідключення до інтернету для встановлення пакетів
Ansible2.14+ (встановлюється автоматично скриптом швидкого старту)

Що ви отримуєте

  • Безпека з пріоритетом брандмауера — UFW + ізоляція Docker (доступні лише SSH + Tailscale)
  • Tailscale VPN — безпечний віддалений доступ без публічного відкриття сервісів
  • Docker — ізольовані контейнери пісочниці, прив’язки лише до localhost
  • Багаторівневий захист — 4-рівнева архітектура безпеки
  • Інтеграція з systemd — автозапуск під час завантаження з посиленням безпеки
  • Налаштування однією командою — повне розгортання за лічені хвилини

Швидкий старт

Встановлення однією командою: 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Що встановлюється

Ansible playbook встановлює та налаштовує:
  1. Tailscale — mesh VPN для безпечного віддаленого доступу
  2. Брандмауер UFW — лише порти SSH + Tailscale
  3. Docker CE + Compose V2 — для стандартного бекенда пісочниці агента
  4. Node.js 24 + pnpm — runtime-залежності (Node 22 LTS, зараз 22.16+, залишається підтримуваним)
  5. OpenClaw — на основі хоста, без контейнеризації
  6. Сервіс systemd — автозапуск із посиленням безпеки
Gateway запускається безпосередньо на хості (не в Docker). Ізоляція агентів у пісочниці необов’язкова; цей playbook встановлює Docker, оскільки це стандартний бекенд пісочниці. Див. Ізоляція в пісочниці для подробиць та інших бекендів.

Налаштування після встановлення

1

Перемкніться на користувача openclaw

sudo -i -u openclaw
2

Запустіть майстер початкового налаштування

Скрипт після встановлення проведе вас через налаштування параметрів OpenClaw.
3

Підключіть провайдерів повідомлень

Увійдіть у WhatsApp, Telegram, Discord або Signal:
openclaw channels login
4

Перевірте встановлення

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Підключіться до Tailscale

Приєднайтеся до своєї mesh VPN для безпечного віддаленого доступу.

Швидкі команди

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Архітектура безпеки

Розгортання використовує 4-рівневу модель захисту:
  1. Брандмауер (UFW) — публічно відкриті лише SSH (22) + Tailscale (41641/udp)
  2. VPN (Tailscale) — Gateway доступний лише через mesh VPN
  3. Ізоляція Docker — ланцюжок iptables DOCKER-USER запобігає зовнішньому відкриттю портів
  4. Посилення systemd — NoNewPrivileges, PrivateTmp, непривілейований користувач
Щоб перевірити зовнішню поверхню атаки: 
nmap -p- YOUR_SERVER_IP
Відкритим має бути лише порт 22 (SSH). Усі інші сервіси (Gateway, Docker) заблоковані. Docker встановлюється для пісочниць агентів (ізольоване виконання інструментів), а не для запуску самого Gateway. Див. Багатоагентна пісочниця та інструменти для конфігурації пісочниці.

Ручне встановлення

Якщо ви віддаєте перевагу ручному контролю над автоматизацією:
1

Встановіть передумови

sudo apt update && sudo apt install -y ansible git
2

Клонуйте репозиторій

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Встановіть колекції Ansible

ansible-galaxy collection install -r requirements.yml
4

Запустіть playbook

./run-playbook.sh
Або запустіть напряму, а потім вручну виконайте скрипт налаштування:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Оновлення

Інсталятор Ansible налаштовує OpenClaw для ручних оновлень. Див. Оновлення для стандартного процесу оновлення. Щоб повторно запустити Ansible playbook (наприклад, для змін конфігурації): 
cd openclaw-ansible
./run-playbook.sh
Це ідемпотентно й безпечно для багаторазового запуску.

Усунення несправностей

  • Спершу переконайтеся, що можете отримати доступ через Tailscale VPN
  • Доступ SSH (порт 22) завжди дозволений
  • Gateway за задумом доступний лише через Tailscale
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
Переконайтеся, що ви працюєте як користувач openclaw:
sudo -i -u openclaw
openclaw channels login

Розширена конфігурація

Для докладної архітектури безпеки та усунення несправностей див. репозиторій openclaw-ansible:

Пов’язане