Перейти до основного вмісту

Встановлення через Ansible

Розгорніть OpenClaw на production-серверах за допомогою openclaw-ansible — автоматизованого інсталятора з архітектурою, орієнтованою на безпеку.
Репозиторій openclaw-ansible є джерелом істини для розгортання через Ansible. Ця сторінка — короткий огляд.

Передумови

ВимогаДокладніше
OSDebian 11+ або Ubuntu 20.04+
ДоступПривілеї root або sudo
МережаПідключення до інтернету для встановлення пакетів
Ansible2.14+ (встановлюється автоматично скриптом швидкого старту)

Що ви отримаєте

  • Безпека, орієнтована на firewall — UFW + ізоляція Docker (публічно доступні лише SSH + Tailscale)
  • Tailscale VPN — безпечний віддалений доступ без публічного відкриття сервісів
  • Docker — ізольовані sandbox-контейнери, прив’язки лише до localhost
  • Багаторівневий захист — 4-рівнева архітектура безпеки
  • Інтеграція з systemd — автозапуск під час завантаження з посиленням захисту
  • Налаштування однією командою — повне розгортання за лічені хвилини

Швидкий старт

Встановлення однією командою: 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Що буде встановлено

Ansible playbook встановлює й налаштовує:
  1. Tailscale — mesh VPN для безпечного віддаленого доступу
  2. UFW firewall — лише порти SSH + Tailscale
  3. Docker CE + Compose V2 — для sandbox агентів
  4. Node.js 24 + pnpm — залежності runtime (Node 22 LTS, наразі 22.14+, і далі підтримується)
  5. OpenClaw — на хості, не в контейнері
  6. Сервіс systemd — автозапуск із посиленням безпеки
Gateway запускається безпосередньо на хості (не в Docker), але sandbox агентів використовують Docker для ізоляції. Докладніше див. у Sandboxing.

Налаштування після встановлення

1

Перейдіть до користувача openclaw

sudo -i -u openclaw
2

Запустіть майстер початкового налаштування

Скрипт після встановлення проведе вас через налаштування параметрів OpenClaw.
3

Підключіть провайдерів повідомлень

Увійдіть у WhatsApp, Telegram, Discord або Signal:
openclaw channels login
4

Перевірте встановлення

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Підключіться до Tailscale

Приєднайтеся до своєї VPN mesh для безпечного віддаленого доступу.

Швидкі команди

# Перевірити стан сервісу
sudo systemctl status openclaw

# Переглянути live-журнали
sudo journalctl -u openclaw -f

# Перезапустити gateway
sudo systemctl restart openclaw

# Вхід провайдера (запускати як користувач openclaw)
sudo -i -u openclaw
openclaw channels login

Архітектура безпеки

Розгортання використовує 4-рівневу модель захисту:
  1. Firewall (UFW) — публічно відкриті лише SSH (22) + Tailscale (41641/udp)
  2. VPN (Tailscale) — gateway доступний лише через VPN mesh
  3. Ізоляція Docker — ланцюг iptables DOCKER-USER запобігає зовнішньому відкриттю портів
  4. Посилення systemd — NoNewPrivileges, PrivateTmp, непривілейований користувач
Щоб перевірити зовнішню поверхню атаки: 
nmap -p- YOUR_SERVER_IP
Має бути відкритий лише порт 22 (SSH). Усі інші сервіси (gateway, Docker) заблоковано. Docker установлюється для sandbox агентів (ізольоване виконання інструментів), а не для запуску самого gateway. Див. Multi-Agent Sandbox and Tools щодо конфігурації sandbox.

Ручне встановлення

Якщо ви віддаєте перевагу ручному контролю замість автоматизації:
1

Установіть передумови

sudo apt update && sudo apt install -y ansible git
2

Клонуйте репозиторій

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Установіть колекції Ansible

ansible-galaxy collection install -r requirements.yml
4

Запустіть playbook

./run-playbook.sh
Або запустіть напряму, а потім вручну виконайте скрипт налаштування:
ansible-playbook playbook.yml --ask-become-pass
# Потім виконайте: /tmp/openclaw-setup.sh

Оновлення

Інсталятор Ansible налаштовує OpenClaw для ручних оновлень. Стандартний сценарій оновлення див. в Updating. Щоб повторно запустити playbook Ansible (наприклад, для змін конфігурації): 
cd openclaw-ansible
./run-playbook.sh
Це ідемпотентно й безпечно для багаторазового запуску.

Усунення несправностей

  • Спочатку переконайтеся, що ви можете підключитися через Tailscale VPN
  • Доступ через SSH (порт 22) завжди дозволений
  • Gateway за задумом доступний лише через Tailscale
# Перевірити журнали
sudo journalctl -u openclaw -n 100

# Перевірити права доступу
sudo ls -la /opt/openclaw

# Перевірити ручний запуск
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Перевірити, чи працює Docker
sudo systemctl status docker

# Перевірити образ sandbox
sudo docker images | grep openclaw-sandbox

# Зібрати образ sandbox, якщо його немає
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
Переконайтеся, що ви працюєте як користувач openclaw:
sudo -i -u openclaw
openclaw channels login

Розширена конфігурація

Докладніше про архітектуру безпеки та усунення несправностей див. у репозиторії openclaw-ansible:

Пов’язане

  • openclaw-ansible — повний посібник із розгортання
  • Docker — налаштування gateway у контейнері
  • Sandboxing — конфігурація sandbox агентів
  • Multi-Agent Sandbox and Tools — ізоляція для кожного агента окремо