Containers
Ansible
Розгорніть OpenClaw на production-серверах за допомогою openclaw-ansible -- автоматизованого інсталятора з архітектурою, орієнтованою насамперед на безпеку.
Передумови
| Вимога | Подробиці |
|---|---|
| ОС | Debian 11+ або Ubuntu 20.04+ |
| Доступ | Права root або sudo |
| Мережа | Підключення до інтернету для встановлення пакетів |
| Ansible | 2.14+ (встановлюється автоматично скриптом швидкого старту) |
Що ви отримуєте
- Безпека з пріоритетом firewall -- ізоляція UFW + Docker (доступні лише SSH + Tailscale)
- Tailscale VPN -- безпечний віддалений доступ без публічного відкриття сервісів
- Docker -- ізольовані sandbox-контейнери, прив’язки лише до localhost
- Багаторівневий захист -- 4-рівнева архітектура безпеки
- Інтеграція з systemd -- автоматичний запуск під час завантаження з hardening
- Налаштування однією командою -- повне розгортання за лічені хвилини
Швидкий старт
Встановлення однією командою:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashЩо встановлюється
Ansible playbook встановлює й налаштовує:
- Tailscale -- mesh VPN для безпечного віддаленого доступу
- UFW firewall -- лише порти SSH + Tailscale
- Docker CE + Compose V2 -- для стандартного backend sandbox агента
- Node.js 24 + pnpm -- runtime-залежності (Node 22 LTS, наразі
22.19+, залишається підтримуваним) - OpenClaw -- на хості, без контейнеризації
- Сервіс systemd -- автоматичний запуск із посиленням безпеки
Налаштування після встановлення
Перейдіть на користувача openclaw
sudo -i -u openclawЗапустіть майстер onboarding
Скрипт після встановлення проведе вас через налаштування параметрів OpenClaw.
Підключіть провайдери повідомлень
Увійдіть у WhatsApp, Telegram, Discord або Signal:
openclaw channels loginПеревірте встановлення
sudo systemctl status openclawsudo journalctl -u openclaw -fПідключіться до Tailscale
Приєднайтеся до своєї VPN mesh для безпечного віддаленого доступу.
Швидкі команди
# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels loginАрхітектура безпеки
Розгортання використовує 4-рівневу модель захисту:
- Firewall (UFW) -- публічно відкриті лише SSH (22) + Tailscale (41641/udp)
- VPN (Tailscale) -- gateway доступний лише через VPN mesh
- Ізоляція Docker -- ланцюжок iptables DOCKER-USER запобігає зовнішньому відкриттю портів
- Hardening systemd -- NoNewPrivileges, PrivateTmp, непривілейований користувач
Щоб перевірити зовнішню поверхню атаки:
nmap -p- YOUR_SERVER_IPВідкритим має бути лише порт 22 (SSH). Усі інші сервіси (gateway, Docker) заблоковані.
Docker встановлюється для sandbox агентів (ізольованого виконання інструментів), а не для запуску самого gateway. Конфігурацію sandbox див. у Multi-Agent Sandbox and Tools.
Ручне встановлення
Якщо ви віддаєте перевагу ручному контролю над автоматизацією:
Встановіть передумови
sudo apt update && sudo apt install -y ansible gitКлонуйте репозиторій
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleВстановіть колекції Ansible
ansible-galaxy collection install -r requirements.ymlЗапустіть playbook
./run-playbook.shАбо запустіть напряму, а потім вручну виконайте скрипт налаштування:
ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.shОновлення
Інсталятор Ansible налаштовує OpenClaw для ручних оновлень. Стандартний процес оновлення див. у Updating.
Щоб повторно запустити Ansible playbook (наприклад, для змін конфігурації):
cd openclaw-ansible./run-playbook.shЦе ідемпотентно й безпечно для багаторазового запуску.
Усунення несправностей
Firewall блокує моє підключення
- Спершу переконайтеся, що маєте доступ через Tailscale VPN
- Доступ SSH (порт 22) завжди дозволено
- Gateway за задумом доступний лише через Tailscale
Сервіс не запускається
# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runПроблеми із sandbox Docker
# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupВхід до провайдера не вдається
Переконайтеся, що ви запускаєте команди як користувач openclaw:
sudo -i -u openclawopenclaw channels loginРозширена конфігурація
Докладну архітектуру безпеки та інструкції з усунення несправностей див. у репозиторії openclaw-ansible:
Пов’язане
- openclaw-ansible -- повний посібник із розгортання
- Docker -- налаштування контейнеризованого gateway
- Sandboxing -- конфігурація sandbox агента
- Multi-Agent Sandbox and Tools -- ізоляція на рівні окремого агента