Chuyển đến nội dung chính

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Cài đặt Ansible

Triển khai OpenClaw lên máy chủ production với openclaw-ansible — một trình cài đặt tự động có kiến trúc ưu tiên bảo mật.
Kho openclaw-ansible là nguồn sự thật cho triển khai Ansible. Trang này là phần tổng quan nhanh.

Điều kiện tiên quyết

Yêu cầuChi tiết
OSDebian 11+ hoặc Ubuntu 20.04+
Truy cậpQuyền root hoặc sudo
MạngKết nối Internet để cài đặt gói
Ansible2.14+ (được cài đặt tự động bởi script khởi động nhanh)

Bạn nhận được gì

  • Bảo mật ưu tiên tường lửa — cô lập bằng UFW + Docker (chỉ SSH + Tailscale có thể truy cập)
  • VPN Tailscale — truy cập từ xa an toàn mà không công khai dịch vụ
  • Docker — container sandbox cô lập, chỉ bind localhost
  • Phòng thủ theo chiều sâu — kiến trúc bảo mật 4 lớp
  • Tích hợp Systemd — tự động khởi động khi boot với hardening
  • Thiết lập một lệnh — triển khai hoàn chỉnh trong vài phút

Bắt đầu nhanh

Cài đặt một lệnh: 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Những gì được cài đặt

Playbook Ansible cài đặt và cấu hình:
  1. Tailscale — VPN mesh để truy cập từ xa an toàn
  2. Tường lửa UFW — chỉ các cổng SSH + Tailscale
  3. Docker CE + Compose V2 — cho backend sandbox agent mặc định
  4. Node.js 24 + pnpm — các phụ thuộc runtime (Node 22 LTS, hiện là 22.14+, vẫn được hỗ trợ)
  5. OpenClaw — chạy trên host, không container hóa
  6. Dịch vụ Systemd — tự động khởi động với hardening bảo mật
Gateway chạy trực tiếp trên host (không chạy trong Docker). Sandbox cho agent là tùy chọn; playbook này cài Docker vì đây là backend sandbox mặc định. Xem Sandboxing để biết chi tiết và các backend khác.

Thiết lập sau cài đặt

1

Chuyển sang người dùng openclaw

sudo -i -u openclaw
2

Chạy trình hướng dẫn onboarding

Script sau cài đặt sẽ hướng dẫn bạn cấu hình các thiết lập OpenClaw.
3

Kết nối nhà cung cấp nhắn tin

Đăng nhập vào WhatsApp, Telegram, Discord hoặc Signal:
openclaw channels login
4

Xác minh cài đặt

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Kết nối với Tailscale

Tham gia VPN mesh của bạn để truy cập từ xa an toàn.

Lệnh nhanh

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Kiến trúc bảo mật

Quá trình triển khai dùng mô hình phòng thủ 4 lớp:
  1. Tường lửa (UFW) — chỉ SSH (22) + Tailscale (41641/udp) được công khai
  2. VPN (Tailscale) — gateway chỉ truy cập được qua VPN mesh
  3. Cô lập Docker — chuỗi iptables DOCKER-USER ngăn lộ cổng ra bên ngoài
  4. Hardening Systemd — NoNewPrivileges, PrivateTmp, người dùng không đặc quyền
Để xác minh bề mặt tấn công bên ngoài của bạn: 
nmap -p- YOUR_SERVER_IP
Chỉ cổng 22 (SSH) nên mở. Tất cả dịch vụ khác (gateway, Docker) đều bị khóa. Docker được cài đặt cho sandbox agent (thực thi công cụ cô lập), không phải để chạy chính gateway. Xem Sandbox đa agent và công cụ để cấu hình sandbox.

Cài đặt thủ công

Nếu bạn muốn kiểm soát thủ công thay vì dùng tự động hóa:
1

Cài đặt điều kiện tiên quyết

sudo apt update && sudo apt install -y ansible git
2

Clone repository

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Cài đặt collection Ansible

ansible-galaxy collection install -r requirements.yml
4

Chạy playbook

./run-playbook.sh
Ngoài ra, chạy trực tiếp rồi sau đó thực thi thủ công script thiết lập:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Cập nhật

Trình cài đặt Ansible thiết lập OpenClaw để cập nhật thủ công. Xem Cập nhật để biết luồng cập nhật tiêu chuẩn. Để chạy lại playbook Ansible (ví dụ, khi thay đổi cấu hình): 
cd openclaw-ansible
./run-playbook.sh
Thao tác này idempotent và an toàn để chạy nhiều lần.

Khắc phục sự cố

  • Đảm bảo trước tiên bạn có thể truy cập qua VPN Tailscale
  • Truy cập SSH (cổng 22) luôn được cho phép
  • Theo thiết kế, gateway chỉ truy cập được qua Tailscale
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
Đảm bảo bạn đang chạy dưới người dùng openclaw:
sudo -i -u openclaw
openclaw channels login

Cấu hình nâng cao

Để biết kiến trúc bảo mật và cách khắc phục sự cố chi tiết, xem repo openclaw-ansible:

Liên quan