Containers

Ansible

Розгорніть OpenClaw на виробничих серверах за допомогою openclaw-ansible — автоматизованого інсталятора з архітектурою, у якій безпека має найвищий пріоритет.

Передумови

Вимога Докладні відомості
ОС Debian 11+ або Ubuntu 20.04+
Доступ Права root або sudo
Мережа Підключення до Інтернету для встановлення пакетів
Ansible 2.14+ (автоматично встановлюється скриптом швидкого запуску)

Що ви отримуєте

  • Захист насамперед за допомогою брандмауера: ізоляція UFW + Docker (доступні лише SSH + Tailscale)
  • VPN Tailscale для віддаленого доступу без публічного відкриття служб
  • Docker для ізольованих контейнерів пісочниці з прив’язками лише до localhost
  • Інтеграція із systemd із посиленим захистом та автоматичним запуском під час завантаження
  • Налаштування однією командою

Швидкий запуск

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Що встановлюється

  1. Tailscale (mesh-VPN для захищеного віддаленого доступу)
  2. Брандмауер UFW (лише порти SSH + Tailscale)
  3. Docker CE + Compose V2 (типовий серверний компонент пісочниці агента)
  4. Node.js і pnpm (OpenClaw потребує Node 22.19+ або 23.11+; рекомендовано Node 24)
  5. OpenClaw, установлений безпосередньо на хості, а не в контейнері
  6. Служба systemd із посиленим захистом

Налаштування після встановлення

  • Перейдіть до користувача openclaw

    bash
    sudo -i -u openclaw
  • Запустіть майстер початкового налаштування

    Скрипт після встановлення допоможе вам налаштувати OpenClaw.

  • Підключіть канали обміну повідомленнями

    Увійдіть у WhatsApp, Telegram, Discord або Signal:

    bash
    openclaw channels login --channel <name>
  • Перевірте встановлення

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Підключіться до Tailscale

    Приєднайтеся до своєї VPN-мережі для захищеного віддаленого доступу.

  • Швидкі команди

    bash
    # Перевірити стан службиsudo systemctl status openclaw # Переглянути журнали в реальному часіsudo journalctl -u openclaw -f # Перезапустити Gatewaysudo systemctl restart openclaw # Увійти в канал (виконувати від імені користувача openclaw)sudo -i -u openclawopenclaw channels login --channel <name>

    Архітектура безпеки

    Чотирирівнева модель захисту:

    1. Брандмауер (UFW): публічно відкриті лише SSH (22) і Tailscale (41641/udp)
    2. VPN (Tailscale): Gateway доступний лише через VPN-мережу
    3. Ізоляція Docker: ланцюжок iptables DOCKER-USER запобігає відкриттю портів назовні
    4. Посилення захисту systemd: NoNewPrivileges, PrivateTmp, непривілейований користувач

    Перевірте свою зовнішню поверхню атаки:

    bash
    nmap -p- YOUR_SERVER_IP

    Відкритим має бути лише порт 22 (SSH). Gateway і Docker залишаються захищеними від зовнішнього доступу.

    Docker установлюється для пісочниць агентів (ізольованого виконання інструментів), а не для запуску Gateway. Налаштування пісочниці описано в розділі Багатоагентна пісочниця та інструменти.

    Встановлення вручну

  • Установіть необхідні компоненти

    bash
    sudo apt update && sudo apt install -y ansible git
  • Клонуйте репозиторій

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Установіть колекції Ansible

    bash
    ansible-galaxy collection install -r requirements.yml
  • Запустіть плейбук

    bash
    ./run-playbook.sh

    Або запустіть плейбук безпосередньо, а потім вручну запустіть скрипт налаштування:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Потім виконайте: /tmp/openclaw-setup.sh
  • Оновлення

    Інсталятор Ansible налаштовує OpenClaw для оновлення вручну; стандартний процес описано в розділі Оновлення.

    Щоб повторно запустити плейбук (наприклад, після змін конфігурації):

    bash
    cd openclaw-ansible./run-playbook.sh

    Цей процес ідемпотентний, тому його можна безпечно запускати кілька разів.

    Усунення несправностей

    Брандмауер блокує моє підключення
    • Спочатку підключіться через VPN Tailscale; за задумом Gateway доступний лише в такий спосіб.
    • SSH (порт 22) дозволено завжди.
    Служба не запускається
    bash
    # Перевірити журналиsudo journalctl -u openclaw -n 100 # Перевірити дозволиsudo ls -la /opt/openclaw # Перевірити запуск вручнуsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Проблеми з пісочницею Docker
    bash
    # Перевірити, чи працює Dockersudo systemctl status docker # Перевірити образ пісочниціsudo docker images | grep openclaw-sandbox # Зібрати образ пісочниці, якщо його немає (потрібна копія вихідного коду)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Відомості про встановлення через npm без копії вихідного коду див. на сторінці# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Не вдається увійти в канал

    Переконайтеся, що ви виконуєте команди від імені користувача openclaw:

    bash
    sudo -i -u openclawopenclaw channels login --channel <name>

    Розширена конфігурація

    Докладний опис архітектури безпеки та усунення несправностей наведено в репозиторії openclaw-ansible:

    Пов’язані матеріали

    Was this useful?
    On this page

    On this page