Containers
Ansible
Розгорніть OpenClaw на виробничих серверах за допомогою openclaw-ansible — автоматизованого інсталятора з архітектурою, у якій безпека має найвищий пріоритет.
Передумови
| Вимога | Докладні відомості |
|---|---|
| ОС | Debian 11+ або Ubuntu 20.04+ |
| Доступ | Права root або sudo |
| Мережа | Підключення до Інтернету для встановлення пакетів |
| Ansible | 2.14+ (автоматично встановлюється скриптом швидкого запуску) |
Що ви отримуєте
- Захист насамперед за допомогою брандмауера: ізоляція UFW + Docker (доступні лише SSH + Tailscale)
- VPN Tailscale для віддаленого доступу без публічного відкриття служб
- Docker для ізольованих контейнерів пісочниці з прив’язками лише до localhost
- Інтеграція із systemd із посиленим захистом та автоматичним запуском під час завантаження
- Налаштування однією командою
Швидкий запуск
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashЩо встановлюється
- Tailscale (mesh-VPN для захищеного віддаленого доступу)
- Брандмауер UFW (лише порти SSH + Tailscale)
- Docker CE + Compose V2 (типовий серверний компонент пісочниці агента)
- Node.js і pnpm (OpenClaw потребує Node 22.19+ або 23.11+; рекомендовано Node 24)
- OpenClaw, установлений безпосередньо на хості, а не в контейнері
- Служба systemd із посиленим захистом
Налаштування після встановлення
Перейдіть до користувача openclaw
sudo -i -u openclawЗапустіть майстер початкового налаштування
Скрипт після встановлення допоможе вам налаштувати OpenClaw.
Підключіть канали обміну повідомленнями
Увійдіть у WhatsApp, Telegram, Discord або Signal:
openclaw channels login --channel <name>Перевірте встановлення
sudo systemctl status openclawsudo journalctl -u openclaw -fПідключіться до Tailscale
Приєднайтеся до своєї VPN-мережі для захищеного віддаленого доступу.
Швидкі команди
# Перевірити стан службиsudo systemctl status openclaw # Переглянути журнали в реальному часіsudo journalctl -u openclaw -f # Перезапустити Gatewaysudo systemctl restart openclaw # Увійти в канал (виконувати від імені користувача openclaw)sudo -i -u openclawopenclaw channels login --channel <name>Архітектура безпеки
Чотирирівнева модель захисту:
- Брандмауер (UFW): публічно відкриті лише SSH (22) і Tailscale (41641/udp)
- VPN (Tailscale): Gateway доступний лише через VPN-мережу
- Ізоляція Docker: ланцюжок iptables
DOCKER-USERзапобігає відкриттю портів назовні - Посилення захисту systemd:
NoNewPrivileges,PrivateTmp, непривілейований користувач
Перевірте свою зовнішню поверхню атаки:
nmap -p- YOUR_SERVER_IPВідкритим має бути лише порт 22 (SSH). Gateway і Docker залишаються захищеними від зовнішнього доступу.
Docker установлюється для пісочниць агентів (ізольованого виконання інструментів), а не для запуску Gateway. Налаштування пісочниці описано в розділі Багатоагентна пісочниця та інструменти.
Встановлення вручну
Установіть необхідні компоненти
sudo apt update && sudo apt install -y ansible gitКлонуйте репозиторій
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleУстановіть колекції Ansible
ansible-galaxy collection install -r requirements.ymlЗапустіть плейбук
./run-playbook.shАбо запустіть плейбук безпосередньо, а потім вручну запустіть скрипт налаштування:
ansible-playbook playbook.yml --ask-become-pass# Потім виконайте: /tmp/openclaw-setup.shОновлення
Інсталятор Ansible налаштовує OpenClaw для оновлення вручну; стандартний процес описано в розділі Оновлення.
Щоб повторно запустити плейбук (наприклад, після змін конфігурації):
cd openclaw-ansible./run-playbook.shЦей процес ідемпотентний, тому його можна безпечно запускати кілька разів.
Усунення несправностей
Брандмауер блокує моє підключення
- Спочатку підключіться через VPN Tailscale; за задумом Gateway доступний лише в такий спосіб.
- SSH (порт 22) дозволено завжди.
Служба не запускається
# Перевірити журналиsudo journalctl -u openclaw -n 100 # Перевірити дозволиsudo ls -la /opt/openclaw # Перевірити запуск вручнуsudo -i -u openclawcd ~/openclawopenclaw gateway runПроблеми з пісочницею Docker
# Перевірити, чи працює Dockersudo systemctl status docker # Перевірити образ пісочниціsudo docker images | grep openclaw-sandbox # Зібрати образ пісочниці, якщо його немає (потрібна копія вихідного коду)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Відомості про встановлення через npm без копії вихідного коду див. на сторінці# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupНе вдається увійти в канал
Переконайтеся, що ви виконуєте команди від імені користувача openclaw:
sudo -i -u openclawopenclaw channels login --channel <name>Розширена конфігурація
Докладний опис архітектури безпеки та усунення несправностей наведено в репозиторії openclaw-ansible:
Пов’язані матеріали
- openclaw-ansible: повний посібник із розгортання
- Docker: налаштування контейнеризованого Gateway
- Ізоляція в пісочниці: конфігурація пісочниці агента
- Багатоагентна пісочниця та інструменти: ізоляція окремих агентів