Containers

Ansible

Stellen Sie OpenClaw mit openclaw-ansible auf Produktionsservern bereit – einem automatisierten Installationsprogramm mit einer konsequent auf Sicherheit ausgerichteten Architektur.

Voraussetzungen

Anforderung Details
Betriebssystem Debian 11+ oder Ubuntu 20.04+
Zugriff Root- oder sudo-Berechtigungen
Netzwerk Internetverbindung für die Paketinstallation
Ansible 2.14+ (wird vom Schnellstartskript automatisch installiert)

Leistungsumfang

  • Sicherheit nach dem Firewall-first-Prinzip: UFW + Docker-Isolierung (nur SSH + Tailscale erreichbar)
  • Tailscale-VPN für den Fernzugriff, ohne Dienste öffentlich zugänglich zu machen
  • Docker für isolierte Sandbox-Container mit Bindungen ausschließlich an localhost
  • Systemd-Integration mit Härtung und automatischem Start beim Systemstart
  • Einrichtung mit einem einzigen Befehl

Schnellstart

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Installierte Komponenten

  1. Tailscale (Mesh-VPN für sicheren Fernzugriff)
  2. UFW-Firewall (nur SSH- + Tailscale-Ports)
  3. Docker CE + Compose V2 (standardmäßiges Sandbox-Backend für Agenten)
  4. Node.js und pnpm (OpenClaw erfordert Node 22.19+ oder 23.11+; Node 24 wird empfohlen)
  5. OpenClaw, hostbasiert und nicht containerisiert installiert
  6. Ein systemd-Dienst mit Sicherheitshärtung

Einrichtung nach der Installation

  • Zum Benutzer openclaw wechseln

    bash
    sudo -i -u openclaw
  • Onboarding-Assistenten ausführen

    Das Skript für die Einrichtung nach der Installation führt Sie durch die Konfiguration von OpenClaw.

  • Nachrichtenkanäle verbinden

    Melden Sie sich bei WhatsApp, Telegram, Discord oder Signal an:

    bash
    openclaw channels login --channel <name>
  • Installation überprüfen

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Mit Tailscale verbinden

    Treten Sie für sicheren Fernzugriff Ihrem VPN-Mesh bei.

  • Schnellbefehle

    bash
    # Dienststatus prüfensudo systemctl status openclaw # Live-Protokolle anzeigensudo journalctl -u openclaw -f # Gateway neu startensudo systemctl restart openclaw # Kanalanmeldung (als Benutzer openclaw ausführen)sudo -i -u openclawopenclaw channels login --channel <name>

    Sicherheitsarchitektur

    Vierstufiges Schutzmodell:

    1. Firewall (UFW): Nur SSH (22) und Tailscale (41641/udp) sind öffentlich erreichbar
    2. VPN (Tailscale): Das Gateway ist nur über das VPN-Mesh erreichbar
    3. Docker-Isolierung: Die iptables-Kette DOCKER-USER verhindert die externe Freigabe von Ports
    4. Systemd-Härtung: NoNewPrivileges, PrivateTmp, Benutzer ohne erhöhte Berechtigungen

    Überprüfen Sie Ihre externe Angriffsfläche:

    bash
    nmap -p- YOUR_SERVER_IP

    Nur Port 22 (SSH) sollte geöffnet sein. Gateway und Docker bleiben abgeschottet.

    Docker wird für Agenten-Sandboxes (isolierte Werkzeugausführung) installiert, nicht für die Ausführung des Gateways. Informationen zur Sandbox-Konfiguration finden Sie unter Multi-Agenten-Sandbox und Werkzeuge.

    Manuelle Installation

  • Voraussetzungen installieren

    bash
    sudo apt update && sudo apt install -y ansible git
  • Repository klonen

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Ansible-Sammlungen installieren

    bash
    ansible-galaxy collection install -r requirements.yml
  • Playbook ausführen

    bash
    ./run-playbook.sh

    Alternativ können Sie das Playbook direkt und anschließend das Einrichtungsskript manuell ausführen:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Anschließend ausführen: /tmp/openclaw-setup.sh
  • Aktualisierung

    Das Ansible-Installationsprogramm richtet OpenClaw für manuelle Aktualisierungen ein. Den Standardablauf finden Sie unter Aktualisierung.

    So führen Sie das Playbook erneut aus, beispielsweise nach Konfigurationsänderungen:

    bash
    cd openclaw-ansible./run-playbook.sh

    Der Vorgang ist idempotent und kann sicher mehrfach ausgeführt werden.

    Fehlerbehebung

    Die Firewall blockiert meine Verbindung
    • Stellen Sie zuerst eine Verbindung über das Tailscale-VPN her; das Gateway ist absichtlich nur auf diesem Weg erreichbar.
    • SSH (Port 22) ist immer zugelassen.
    Der Dienst startet nicht
    bash
    # Protokolle prüfensudo journalctl -u openclaw -n 100 # Berechtigungen überprüfensudo ls -la /opt/openclaw # Manuellen Start testensudo -i -u openclawcd ~/openclawopenclaw gateway run
    Probleme mit der Docker-Sandbox
    bash
    # Überprüfen, ob Docker ausgeführt wirdsudo systemctl status docker # Sandbox-Image prüfensudo docker images | grep openclaw-sandbox # Fehlendes Sandbox-Image erstellen (erfordert einen Quellcode-Checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Informationen zu npm-Installationen ohne Quellcode-Checkout finden Sie unter# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Kanalanmeldung schlägt fehl

    Stellen Sie sicher, dass Sie die Befehle als Benutzer openclaw ausführen:

    bash
    sudo -i -u openclawopenclaw channels login --channel <name>

    Erweiterte Konfiguration

    Ausführliche Informationen zur Sicherheitsarchitektur und Fehlerbehebung finden Sie im Repository openclaw-ansible:

    Verwandte Themen

    Was this useful?
    On this page

    On this page