Containers
Ansible
Stellen Sie OpenClaw mit openclaw-ansible auf Produktionsservern bereit – einem automatisierten Installationsprogramm mit einer konsequent auf Sicherheit ausgerichteten Architektur.
Voraussetzungen
| Anforderung | Details |
|---|---|
| Betriebssystem | Debian 11+ oder Ubuntu 20.04+ |
| Zugriff | Root- oder sudo-Berechtigungen |
| Netzwerk | Internetverbindung für die Paketinstallation |
| Ansible | 2.14+ (wird vom Schnellstartskript automatisch installiert) |
Leistungsumfang
- Sicherheit nach dem Firewall-first-Prinzip: UFW + Docker-Isolierung (nur SSH + Tailscale erreichbar)
- Tailscale-VPN für den Fernzugriff, ohne Dienste öffentlich zugänglich zu machen
- Docker für isolierte Sandbox-Container mit Bindungen ausschließlich an localhost
- Systemd-Integration mit Härtung und automatischem Start beim Systemstart
- Einrichtung mit einem einzigen Befehl
Schnellstart
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashInstallierte Komponenten
- Tailscale (Mesh-VPN für sicheren Fernzugriff)
- UFW-Firewall (nur SSH- + Tailscale-Ports)
- Docker CE + Compose V2 (standardmäßiges Sandbox-Backend für Agenten)
- Node.js und pnpm (OpenClaw erfordert Node 22.19+ oder 23.11+; Node 24 wird empfohlen)
- OpenClaw, hostbasiert und nicht containerisiert installiert
- Ein systemd-Dienst mit Sicherheitshärtung
Einrichtung nach der Installation
Zum Benutzer openclaw wechseln
sudo -i -u openclawOnboarding-Assistenten ausführen
Das Skript für die Einrichtung nach der Installation führt Sie durch die Konfiguration von OpenClaw.
Nachrichtenkanäle verbinden
Melden Sie sich bei WhatsApp, Telegram, Discord oder Signal an:
openclaw channels login --channel <name>Installation überprüfen
sudo systemctl status openclawsudo journalctl -u openclaw -fMit Tailscale verbinden
Treten Sie für sicheren Fernzugriff Ihrem VPN-Mesh bei.
Schnellbefehle
# Dienststatus prüfensudo systemctl status openclaw # Live-Protokolle anzeigensudo journalctl -u openclaw -f # Gateway neu startensudo systemctl restart openclaw # Kanalanmeldung (als Benutzer openclaw ausführen)sudo -i -u openclawopenclaw channels login --channel <name>Sicherheitsarchitektur
Vierstufiges Schutzmodell:
- Firewall (UFW): Nur SSH (22) und Tailscale (41641/udp) sind öffentlich erreichbar
- VPN (Tailscale): Das Gateway ist nur über das VPN-Mesh erreichbar
- Docker-Isolierung: Die iptables-Kette
DOCKER-USERverhindert die externe Freigabe von Ports - Systemd-Härtung:
NoNewPrivileges,PrivateTmp, Benutzer ohne erhöhte Berechtigungen
Überprüfen Sie Ihre externe Angriffsfläche:
nmap -p- YOUR_SERVER_IPNur Port 22 (SSH) sollte geöffnet sein. Gateway und Docker bleiben abgeschottet.
Docker wird für Agenten-Sandboxes (isolierte Werkzeugausführung) installiert, nicht für die Ausführung des Gateways. Informationen zur Sandbox-Konfiguration finden Sie unter Multi-Agenten-Sandbox und Werkzeuge.
Manuelle Installation
Voraussetzungen installieren
sudo apt update && sudo apt install -y ansible gitRepository klonen
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleAnsible-Sammlungen installieren
ansible-galaxy collection install -r requirements.ymlPlaybook ausführen
./run-playbook.shAlternativ können Sie das Playbook direkt und anschließend das Einrichtungsskript manuell ausführen:
ansible-playbook playbook.yml --ask-become-pass# Anschließend ausführen: /tmp/openclaw-setup.shAktualisierung
Das Ansible-Installationsprogramm richtet OpenClaw für manuelle Aktualisierungen ein. Den Standardablauf finden Sie unter Aktualisierung.
So führen Sie das Playbook erneut aus, beispielsweise nach Konfigurationsänderungen:
cd openclaw-ansible./run-playbook.shDer Vorgang ist idempotent und kann sicher mehrfach ausgeführt werden.
Fehlerbehebung
Die Firewall blockiert meine Verbindung
- Stellen Sie zuerst eine Verbindung über das Tailscale-VPN her; das Gateway ist absichtlich nur auf diesem Weg erreichbar.
- SSH (Port 22) ist immer zugelassen.
Der Dienst startet nicht
# Protokolle prüfensudo journalctl -u openclaw -n 100 # Berechtigungen überprüfensudo ls -la /opt/openclaw # Manuellen Start testensudo -i -u openclawcd ~/openclawopenclaw gateway runProbleme mit der Docker-Sandbox
# Überprüfen, ob Docker ausgeführt wirdsudo systemctl status docker # Sandbox-Image prüfensudo docker images | grep openclaw-sandbox # Fehlendes Sandbox-Image erstellen (erfordert einen Quellcode-Checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Informationen zu npm-Installationen ohne Quellcode-Checkout finden Sie unter# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupKanalanmeldung schlägt fehl
Stellen Sie sicher, dass Sie die Befehle als Benutzer openclaw ausführen:
sudo -i -u openclawopenclaw channels login --channel <name>Erweiterte Konfiguration
Ausführliche Informationen zur Sicherheitsarchitektur und Fehlerbehebung finden Sie im Repository openclaw-ansible:
Verwandte Themen
- openclaw-ansible: vollständiger Bereitstellungsleitfaden
- Docker: Einrichtung eines containerisierten Gateways
- Sandbox-Isolierung: Sandbox-Konfiguration für Agenten
- Multi-Agenten-Sandbox und Werkzeuge: Isolierung pro Agent