Containers

Ansible

Implementa OpenClaw en servidores de producción con openclaw-ansible, un instalador automatizado con una arquitectura centrada en la seguridad.

Requisitos previos

Requisito Detalles
SO Debian 11+ o Ubuntu 20.04+
Acceso Privilegios de root o sudo
Red Conexión a Internet para instalar paquetes
Ansible 2.14+ (el script de inicio rápido lo instala automáticamente)

Qué se obtiene

  • Seguridad centrada en el cortafuegos: aislamiento mediante UFW + Docker (solo se puede acceder a SSH + Tailscale)
  • VPN de Tailscale para el acceso remoto sin exponer públicamente los servicios
  • Docker para contenedores aislados de entorno seguro con enlaces exclusivos a localhost
  • Integración con systemd con refuerzo de seguridad e inicio automático al arrancar
  • Configuración con un solo comando

Inicio rápido

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Qué se instala

  1. Tailscale (VPN de malla para un acceso remoto seguro)
  2. Cortafuegos UFW (solo puertos de SSH + Tailscale)
  3. Docker CE + Compose V2 (backend predeterminado del entorno seguro del agente)
  4. Node.js y pnpm (OpenClaw requiere Node 22.22.3+, 24.15+ o 25.9+; se recomienda Node 24)
  5. OpenClaw, instalado directamente en el host, sin contenedores
  6. Un servicio de systemd con refuerzo de seguridad

Configuración posterior a la instalación

  • Cambiar al usuario openclaw

    bash
    sudo -i -u openclaw
  • Ejecutar el asistente de incorporación

    El script posterior a la instalación guía el proceso de configuración de OpenClaw.

  • Conectar canales de mensajería

    Inicie sesión en WhatsApp, Telegram, Discord o Signal:

    bash
    openclaw channels login --channel <name>
  • Verificar la instalación

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Conectarse a Tailscale

    Únase a la malla de la VPN para obtener acceso remoto seguro.

  • Comandos rápidos

    bash
    # Comprobar el estado del serviciosudo systemctl status openclaw # Ver los registros en tiempo realsudo journalctl -u openclaw -f # Reiniciar el Gatewaysudo systemctl restart openclaw # Iniciar sesión en un canal (ejecutar como usuario openclaw)sudo -i -u openclawopenclaw channels login --channel <name>

    Arquitectura de seguridad

    Modelo de defensa de cuatro capas:

    1. Cortafuegos (UFW): solo SSH (22) y Tailscale (41641/udp) se exponen públicamente
    2. VPN (Tailscale): solo se puede acceder al Gateway mediante la malla de la VPN
    3. Aislamiento mediante Docker: la cadena de iptables DOCKER-USER impide la exposición externa de puertos
    4. Refuerzo de systemd: NoNewPrivileges, PrivateTmp, usuario sin privilegios

    Verifique la superficie de ataque externa:

    bash
    nmap -p- YOUR_SERVER_IP

    Solo debería estar abierto el puerto 22 (SSH). El Gateway y Docker permanecen protegidos.

    Docker se instala para los entornos seguros de los agentes (ejecución aislada de herramientas), no para ejecutar el Gateway. Consulte Entorno seguro y herramientas para varios agentes para configurar el entorno seguro.

    Instalación manual

  • Instalar los requisitos previos

    bash
    sudo apt update && sudo apt install -y ansible git
  • Clonar el repositorio

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Instalar las colecciones de Ansible

    bash
    ansible-galaxy collection install -r requirements.yml
  • Ejecutar el playbook

    bash
    ./run-playbook.sh

    También puede ejecutar directamente el playbook y después ejecutar manualmente el script de configuración:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Después, ejecutar: /tmp/openclaw-setup.sh
  • Actualización

    El instalador de Ansible configura OpenClaw para las actualizaciones manuales; consulte Actualización para conocer el procedimiento estándar.

    Para volver a ejecutar el playbook (por ejemplo, después de cambiar la configuración):

    bash
    cd openclaw-ansible./run-playbook.sh

    Es idempotente y se puede ejecutar varias veces de forma segura.

    Solución de problemas

    El cortafuegos bloquea la conexión
    • Conéctese primero mediante la VPN de Tailscale; por diseño, solo se puede acceder al Gateway de esta manera.
    • SSH (puerto 22) siempre está permitido.
    El servicio no se inicia
    bash
    # Comprobar los registrossudo journalctl -u openclaw -n 100 # Verificar los permisossudo ls -la /opt/openclaw # Probar el inicio manualsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Problemas con el entorno seguro de Docker
    bash
    # Verificar que Docker esté en ejecuciónsudo systemctl status docker # Comprobar la imagen del entorno segurosudo docker images | grep openclaw-sandbox # Crear la imagen del entorno seguro si falta (requiere una copia del código fuente)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Para instalaciones mediante npm sin una copia del código fuente, consulte# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Falla el inicio de sesión en el canal

    Asegúrese de ejecutar el comando como usuario openclaw:

    bash
    sudo -i -u openclawopenclaw channels login --channel <name>

    Configuración avanzada

    Para obtener información detallada sobre la arquitectura de seguridad y la solución de problemas, consulte el repositorio openclaw-ansible:

    Contenido relacionado

    Was this useful?
    On this page

    On this page