Containers
Ansible
Implementa OpenClaw en servidores de producción con openclaw-ansible, un instalador automatizado con una arquitectura centrada en la seguridad.
Requisitos previos
| Requisito | Detalles |
|---|---|
| SO | Debian 11+ o Ubuntu 20.04+ |
| Acceso | Privilegios de root o sudo |
| Red | Conexión a Internet para instalar paquetes |
| Ansible | 2.14+ (el script de inicio rápido lo instala automáticamente) |
Qué se obtiene
- Seguridad centrada en el cortafuegos: aislamiento mediante UFW + Docker (solo se puede acceder a SSH + Tailscale)
- VPN de Tailscale para el acceso remoto sin exponer públicamente los servicios
- Docker para contenedores aislados de entorno seguro con enlaces exclusivos a localhost
- Integración con systemd con refuerzo de seguridad e inicio automático al arrancar
- Configuración con un solo comando
Inicio rápido
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashQué se instala
- Tailscale (VPN de malla para un acceso remoto seguro)
- Cortafuegos UFW (solo puertos de SSH + Tailscale)
- Docker CE + Compose V2 (backend predeterminado del entorno seguro del agente)
- Node.js y pnpm (OpenClaw requiere Node 22.22.3+, 24.15+ o 25.9+; se recomienda Node 24)
- OpenClaw, instalado directamente en el host, sin contenedores
- Un servicio de systemd con refuerzo de seguridad
Configuración posterior a la instalación
Cambiar al usuario openclaw
sudo -i -u openclawEjecutar el asistente de incorporación
El script posterior a la instalación guía el proceso de configuración de OpenClaw.
Conectar canales de mensajería
Inicie sesión en WhatsApp, Telegram, Discord o Signal:
openclaw channels login --channel <name>Verificar la instalación
sudo systemctl status openclawsudo journalctl -u openclaw -fConectarse a Tailscale
Únase a la malla de la VPN para obtener acceso remoto seguro.
Comandos rápidos
# Comprobar el estado del serviciosudo systemctl status openclaw # Ver los registros en tiempo realsudo journalctl -u openclaw -f # Reiniciar el Gatewaysudo systemctl restart openclaw # Iniciar sesión en un canal (ejecutar como usuario openclaw)sudo -i -u openclawopenclaw channels login --channel <name>Arquitectura de seguridad
Modelo de defensa de cuatro capas:
- Cortafuegos (UFW): solo SSH (22) y Tailscale (41641/udp) se exponen públicamente
- VPN (Tailscale): solo se puede acceder al Gateway mediante la malla de la VPN
- Aislamiento mediante Docker: la cadena de iptables
DOCKER-USERimpide la exposición externa de puertos - Refuerzo de systemd:
NoNewPrivileges,PrivateTmp, usuario sin privilegios
Verifique la superficie de ataque externa:
nmap -p- YOUR_SERVER_IPSolo debería estar abierto el puerto 22 (SSH). El Gateway y Docker permanecen protegidos.
Docker se instala para los entornos seguros de los agentes (ejecución aislada de herramientas), no para ejecutar el Gateway. Consulte Entorno seguro y herramientas para varios agentes para configurar el entorno seguro.
Instalación manual
Instalar los requisitos previos
sudo apt update && sudo apt install -y ansible gitClonar el repositorio
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstalar las colecciones de Ansible
ansible-galaxy collection install -r requirements.ymlEjecutar el playbook
./run-playbook.shTambién puede ejecutar directamente el playbook y después ejecutar manualmente el script de configuración:
ansible-playbook playbook.yml --ask-become-pass# Después, ejecutar: /tmp/openclaw-setup.shActualización
El instalador de Ansible configura OpenClaw para las actualizaciones manuales; consulte Actualización para conocer el procedimiento estándar.
Para volver a ejecutar el playbook (por ejemplo, después de cambiar la configuración):
cd openclaw-ansible./run-playbook.shEs idempotente y se puede ejecutar varias veces de forma segura.
Solución de problemas
El cortafuegos bloquea la conexión
- Conéctese primero mediante la VPN de Tailscale; por diseño, solo se puede acceder al Gateway de esta manera.
- SSH (puerto 22) siempre está permitido.
El servicio no se inicia
# Comprobar los registrossudo journalctl -u openclaw -n 100 # Verificar los permisossudo ls -la /opt/openclaw # Probar el inicio manualsudo -i -u openclawcd ~/openclawopenclaw gateway runProblemas con el entorno seguro de Docker
# Verificar que Docker esté en ejecuciónsudo systemctl status docker # Comprobar la imagen del entorno segurosudo docker images | grep openclaw-sandbox # Crear la imagen del entorno seguro si falta (requiere una copia del código fuente)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Para instalaciones mediante npm sin una copia del código fuente, consulte# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupFalla el inicio de sesión en el canal
Asegúrese de ejecutar el comando como usuario openclaw:
sudo -i -u openclawopenclaw channels login --channel <name>Configuración avanzada
Para obtener información detallada sobre la arquitectura de seguridad y la solución de problemas, consulte el repositorio openclaw-ansible:
Contenido relacionado
- openclaw-ansible: guía completa de implementación
- Docker: configuración del Gateway en contenedores
- Aislamiento: configuración del entorno seguro del agente
- Entorno seguro y herramientas para varios agentes: aislamiento por agente