Containers
Ansible
Déployez OpenClaw sur des serveurs de production avec openclaw-ansible, un programme d’installation automatisé doté d’une architecture axée sur la sécurité.
Prérequis
| Exigence | Détails |
|---|---|
| Système | Debian 11+ ou Ubuntu 20.04+ |
| Accès | Privilèges root ou sudo |
| Réseau | Connexion Internet pour l’installation des paquets |
| Ansible | 2.14+ (installé automatiquement par le script de démarrage rapide) |
Ce que vous obtenez
- Sécurité donnant la priorité au pare-feu : isolation UFW + Docker (seuls SSH + Tailscale sont accessibles)
- VPN Tailscale pour l’accès à distance sans exposer publiquement les services
- Docker pour des conteneurs de bac à sable isolés avec des liaisons limitées à l’hôte local
- Intégration à systemd avec renforcement de la sécurité et démarrage automatique au lancement du système
- Configuration en une seule commande
Démarrage rapide
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashÉléments installés
- Tailscale (VPN maillé pour un accès à distance sécurisé)
- Pare-feu UFW (ports SSH + Tailscale uniquement)
- Docker CE + Compose V2 (moteur de bac à sable par défaut des agents)
- Node.js et pnpm (OpenClaw nécessite Node 22.19+ ou 23.11+ ; Node 24 est recommandé)
- OpenClaw, installé directement sur l’hôte et non conteneurisé
- Un service systemd avec renforcement de la sécurité
Configuration après l’installation
Passer à l’utilisateur openclaw
sudo -i -u openclawExécuter l’assistant d’intégration
Le script de post-installation vous guide dans la configuration d’OpenClaw.
Connecter les canaux de messagerie
Connectez-vous à WhatsApp, Telegram, Discord ou Signal :
openclaw channels login --channel <name>Vérifier l’installation
sudo systemctl status openclawsudo journalctl -u openclaw -fSe connecter à Tailscale
Rejoignez votre maillage VPN pour bénéficier d’un accès à distance sécurisé.
Commandes rapides
# Vérifier l’état du servicesudo systemctl status openclaw # Afficher les journaux en directsudo journalctl -u openclaw -f # Redémarrer le Gatewaysudo systemctl restart openclaw # Connexion à un canal (à exécuter en tant qu’utilisateur openclaw)sudo -i -u openclawopenclaw channels login --channel <name>Architecture de sécurité
Modèle de défense à quatre couches :
- Pare-feu (UFW) : seuls SSH (22) et Tailscale (41641/udp) sont exposés publiquement
- VPN (Tailscale) : le Gateway est accessible uniquement via le maillage VPN
- Isolation Docker : la chaîne iptables
DOCKER-USERempêche l’exposition externe des ports - Renforcement de systemd :
NoNewPrivileges,PrivateTmp, utilisateur non privilégié
Vérifiez votre surface d’attaque externe :
nmap -p- YOUR_SERVER_IPSeul le port 22 (SSH) doit être ouvert. Le Gateway et Docker restent verrouillés.
Docker est installé pour les bacs à sable des agents (exécution isolée des outils), et non pour exécuter le Gateway. Consultez Bac à sable multi-agents et outils pour configurer le bac à sable.
Installation manuelle
Installer les prérequis
sudo apt update && sudo apt install -y ansible gitCloner le dépôt
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstaller les collections Ansible
ansible-galaxy collection install -r requirements.ymlExécuter le playbook
./run-playbook.shVous pouvez également exécuter directement le playbook, puis lancer manuellement le script de configuration :
ansible-playbook playbook.yml --ask-become-pass# Exécutez ensuite : /tmp/openclaw-setup.shMise à jour
Le programme d’installation Ansible configure OpenClaw pour les mises à jour manuelles ; consultez Mise à jour pour connaître la procédure standard.
Pour réexécuter le playbook (par exemple, après des modifications de la configuration) :
cd openclaw-ansible./run-playbook.shCette opération est idempotente et peut être exécutée plusieurs fois en toute sécurité.
Dépannage
Le pare-feu bloque ma connexion
- Connectez-vous d’abord via le VPN Tailscale ; le Gateway est conçu pour n’être accessible que de cette manière.
- SSH (port 22) est toujours autorisé.
Le service ne démarre pas
# Consulter les journauxsudo journalctl -u openclaw -n 100 # Vérifier les autorisationssudo ls -la /opt/openclaw # Tester le démarrage manuelsudo -i -u openclawcd ~/openclawopenclaw gateway runProblèmes liés au bac à sable Docker
# Vérifier que Docker est en cours d’exécutionsudo systemctl status docker # Vérifier l’image du bac à sablesudo docker images | grep openclaw-sandbox # Construire l’image du bac à sable si elle est absente (nécessite une copie de travail des sources)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Pour les installations npm sans copie de travail des sources, consultez# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupÉchec de la connexion au canal
Assurez-vous d’exécuter les commandes en tant qu’utilisateur openclaw :
sudo -i -u openclawopenclaw channels login --channel <name>Configuration avancée
Pour obtenir des informations détaillées sur l’architecture de sécurité et le dépannage, consultez le dépôt openclaw-ansible :
Contenu associé
- openclaw-ansible : guide complet de déploiement
- Docker : configuration conteneurisée du Gateway
- Mise en bac à sable : configuration du bac à sable des agents
- Bac à sable multi-agents et outils : isolation par agent