Containers
Ansible
Distribuisci OpenClaw sui server di produzione con openclaw-ansible, un programma di installazione automatizzato con un'architettura orientata alla sicurezza.
Prerequisiti
| Requisito | Dettagli |
|---|---|
| SO | Debian 11+ o Ubuntu 20.04+ |
| Accesso | Privilegi root o sudo |
| Rete | Connessione Internet per l'installazione dei pacchetti |
| Ansible | 2.14+ (installato automaticamente dallo script di avvio rapido) |
Cosa ottieni
- Sicurezza basata innanzitutto sul firewall: UFW + isolamento Docker (sono raggiungibili solo SSH + Tailscale)
- VPN Tailscale per l'accesso remoto senza esporre pubblicamente i servizi
- Docker per container sandbox isolati con associazioni limitate a localhost
- Integrazione con systemd con rafforzamento della sicurezza e avvio automatico all'accensione
- Configurazione con un solo comando
Avvio rapido
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashCosa viene installato
- Tailscale (VPN mesh per l'accesso remoto sicuro)
- Firewall UFW (solo porte SSH + Tailscale)
- Docker CE + Compose V2 (backend predefinito per la sandbox degli agenti)
- Node.js e pnpm (OpenClaw richiede Node 22.19+ o 23.11+; è consigliato Node 24)
- OpenClaw, installato direttamente sull'host, non in un container
- Un servizio systemd con rafforzamento della sicurezza
Configurazione successiva all'installazione
Passa all'utente openclaw
sudo -i -u openclawEsegui la procedura guidata di configurazione iniziale
Lo script successivo all'installazione ti guida nella configurazione di OpenClaw.
Connetti i canali di messaggistica
Accedi a WhatsApp, Telegram, Discord o Signal:
openclaw channels login --channel <name>Verifica l'installazione
sudo systemctl status openclawsudo journalctl -u openclaw -fConnettiti a Tailscale
Entra nella tua rete VPN mesh per un accesso remoto sicuro.
Comandi rapidi
# Controlla lo stato del serviziosudo systemctl status openclaw # Visualizza i log in tempo realesudo journalctl -u openclaw -f # Riavvia il gatewaysudo systemctl restart openclaw # Accesso al canale (esegui come utente openclaw)sudo -i -u openclawopenclaw channels login --channel <name>Architettura di sicurezza
Modello di difesa a quattro livelli:
- Firewall (UFW): solo SSH (22) e Tailscale (41641/udp) sono esposti pubblicamente
- VPN (Tailscale): il Gateway è raggiungibile solo tramite la rete VPN mesh
- Isolamento Docker: la catena iptables
DOCKER-USERimpedisce l'esposizione esterna delle porte - Rafforzamento della sicurezza di systemd:
NoNewPrivileges,PrivateTmp, utente senza privilegi
Verifica la superficie di attacco esterna:
nmap -p- YOUR_SERVER_IPDovrebbe essere aperta solo la porta 22 (SSH). Il Gateway e Docker rimangono protetti.
Docker viene installato per le sandbox degli agenti (esecuzione isolata degli strumenti), non per eseguire il Gateway. Per la configurazione della sandbox, consulta Sandbox multi-agente e strumenti.
Installazione manuale
Installa i prerequisiti
sudo apt update && sudo apt install -y ansible gitClona il repository
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstalla le raccolte Ansible
ansible-galaxy collection install -r requirements.ymlEsegui il playbook
./run-playbook.shIn alternativa, esegui direttamente il playbook e poi avvia manualmente lo script di configurazione:
ansible-playbook playbook.yml --ask-become-pass# Quindi esegui: /tmp/openclaw-setup.shAggiornamento
Il programma di installazione Ansible configura OpenClaw per gli aggiornamenti manuali; per il flusso standard, consulta Aggiornamento.
Per eseguire nuovamente il playbook, ad esempio dopo modifiche alla configurazione:
cd openclaw-ansible./run-playbook.shL'operazione è idempotente e può essere eseguita più volte in sicurezza.
Risoluzione dei problemi
Il firewall blocca la connessione
- Connettiti prima tramite la VPN Tailscale; per progettazione, il Gateway è raggiungibile solo in questo modo.
- SSH (porta 22) è sempre consentito.
Il servizio non si avvia
# Controlla i logsudo journalctl -u openclaw -n 100 # Verifica le autorizzazionisudo ls -la /opt/openclaw # Prova l'avvio manualesudo -i -u openclawcd ~/openclawopenclaw gateway runProblemi con la sandbox Docker
# Verifica che Docker sia in esecuzionesudo systemctl status docker # Controlla l'immagine della sandboxsudo docker images | grep openclaw-sandbox # Crea l'immagine della sandbox se manca (richiede un checkout del codice sorgente)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Per le installazioni npm senza un checkout del codice sorgente, consulta# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupL'accesso al canale non riesce
Assicurati di eseguire i comandi come utente openclaw:
sudo -i -u openclawopenclaw channels login --channel <name>Configurazione avanzata
Per informazioni dettagliate sull'architettura di sicurezza e sulla risoluzione dei problemi, consulta il repository openclaw-ansible:
Contenuti correlati
- openclaw-ansible: guida completa alla distribuzione
- Docker: configurazione del Gateway in container
- Uso della sandbox: configurazione della sandbox degli agenti
- Sandbox multi-agente e strumenti: isolamento per agente