Containers

Ansible

Distribuisci OpenClaw sui server di produzione con openclaw-ansible, un programma di installazione automatizzato con un'architettura orientata alla sicurezza.

Prerequisiti

Requisito Dettagli
SO Debian 11+ o Ubuntu 20.04+
Accesso Privilegi root o sudo
Rete Connessione Internet per l'installazione dei pacchetti
Ansible 2.14+ (installato automaticamente dallo script di avvio rapido)

Cosa ottieni

  • Sicurezza basata innanzitutto sul firewall: UFW + isolamento Docker (sono raggiungibili solo SSH + Tailscale)
  • VPN Tailscale per l'accesso remoto senza esporre pubblicamente i servizi
  • Docker per container sandbox isolati con associazioni limitate a localhost
  • Integrazione con systemd con rafforzamento della sicurezza e avvio automatico all'accensione
  • Configurazione con un solo comando

Avvio rapido

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Cosa viene installato

  1. Tailscale (VPN mesh per l'accesso remoto sicuro)
  2. Firewall UFW (solo porte SSH + Tailscale)
  3. Docker CE + Compose V2 (backend predefinito per la sandbox degli agenti)
  4. Node.js e pnpm (OpenClaw richiede Node 22.19+ o 23.11+; è consigliato Node 24)
  5. OpenClaw, installato direttamente sull'host, non in un container
  6. Un servizio systemd con rafforzamento della sicurezza

Configurazione successiva all'installazione

  • Passa all'utente openclaw

    bash
    sudo -i -u openclaw
  • Esegui la procedura guidata di configurazione iniziale

    Lo script successivo all'installazione ti guida nella configurazione di OpenClaw.

  • Connetti i canali di messaggistica

    Accedi a WhatsApp, Telegram, Discord o Signal:

    bash
    openclaw channels login --channel <name>
  • Verifica l'installazione

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Connettiti a Tailscale

    Entra nella tua rete VPN mesh per un accesso remoto sicuro.

  • Comandi rapidi

    bash
    # Controlla lo stato del serviziosudo systemctl status openclaw # Visualizza i log in tempo realesudo journalctl -u openclaw -f # Riavvia il gatewaysudo systemctl restart openclaw # Accesso al canale (esegui come utente openclaw)sudo -i -u openclawopenclaw channels login --channel <name>

    Architettura di sicurezza

    Modello di difesa a quattro livelli:

    1. Firewall (UFW): solo SSH (22) e Tailscale (41641/udp) sono esposti pubblicamente
    2. VPN (Tailscale): il Gateway è raggiungibile solo tramite la rete VPN mesh
    3. Isolamento Docker: la catena iptables DOCKER-USER impedisce l'esposizione esterna delle porte
    4. Rafforzamento della sicurezza di systemd: NoNewPrivileges, PrivateTmp, utente senza privilegi

    Verifica la superficie di attacco esterna:

    bash
    nmap -p- YOUR_SERVER_IP

    Dovrebbe essere aperta solo la porta 22 (SSH). Il Gateway e Docker rimangono protetti.

    Docker viene installato per le sandbox degli agenti (esecuzione isolata degli strumenti), non per eseguire il Gateway. Per la configurazione della sandbox, consulta Sandbox multi-agente e strumenti.

    Installazione manuale

  • Installa i prerequisiti

    bash
    sudo apt update && sudo apt install -y ansible git
  • Clona il repository

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Installa le raccolte Ansible

    bash
    ansible-galaxy collection install -r requirements.yml
  • Esegui il playbook

    bash
    ./run-playbook.sh

    In alternativa, esegui direttamente il playbook e poi avvia manualmente lo script di configurazione:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Quindi esegui: /tmp/openclaw-setup.sh
  • Aggiornamento

    Il programma di installazione Ansible configura OpenClaw per gli aggiornamenti manuali; per il flusso standard, consulta Aggiornamento.

    Per eseguire nuovamente il playbook, ad esempio dopo modifiche alla configurazione:

    bash
    cd openclaw-ansible./run-playbook.sh

    L'operazione è idempotente e può essere eseguita più volte in sicurezza.

    Risoluzione dei problemi

    Il firewall blocca la connessione
    • Connettiti prima tramite la VPN Tailscale; per progettazione, il Gateway è raggiungibile solo in questo modo.
    • SSH (porta 22) è sempre consentito.
    Il servizio non si avvia
    bash
    # Controlla i logsudo journalctl -u openclaw -n 100 # Verifica le autorizzazionisudo ls -la /opt/openclaw # Prova l'avvio manualesudo -i -u openclawcd ~/openclawopenclaw gateway run
    Problemi con la sandbox Docker
    bash
    # Verifica che Docker sia in esecuzionesudo systemctl status docker # Controlla l'immagine della sandboxsudo docker images | grep openclaw-sandbox # Crea l'immagine della sandbox se manca (richiede un checkout del codice sorgente)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Per le installazioni npm senza un checkout del codice sorgente, consulta# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    L'accesso al canale non riesce

    Assicurati di eseguire i comandi come utente openclaw:

    bash
    sudo -i -u openclawopenclaw channels login --channel <name>

    Configurazione avanzata

    Per informazioni dettagliate sull'architettura di sicurezza e sulla risoluzione dei problemi, consulta il repository openclaw-ansible:

    Contenuti correlati

    Was this useful?
    On this page

    On this page