Containers
Ansible
OpenClaw を本番サーバーにデプロイするには、セキュリティ優先のアーキテクチャを採用した自動インストーラー openclaw-ansible を使用します。
前提条件
| 要件 | 詳細 |
|---|---|
| OS | Debian 11 以降または Ubuntu 20.04 以降 |
| アクセス | root または sudo 権限 |
| ネットワーク | パッケージをインストールするためのインターネット接続 |
| Ansible | 2.14 以降(クイックスタートスクリプトによって自動インストール) |
導入されるもの
- ファイアウォール優先のセキュリティ:UFW + Docker による分離(SSH + Tailscale のみアクセス可能)
- サービスを公開せずにリモートアクセスするための Tailscale VPN
- localhost のみにバインドされた分離サンドボックスコンテナ用の Docker
- セキュリティ強化と起動時の自動開始を備えた systemd 統合
- 1 コマンドでのセットアップ
クイックスタート
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashインストールされるもの
- Tailscale(安全なリモートアクセス用のメッシュ VPN)
- UFW ファイアウォール(SSH + Tailscale のポートのみ)
- Docker CE + Compose V2(デフォルトのエージェントサンドボックスバックエンド)
- Node.js と pnpm(OpenClaw には Node 22.19 以降または 23.11 以降が必要。Node 24 を推奨)
- コンテナ化せず、ホストベースでインストールされる OpenClaw
- セキュリティ強化を施した systemd サービス
インストール後のセットアップ
Switch to the openclaw user
sudo -i -u openclawRun the onboarding wizard
インストール後のスクリプトに従って OpenClaw を設定します。
Connect messaging channels
WhatsApp、Telegram、Discord、または Signal にログインします。
openclaw channels login --channel <name>Verify the installation
sudo systemctl status openclawsudo journalctl -u openclaw -fConnect to Tailscale
安全なリモートアクセスのために VPN メッシュへ参加します。
クイックコマンド
# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Channel login (run as openclaw user)sudo -i -u openclawopenclaw channels login --channel <name>セキュリティアーキテクチャ
4 層の防御モデル:
- ファイアウォール(UFW):SSH(22)と Tailscale(41641/udp)のみを公開
- VPN(Tailscale):Gateway は VPN メッシュ経由でのみアクセス可能
- Docker による分離:
DOCKER-USERiptables チェーンによって外部へのポート公開を防止 - Systemd のセキュリティ強化:
NoNewPrivileges、PrivateTmp、非特権ユーザー
外部からの攻撃対象領域を確認します。
nmap -p- YOUR_SERVER_IP開いているのはポート 22(SSH)のみである必要があります。Gateway と Docker は外部からアクセスできない状態に保たれます。
Docker は Gateway の実行用ではなく、エージェントサンドボックス(分離されたツール実行環境)用にインストールされます。サンドボックスの設定については、マルチエージェントのサンドボックスとツールを参照してください。
手動インストール
Install prerequisites
sudo apt update && sudo apt install -y ansible gitClone the repository
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstall Ansible collections
ansible-galaxy collection install -r requirements.ymlRun the playbook
./run-playbook.shまたは、プレイブックを直接実行してから、セットアップスクリプトを手動で実行します。
ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh更新
Ansible インストーラーは、OpenClaw を手動で更新できるように設定します。標準的な手順については、更新を参照してください。
設定変更後などにプレイブックを再実行するには、次のコマンドを使用します。
cd openclaw-ansible./run-playbook.shこの処理は冪等であり、複数回実行しても安全です。
トラブルシューティング
Firewall blocks my connection
- まず Tailscale VPN 経由で接続してください。Gateway は設計上、その方法でのみアクセスできます。
- SSH(ポート 22)は常に許可されます。
Service will not start
# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runDocker sandbox issues
# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build the sandbox image if missing (requires a source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupChannel login fails
openclaw ユーザーとして実行していることを確認してください。
sudo -i -u openclawopenclaw channels login --channel <name>高度な設定
セキュリティアーキテクチャとトラブルシューティングの詳細については、openclaw-ansible リポジトリを参照してください。
関連項目
- openclaw-ansible:完全なデプロイガイド
- Docker:コンテナ化された Gateway のセットアップ
- サンドボックス化:エージェントサンドボックスの設定
- マルチエージェントのサンドボックスとツール:エージェントごとの分離
Was this useful?