Containers
Ansible
Implementeer OpenClaw op productieservers met openclaw-ansible, een geautomatiseerd installatieprogramma met een architectuur waarin beveiliging vooropstaat.
Vereisten
| Vereiste | Details |
|---|---|
| Besturingssysteem | Debian 11+ of Ubuntu 20.04+ |
| Toegang | Root- of sudo-rechten |
| Netwerk | Internetverbinding voor de installatie van pakketten |
| Ansible | 2.14+ (automatisch geïnstalleerd door het snelstartscript) |
Wat u krijgt
- Beveiliging met de firewall als eerste verdedigingslinie: UFW + Docker-isolatie (alleen SSH + Tailscale bereikbaar)
- Tailscale-VPN voor externe toegang zonder services openbaar toegankelijk te maken
- Docker voor geïsoleerde sandboxcontainers met uitsluitend lokale bindingen
- Systemd-integratie met beveiligingsversterking en automatisch starten tijdens het opstarten
- Installatie met één opdracht
Snel aan de slag
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashWat wordt geïnstalleerd
- Tailscale (mesh-VPN voor veilige externe toegang)
- UFW-firewall (alleen poorten voor SSH + Tailscale)
- Docker CE + Compose V2 (standaardbackend voor agentsandboxes)
- Node.js en pnpm (OpenClaw vereist Node 22.19+ of 23.11+; Node 24 wordt aanbevolen)
- OpenClaw, op de host geïnstalleerd en niet in een container
- Een systemd-service met beveiligingsversterking
Configuratie na installatie
Overschakelen naar de gebruiker openclaw
sudo -i -u openclawDe onboardingwizard uitvoeren
Het script voor na de installatie begeleidt u bij het configureren van OpenClaw.
Berichtenkanalen verbinden
Meld u aan bij WhatsApp, Telegram, Discord of Signal:
openclaw channels login --channel <name>De installatie verifiëren
sudo systemctl status openclawsudo journalctl -u openclaw -fVerbinding maken met Tailscale
Neem deel aan uw VPN-mesh voor veilige externe toegang.
Snelle opdrachten
# Servicestatus controlerensudo systemctl status openclaw # Live-logboeken bekijkensudo journalctl -u openclaw -f # Gateway opnieuw startensudo systemctl restart openclaw # Aanmelden bij kanaal (uitvoeren als gebruiker openclaw)sudo -i -u openclawopenclaw channels login --channel <name>Beveiligingsarchitectuur
Verdedigingsmodel met vier lagen:
- Firewall (UFW): alleen SSH (22) en Tailscale (41641/udp) zijn openbaar toegankelijk
- VPN (Tailscale): de Gateway is alleen bereikbaar via de VPN-mesh
- Docker-isolatie: de iptables-keten
DOCKER-USERvoorkomt dat poorten extern toegankelijk zijn - Systemd-versterking:
NoNewPrivileges,PrivateTmp, gebruiker zonder verhoogde rechten
Controleer uw externe aanvalsoppervlak:
nmap -p- YOUR_SERVER_IPAlleen poort 22 (SSH) hoort open te zijn. De Gateway en Docker blijven afgeschermd.
Docker wordt geïnstalleerd voor agentsandboxes (geïsoleerde uitvoering van hulpprogramma's), niet om de Gateway uit te voeren. Zie Sandbox voor meerdere agents en hulpprogramma's voor de sandboxconfiguratie.
Handmatige installatie
Vereisten installeren
sudo apt update && sudo apt install -y ansible gitDe opslagplaats klonen
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleAnsible-collecties installeren
ansible-galaxy collection install -r requirements.ymlHet playbook uitvoeren
./run-playbook.shOf voer het playbook rechtstreeks uit en voer daarna het configuratiescript handmatig uit:
ansible-playbook playbook.yml --ask-become-pass# Voer daarna uit: /tmp/openclaw-setup.shBijwerken
Het Ansible-installatieprogramma configureert OpenClaw voor handmatige updates; zie Bijwerken voor de standaardprocedure.
Het playbook opnieuw uitvoeren (bijvoorbeeld na configuratiewijzigingen):
cd openclaw-ansible./run-playbook.shDit is idempotent en kan veilig meerdere keren worden uitgevoerd.
Problemen oplossen
De firewall blokkeert mijn verbinding
- Maak eerst verbinding via de Tailscale-VPN; de Gateway is standaard alleen op die manier bereikbaar.
- SSH (poort 22) is altijd toegestaan.
De service start niet
# Logboeken controlerensudo journalctl -u openclaw -n 100 # Rechten controlerensudo ls -la /opt/openclaw # Handmatig starten testensudo -i -u openclawcd ~/openclawopenclaw gateway runProblemen met de Docker-sandbox
# Controleren of Docker actief issudo systemctl status docker # Sandboximage controlerensudo docker images | grep openclaw-sandbox # De sandboximage bouwen als deze ontbreekt (vereist een uitgecheckte broncode)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Zie voor npm-installaties zonder uitgecheckte broncode# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupAanmelden bij het kanaal mislukt
Zorg dat u opdrachten uitvoert als de gebruiker openclaw:
sudo -i -u openclawopenclaw channels login --channel <name>Geavanceerde configuratie
Raadpleeg voor een gedetailleerde beveiligingsarchitectuur en informatie over probleemoplossing de opslagplaats openclaw-ansible:
Gerelateerd
- openclaw-ansible: volledige implementatiehandleiding
- Docker: gecontaineriseerde Gateway-configuratie
- Sandboxing: configuratie van agentsandboxes
- Sandbox voor meerdere agents en hulpprogramma's: isolatie per agent