Containers

Ansible

Implementeer OpenClaw op productieservers met openclaw-ansible, een geautomatiseerd installatieprogramma met een architectuur waarin beveiliging vooropstaat.

Vereisten

Vereiste Details
Besturingssysteem Debian 11+ of Ubuntu 20.04+
Toegang Root- of sudo-rechten
Netwerk Internetverbinding voor de installatie van pakketten
Ansible 2.14+ (automatisch geïnstalleerd door het snelstartscript)

Wat u krijgt

  • Beveiliging met de firewall als eerste verdedigingslinie: UFW + Docker-isolatie (alleen SSH + Tailscale bereikbaar)
  • Tailscale-VPN voor externe toegang zonder services openbaar toegankelijk te maken
  • Docker voor geïsoleerde sandboxcontainers met uitsluitend lokale bindingen
  • Systemd-integratie met beveiligingsversterking en automatisch starten tijdens het opstarten
  • Installatie met één opdracht

Snel aan de slag

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Wat wordt geïnstalleerd

  1. Tailscale (mesh-VPN voor veilige externe toegang)
  2. UFW-firewall (alleen poorten voor SSH + Tailscale)
  3. Docker CE + Compose V2 (standaardbackend voor agentsandboxes)
  4. Node.js en pnpm (OpenClaw vereist Node 22.19+ of 23.11+; Node 24 wordt aanbevolen)
  5. OpenClaw, op de host geïnstalleerd en niet in een container
  6. Een systemd-service met beveiligingsversterking

Configuratie na installatie

  • Overschakelen naar de gebruiker openclaw

    bash
    sudo -i -u openclaw
  • De onboardingwizard uitvoeren

    Het script voor na de installatie begeleidt u bij het configureren van OpenClaw.

  • Berichtenkanalen verbinden

    Meld u aan bij WhatsApp, Telegram, Discord of Signal:

    bash
    openclaw channels login --channel <name>
  • De installatie verifiëren

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Verbinding maken met Tailscale

    Neem deel aan uw VPN-mesh voor veilige externe toegang.

  • Snelle opdrachten

    bash
    # Servicestatus controlerensudo systemctl status openclaw # Live-logboeken bekijkensudo journalctl -u openclaw -f # Gateway opnieuw startensudo systemctl restart openclaw # Aanmelden bij kanaal (uitvoeren als gebruiker openclaw)sudo -i -u openclawopenclaw channels login --channel <name>

    Beveiligingsarchitectuur

    Verdedigingsmodel met vier lagen:

    1. Firewall (UFW): alleen SSH (22) en Tailscale (41641/udp) zijn openbaar toegankelijk
    2. VPN (Tailscale): de Gateway is alleen bereikbaar via de VPN-mesh
    3. Docker-isolatie: de iptables-keten DOCKER-USER voorkomt dat poorten extern toegankelijk zijn
    4. Systemd-versterking: NoNewPrivileges, PrivateTmp, gebruiker zonder verhoogde rechten

    Controleer uw externe aanvalsoppervlak:

    bash
    nmap -p- YOUR_SERVER_IP

    Alleen poort 22 (SSH) hoort open te zijn. De Gateway en Docker blijven afgeschermd.

    Docker wordt geïnstalleerd voor agentsandboxes (geïsoleerde uitvoering van hulpprogramma's), niet om de Gateway uit te voeren. Zie Sandbox voor meerdere agents en hulpprogramma's voor de sandboxconfiguratie.

    Handmatige installatie

  • Vereisten installeren

    bash
    sudo apt update && sudo apt install -y ansible git
  • De opslagplaats klonen

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Ansible-collecties installeren

    bash
    ansible-galaxy collection install -r requirements.yml
  • Het playbook uitvoeren

    bash
    ./run-playbook.sh

    Of voer het playbook rechtstreeks uit en voer daarna het configuratiescript handmatig uit:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Voer daarna uit: /tmp/openclaw-setup.sh
  • Bijwerken

    Het Ansible-installatieprogramma configureert OpenClaw voor handmatige updates; zie Bijwerken voor de standaardprocedure.

    Het playbook opnieuw uitvoeren (bijvoorbeeld na configuratiewijzigingen):

    bash
    cd openclaw-ansible./run-playbook.sh

    Dit is idempotent en kan veilig meerdere keren worden uitgevoerd.

    Problemen oplossen

    De firewall blokkeert mijn verbinding
    • Maak eerst verbinding via de Tailscale-VPN; de Gateway is standaard alleen op die manier bereikbaar.
    • SSH (poort 22) is altijd toegestaan.
    De service start niet
    bash
    # Logboeken controlerensudo journalctl -u openclaw -n 100 # Rechten controlerensudo ls -la /opt/openclaw # Handmatig starten testensudo -i -u openclawcd ~/openclawopenclaw gateway run
    Problemen met de Docker-sandbox
    bash
    # Controleren of Docker actief issudo systemctl status docker # Sandboximage controlerensudo docker images | grep openclaw-sandbox # De sandboximage bouwen als deze ontbreekt (vereist een uitgecheckte broncode)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Zie voor npm-installaties zonder uitgecheckte broncode# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Aanmelden bij het kanaal mislukt

    Zorg dat u opdrachten uitvoert als de gebruiker openclaw:

    bash
    sudo -i -u openclawopenclaw channels login --channel <name>

    Geavanceerde configuratie

    Raadpleeg voor een gedetailleerde beveiligingsarchitectuur en informatie over probleemoplossing de opslagplaats openclaw-ansible:

    Gerelateerd

    Was this useful?
    On this page

    On this page