Containers
Ansible
Wdrażaj OpenClaw na serwerach produkcyjnych za pomocą openclaw-ansible — automatycznego instalatora o architekturze stawiającej bezpieczeństwo na pierwszym miejscu.
Wymagania wstępne
| Wymaganie | Szczegóły |
|---|---|
| System operacyjny | Debian 11+ lub Ubuntu 20.04+ |
| Dostęp | Uprawnienia użytkownika root lub sudo |
| Sieć | Połączenie z Internetem potrzebne do instalowania pakietów |
| Ansible | 2.14+ (instalowany automatycznie przez skrypt szybkiego startu) |
Co otrzymujesz
- Zabezpieczenia oparte przede wszystkim na zaporze: UFW + izolacja Docker (dostępne są tylko SSH + Tailscale)
- VPN Tailscale do zdalnego dostępu bez publicznego udostępniania usług
- Docker do izolowanych kontenerów piaskownicy z powiązaniami wyłącznie z hostem lokalnym
- Integracja z systemd obejmująca wzmocnienie zabezpieczeń i automatyczne uruchamianie podczas rozruchu
- Konfiguracja jednym poleceniem
Szybki start
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashCo zostanie zainstalowane
- Tailscale (VPN typu mesh do bezpiecznego dostępu zdalnego)
- Zapora UFW (wyłącznie porty SSH + Tailscale)
- Docker CE + Compose V2 (domyślny mechanizm piaskownicy agentów)
- Node.js i pnpm (OpenClaw wymaga Node 22.19+ lub 23.11+; zalecany jest Node 24)
- OpenClaw zainstalowany bezpośrednio na hoście, bez konteneryzacji
- Usługa systemd ze wzmocnionymi zabezpieczeniami
Konfiguracja po instalacji
Przełącz się na użytkownika openclaw
sudo -i -u openclawUruchom kreator wdrożenia
Skrypt poinstalacyjny przeprowadzi Cię przez konfigurację OpenClaw.
Połącz kanały komunikacyjne
Zaloguj się do WhatsApp, Telegram, Discord lub Signal:
openclaw channels login --channel <name>Zweryfikuj instalację
sudo systemctl status openclawsudo journalctl -u openclaw -fPołącz się z Tailscale
Dołącz do swojej sieci VPN typu mesh, aby uzyskać bezpieczny dostęp zdalny.
Szybkie polecenia
# Sprawdź stan usługisudo systemctl status openclaw # Wyświetl dzienniki na żywosudo journalctl -u openclaw -f # Uruchom ponownie Gatewaysudo systemctl restart openclaw # Logowanie do kanału (uruchom jako użytkownik openclaw)sudo -i -u openclawopenclaw channels login --channel <name>Architektura bezpieczeństwa
Czterowarstwowy model ochrony:
- Zapora (UFW): publicznie udostępnione są tylko SSH (22) i Tailscale (41641/udp)
- VPN (Tailscale): Gateway jest dostępny tylko przez sieć VPN typu mesh
- Izolacja Docker: łańcuch iptables
DOCKER-USERzapobiega zewnętrznemu udostępnianiu portów - Wzmocnienie systemd:
NoNewPrivileges,PrivateTmp, użytkownik bez uprawnień uprzywilejowanych
Zweryfikuj powierzchnię zewnętrznego ataku:
nmap -p- YOUR_SERVER_IPOtwarty powinien być tylko port 22 (SSH). Gateway i Docker pozostają zabezpieczone przed dostępem.
Docker jest instalowany na potrzeby piaskownic agentów (izolowanego wykonywania narzędzi), a nie do uruchamiania Gateway. Konfigurację piaskownicy opisano w sekcji Piaskownica i narzędzia dla wielu agentów.
Instalacja ręczna
Zainstaluj wymagania wstępne
sudo apt update && sudo apt install -y ansible gitSklonuj repozytorium
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleZainstaluj kolekcje Ansible
ansible-galaxy collection install -r requirements.ymlUruchom playbook
./run-playbook.shMożesz też uruchomić playbook bezpośrednio, a następnie ręcznie uruchomić skrypt konfiguracyjny:
ansible-playbook playbook.yml --ask-become-pass# Następnie uruchom: /tmp/openclaw-setup.shAktualizowanie
Instalator Ansible konfiguruje OpenClaw do ręcznych aktualizacji; standardowy proces opisano w sekcji Aktualizowanie.
Aby ponownie uruchomić playbook (na przykład po zmianach konfiguracji):
cd openclaw-ansible./run-playbook.shOperacja jest idempotentna i można ją bezpiecznie wykonywać wielokrotnie.
Rozwiązywanie problemów
Zapora blokuje moje połączenie
- Najpierw połącz się przez VPN Tailscale; zgodnie z założeniami Gateway jest dostępny tylko w ten sposób.
- Dostęp przez SSH (port 22) jest zawsze dozwolony.
Usługa nie uruchamia się
# Sprawdź dziennikisudo journalctl -u openclaw -n 100 # Zweryfikuj uprawnieniasudo ls -la /opt/openclaw # Przetestuj ręczne uruchomieniesudo -i -u openclawcd ~/openclawopenclaw gateway runProblemy z piaskownicą Docker
# Sprawdź, czy Docker działasudo systemctl status docker # Sprawdź obraz piaskownicysudo docker images | grep openclaw-sandbox # Zbuduj obraz piaskownicy, jeśli go brakuje (wymaga kopii roboczej kodu źródłowego)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Informacje o instalacjach npm bez kopii roboczej kodu źródłowego:# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupLogowanie do kanału nie powiodło się
Upewnij się, że polecenie jest uruchamiane jako użytkownik openclaw:
sudo -i -u openclawopenclaw channels login --channel <name>Konfiguracja zaawansowana
Szczegółowe informacje o architekturze bezpieczeństwa i rozwiązywaniu problemów znajdują się w repozytorium openclaw-ansible:
Powiązane materiały
- openclaw-ansible: kompletny przewodnik wdrażania
- Docker: konfiguracja konteneryzowanego Gateway
- Piaskownica: konfiguracja piaskownicy agentów
- Piaskownica i narzędzia dla wielu agentów: izolacja poszczególnych agentów