Containers

Ansible

Wdrażaj OpenClaw na serwerach produkcyjnych za pomocą openclaw-ansible — automatycznego instalatora o architekturze stawiającej bezpieczeństwo na pierwszym miejscu.

Wymagania wstępne

Wymaganie Szczegóły
System operacyjny Debian 11+ lub Ubuntu 20.04+
Dostęp Uprawnienia użytkownika root lub sudo
Sieć Połączenie z Internetem potrzebne do instalowania pakietów
Ansible 2.14+ (instalowany automatycznie przez skrypt szybkiego startu)

Co otrzymujesz

  • Zabezpieczenia oparte przede wszystkim na zaporze: UFW + izolacja Docker (dostępne są tylko SSH + Tailscale)
  • VPN Tailscale do zdalnego dostępu bez publicznego udostępniania usług
  • Docker do izolowanych kontenerów piaskownicy z powiązaniami wyłącznie z hostem lokalnym
  • Integracja z systemd obejmująca wzmocnienie zabezpieczeń i automatyczne uruchamianie podczas rozruchu
  • Konfiguracja jednym poleceniem

Szybki start

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Co zostanie zainstalowane

  1. Tailscale (VPN typu mesh do bezpiecznego dostępu zdalnego)
  2. Zapora UFW (wyłącznie porty SSH + Tailscale)
  3. Docker CE + Compose V2 (domyślny mechanizm piaskownicy agentów)
  4. Node.js i pnpm (OpenClaw wymaga Node 22.19+ lub 23.11+; zalecany jest Node 24)
  5. OpenClaw zainstalowany bezpośrednio na hoście, bez konteneryzacji
  6. Usługa systemd ze wzmocnionymi zabezpieczeniami

Konfiguracja po instalacji

  • Przełącz się na użytkownika openclaw

    bash
    sudo -i -u openclaw
  • Uruchom kreator wdrożenia

    Skrypt poinstalacyjny przeprowadzi Cię przez konfigurację OpenClaw.

  • Połącz kanały komunikacyjne

    Zaloguj się do WhatsApp, Telegram, Discord lub Signal:

    bash
    openclaw channels login --channel <name>
  • Zweryfikuj instalację

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Połącz się z Tailscale

    Dołącz do swojej sieci VPN typu mesh, aby uzyskać bezpieczny dostęp zdalny.

  • Szybkie polecenia

    bash
    # Sprawdź stan usługisudo systemctl status openclaw # Wyświetl dzienniki na żywosudo journalctl -u openclaw -f # Uruchom ponownie Gatewaysudo systemctl restart openclaw # Logowanie do kanału (uruchom jako użytkownik openclaw)sudo -i -u openclawopenclaw channels login --channel <name>

    Architektura bezpieczeństwa

    Czterowarstwowy model ochrony:

    1. Zapora (UFW): publicznie udostępnione są tylko SSH (22) i Tailscale (41641/udp)
    2. VPN (Tailscale): Gateway jest dostępny tylko przez sieć VPN typu mesh
    3. Izolacja Docker: łańcuch iptables DOCKER-USER zapobiega zewnętrznemu udostępnianiu portów
    4. Wzmocnienie systemd: NoNewPrivileges, PrivateTmp, użytkownik bez uprawnień uprzywilejowanych

    Zweryfikuj powierzchnię zewnętrznego ataku:

    bash
    nmap -p- YOUR_SERVER_IP

    Otwarty powinien być tylko port 22 (SSH). Gateway i Docker pozostają zabezpieczone przed dostępem.

    Docker jest instalowany na potrzeby piaskownic agentów (izolowanego wykonywania narzędzi), a nie do uruchamiania Gateway. Konfigurację piaskownicy opisano w sekcji Piaskownica i narzędzia dla wielu agentów.

    Instalacja ręczna

  • Zainstaluj wymagania wstępne

    bash
    sudo apt update && sudo apt install -y ansible git
  • Sklonuj repozytorium

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Zainstaluj kolekcje Ansible

    bash
    ansible-galaxy collection install -r requirements.yml
  • Uruchom playbook

    bash
    ./run-playbook.sh

    Możesz też uruchomić playbook bezpośrednio, a następnie ręcznie uruchomić skrypt konfiguracyjny:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Następnie uruchom: /tmp/openclaw-setup.sh
  • Aktualizowanie

    Instalator Ansible konfiguruje OpenClaw do ręcznych aktualizacji; standardowy proces opisano w sekcji Aktualizowanie.

    Aby ponownie uruchomić playbook (na przykład po zmianach konfiguracji):

    bash
    cd openclaw-ansible./run-playbook.sh

    Operacja jest idempotentna i można ją bezpiecznie wykonywać wielokrotnie.

    Rozwiązywanie problemów

    Zapora blokuje moje połączenie
    • Najpierw połącz się przez VPN Tailscale; zgodnie z założeniami Gateway jest dostępny tylko w ten sposób.
    • Dostęp przez SSH (port 22) jest zawsze dozwolony.
    Usługa nie uruchamia się
    bash
    # Sprawdź dziennikisudo journalctl -u openclaw -n 100 # Zweryfikuj uprawnieniasudo ls -la /opt/openclaw # Przetestuj ręczne uruchomieniesudo -i -u openclawcd ~/openclawopenclaw gateway run
    Problemy z piaskownicą Docker
    bash
    # Sprawdź, czy Docker działasudo systemctl status docker # Sprawdź obraz piaskownicysudo docker images | grep openclaw-sandbox # Zbuduj obraz piaskownicy, jeśli go brakuje (wymaga kopii roboczej kodu źródłowego)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Informacje o instalacjach npm bez kopii roboczej kodu źródłowego:# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Logowanie do kanału nie powiodło się

    Upewnij się, że polecenie jest uruchamiane jako użytkownik openclaw:

    bash
    sudo -i -u openclawopenclaw channels login --channel <name>

    Konfiguracja zaawansowana

    Szczegółowe informacje o architekturze bezpieczeństwa i rozwiązywaniu problemów znajdują się w repozytorium openclaw-ansible:

    Powiązane materiały

    Was this useful?
    On this page

    On this page