Containers
Ansible
Implante o OpenClaw em servidores de produção com o openclaw-ansible, um instalador automatizado com uma arquitetura que prioriza a segurança.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| SO | Debian 11+ ou Ubuntu 20.04+ |
| Acesso | Privilégios de root ou sudo |
| Rede | Conexão com a internet para instalação de pacotes |
| Ansible | 2.14+ (instalado automaticamente pelo script de início rápido) |
O que você recebe
- Segurança centrada no firewall: UFW + isolamento do Docker (somente SSH + Tailscale acessíveis)
- VPN Tailscale para acesso remoto sem expor serviços publicamente
- Docker para contêineres de sandbox isolados, com vinculações somente ao localhost
- Integração com systemd, com reforço de segurança e inicialização automática durante a inicialização do sistema
- Configuração com um único comando
Início rápido
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashO que é instalado
- Tailscale (VPN em malha para acesso remoto seguro)
- Firewall UFW (somente portas de SSH + Tailscale)
- Docker CE + Compose V2 (backend padrão de sandbox do agente)
- Node.js e pnpm (o OpenClaw requer Node 22.19+ ou 23.11+; recomenda-se o Node 24)
- OpenClaw, instalado diretamente no host, sem conteinerização
- Um serviço systemd com reforço de segurança
Configuração pós-instalação
Mude para o usuário openclaw
sudo -i -u openclawExecute o assistente de integração
O script de pós-instalação orienta você durante a configuração do OpenClaw.
Conecte os canais de mensagens
Entre no WhatsApp, Telegram, Discord ou Signal:
openclaw channels login --channel <name>Verifique a instalação
sudo systemctl status openclawsudo journalctl -u openclaw -fConecte-se ao Tailscale
Entre na sua malha VPN para obter acesso remoto seguro.
Comandos rápidos
# Verificar o status do serviçosudo systemctl status openclaw # Exibir logs em tempo realsudo journalctl -u openclaw -f # Reiniciar o gatewaysudo systemctl restart openclaw # Fazer login no canal (executar como usuário openclaw)sudo -i -u openclawopenclaw channels login --channel <name>Arquitetura de segurança
Modelo de defesa em quatro camadas:
- Firewall (UFW): somente SSH (22) e Tailscale (41641/udp) expostos publicamente
- VPN (Tailscale): Gateway acessível somente pela malha VPN
- Isolamento do Docker: a cadeia
DOCKER-USERdo iptables impede a exposição externa de portas - Reforço de segurança do systemd:
NoNewPrivileges,PrivateTmp, usuário sem privilégios
Verifique sua superfície de ataque externa:
nmap -p- YOUR_SERVER_IPSomente a porta 22 (SSH) deve estar aberta. O Gateway e o Docker permanecem protegidos.
O Docker é instalado para os sandboxes dos agentes (execução isolada de ferramentas), não para executar o Gateway. Consulte Sandbox e ferramentas para múltiplos agentes para configurar o sandbox.
Instalação manual
Instale os pré-requisitos
sudo apt update && sudo apt install -y ansible gitClone o repositório
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstale as coleções do Ansible
ansible-galaxy collection install -r requirements.ymlExecute o playbook
./run-playbook.shOu execute diretamente o playbook e depois execute manualmente o script de configuração:
ansible-playbook playbook.yml --ask-become-pass# Em seguida, execute: /tmp/openclaw-setup.shAtualização
O instalador do Ansible configura o OpenClaw para atualizações manuais; consulte Atualização para conhecer o fluxo padrão.
Para executar novamente o playbook (por exemplo, após alterações na configuração):
cd openclaw-ansible./run-playbook.shEsse processo é idempotente e pode ser executado várias vezes com segurança.
Solução de problemas
O firewall bloqueia minha conexão
- Primeiro, conecte-se pela VPN Tailscale; por projeto, o Gateway só pode ser acessado dessa forma.
- SSH (porta 22) é sempre permitido.
O serviço não inicia
# Verificar os logssudo journalctl -u openclaw -n 100 # Verificar as permissõessudo ls -la /opt/openclaw # Testar a inicialização manualsudo -i -u openclawcd ~/openclawopenclaw gateway runProblemas com o sandbox do Docker
# Verificar se o Docker está em execuçãosudo systemctl status docker # Verificar a imagem do sandboxsudo docker images | grep openclaw-sandbox # Criar a imagem do sandbox se ela estiver ausente (requer um checkout do código-fonte)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Para instalações via npm sem um checkout do código-fonte, consulte# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupFalha ao entrar no canal
Verifique se você está executando os comandos como o usuário openclaw:
sudo -i -u openclawopenclaw channels login --channel <name>Configuração avançada
Para obter detalhes sobre a arquitetura de segurança e a solução de problemas, consulte o repositório openclaw-ansible:
Conteúdo relacionado
- openclaw-ansible: guia completo de implantação
- Docker: configuração conteinerizada do Gateway
- Uso de sandbox: configuração do sandbox do agente
- Sandbox e ferramentas para múltiplos agentes: isolamento por agente