Containers

Ansible

Implante o OpenClaw em servidores de produção com o openclaw-ansible, um instalador automatizado com uma arquitetura que prioriza a segurança.

Pré-requisitos

Requisito Detalhes
SO Debian 11+ ou Ubuntu 20.04+
Acesso Privilégios de root ou sudo
Rede Conexão com a internet para instalação de pacotes
Ansible 2.14+ (instalado automaticamente pelo script de início rápido)

O que você recebe

  • Segurança centrada no firewall: UFW + isolamento do Docker (somente SSH + Tailscale acessíveis)
  • VPN Tailscale para acesso remoto sem expor serviços publicamente
  • Docker para contêineres de sandbox isolados, com vinculações somente ao localhost
  • Integração com systemd, com reforço de segurança e inicialização automática durante a inicialização do sistema
  • Configuração com um único comando

Início rápido

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

O que é instalado

  1. Tailscale (VPN em malha para acesso remoto seguro)
  2. Firewall UFW (somente portas de SSH + Tailscale)
  3. Docker CE + Compose V2 (backend padrão de sandbox do agente)
  4. Node.js e pnpm (o OpenClaw requer Node 22.19+ ou 23.11+; recomenda-se o Node 24)
  5. OpenClaw, instalado diretamente no host, sem conteinerização
  6. Um serviço systemd com reforço de segurança

Configuração pós-instalação

  • Mude para o usuário openclaw

    bash
    sudo -i -u openclaw
  • Execute o assistente de integração

    O script de pós-instalação orienta você durante a configuração do OpenClaw.

  • Conecte os canais de mensagens

    Entre no WhatsApp, Telegram, Discord ou Signal:

    bash
    openclaw channels login --channel <name>
  • Verifique a instalação

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Conecte-se ao Tailscale

    Entre na sua malha VPN para obter acesso remoto seguro.

  • Comandos rápidos

    bash
    # Verificar o status do serviçosudo systemctl status openclaw # Exibir logs em tempo realsudo journalctl -u openclaw -f # Reiniciar o gatewaysudo systemctl restart openclaw # Fazer login no canal (executar como usuário openclaw)sudo -i -u openclawopenclaw channels login --channel <name>

    Arquitetura de segurança

    Modelo de defesa em quatro camadas:

    1. Firewall (UFW): somente SSH (22) e Tailscale (41641/udp) expostos publicamente
    2. VPN (Tailscale): Gateway acessível somente pela malha VPN
    3. Isolamento do Docker: a cadeia DOCKER-USER do iptables impede a exposição externa de portas
    4. Reforço de segurança do systemd: NoNewPrivileges, PrivateTmp, usuário sem privilégios

    Verifique sua superfície de ataque externa:

    bash
    nmap -p- YOUR_SERVER_IP

    Somente a porta 22 (SSH) deve estar aberta. O Gateway e o Docker permanecem protegidos.

    O Docker é instalado para os sandboxes dos agentes (execução isolada de ferramentas), não para executar o Gateway. Consulte Sandbox e ferramentas para múltiplos agentes para configurar o sandbox.

    Instalação manual

  • Instale os pré-requisitos

    bash
    sudo apt update && sudo apt install -y ansible git
  • Clone o repositório

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Instale as coleções do Ansible

    bash
    ansible-galaxy collection install -r requirements.yml
  • Execute o playbook

    bash
    ./run-playbook.sh

    Ou execute diretamente o playbook e depois execute manualmente o script de configuração:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Em seguida, execute: /tmp/openclaw-setup.sh
  • Atualização

    O instalador do Ansible configura o OpenClaw para atualizações manuais; consulte Atualização para conhecer o fluxo padrão.

    Para executar novamente o playbook (por exemplo, após alterações na configuração):

    bash
    cd openclaw-ansible./run-playbook.sh

    Esse processo é idempotente e pode ser executado várias vezes com segurança.

    Solução de problemas

    O firewall bloqueia minha conexão
    • Primeiro, conecte-se pela VPN Tailscale; por projeto, o Gateway só pode ser acessado dessa forma.
    • SSH (porta 22) é sempre permitido.
    O serviço não inicia
    bash
    # Verificar os logssudo journalctl -u openclaw -n 100 # Verificar as permissõessudo ls -la /opt/openclaw # Testar a inicialização manualsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Problemas com o sandbox do Docker
    bash
    # Verificar se o Docker está em execuçãosudo systemctl status docker # Verificar a imagem do sandboxsudo docker images | grep openclaw-sandbox # Criar a imagem do sandbox se ela estiver ausente (requer um checkout do código-fonte)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Para instalações via npm sem um checkout do código-fonte, consulte# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Falha ao entrar no canal

    Verifique se você está executando os comandos como o usuário openclaw:

    bash
    sudo -i -u openclawopenclaw channels login --channel <name>

    Configuração avançada

    Para obter detalhes sobre a arquitetura de segurança e a solução de problemas, consulte o repositório openclaw-ansible:

    Conteúdo relacionado

    Was this useful?
    On this page

    On this page