Containers

Ansible

Разверните OpenClaw на рабочих серверах с помощью openclaw-ansible — автоматизированного установщика с архитектурой, ориентированной прежде всего на безопасность.

Предварительные требования

Требование Подробности
ОС Debian 11+ или Ubuntu 20.04+
Доступ Права root или sudo
Сеть Подключение к интернету для установки пакетов
Ansible 2.14+ (автоматически устанавливается скриптом быстрого запуска)

Что вы получите

  • Безопасность на уровне межсетевого экрана: UFW + изоляция Docker (доступны только SSH + Tailscale)
  • VPN Tailscale для удаленного доступа без публичного предоставления сервисов
  • Docker для изолированных контейнеров песочницы с привязкой только к localhost
  • Интеграция с systemd с усилением безопасности и автоматическим запуском при загрузке
  • Настройка одной командой

Быстрый запуск

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Что устанавливается

  1. Tailscale (ячеистая VPN для безопасного удаленного доступа)
  2. Межсетевой экран UFW (только порты SSH + Tailscale)
  3. Docker CE + Compose V2 (сервер песочницы агентов по умолчанию)
  4. Node.js и pnpm (для OpenClaw требуется Node 22.22.3+, 24.15+ или 25.9+; рекомендуется Node 24)
  5. OpenClaw, установленный непосредственно на хосте, а не в контейнере
  6. Сервис systemd с усиленной безопасностью

Настройка после установки

  • Переключитесь на пользователя openclaw

    bash
    sudo -i -u openclaw
  • Запустите мастер первоначальной настройки

    Скрипт после установки поможет вам настроить OpenClaw.

  • Подключите каналы обмена сообщениями

    Войдите в WhatsApp, Telegram, Discord или Signal:

    bash
    openclaw channels login --channel <name>
  • Проверьте установку

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Подключитесь к Tailscale

    Присоединитесь к своей ячеистой VPN для безопасного удаленного доступа.

  • Основные команды

    bash
    # Проверить состояние сервисаsudo systemctl status openclaw # Просмотреть журналы в реальном времениsudo journalctl -u openclaw -f # Перезапустить Gatewaysudo systemctl restart openclaw # Вход в канал (выполняется от имени пользователя openclaw)sudo -i -u openclawopenclaw channels login --channel <name>

    Архитектура безопасности

    Четырехуровневая модель защиты:

    1. Межсетевой экран (UFW): публично доступны только SSH (22) и Tailscale (41641/udp)
    2. VPN (Tailscale): Gateway доступен только через ячеистую VPN
    3. Изоляция Docker: цепочка iptables DOCKER-USER предотвращает доступ к портам извне
    4. Усиление безопасности systemd: NoNewPrivileges, PrivateTmp, непривилегированный пользователь

    Проверьте доступную извне поверхность атаки:

    bash
    nmap -p- YOUR_SERVER_IP

    Открытым должен быть только порт 22 (SSH). Gateway и Docker остаются защищенными от внешнего доступа.

    Docker устанавливается для песочниц агентов (изолированного выполнения инструментов), а не для запуска Gateway. Настройку песочницы см. в разделе Многоагентная песочница и инструменты.

    Установка вручную

  • Установите необходимые компоненты

    bash
    sudo apt update && sudo apt install -y ansible git
  • Клонируйте репозиторий

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Установите коллекции Ansible

    bash
    ansible-galaxy collection install -r requirements.yml
  • Запустите плейбук

    bash
    ./run-playbook.sh

    Либо запустите плейбук напрямую, а затем вручную выполните скрипт настройки:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Затем выполните: /tmp/openclaw-setup.sh
  • Обновление

    Установщик Ansible настраивает OpenClaw для обновления вручную; стандартный порядок действий см. в разделе Обновление.

    Чтобы повторно запустить плейбук (например, после изменения конфигурации):

    bash
    cd openclaw-ansible./run-playbook.sh

    Операция идемпотентна, поэтому ее можно безопасно выполнять несколько раз.

    Устранение неполадок

    Межсетевой экран блокирует подключение
    • Сначала подключитесь через VPN Tailscale; по замыслу Gateway доступен только таким способом.
    • SSH (порт 22) разрешен всегда.
    Сервис не запускается
    bash
    # Проверить журналыsudo journalctl -u openclaw -n 100 # Проверить права доступаsudo ls -la /opt/openclaw # Проверить запуск вручнуюsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Проблемы с песочницей Docker
    bash
    # Проверить, работает ли Dockersudo systemctl status docker # Проверить образ песочницыsudo docker images | grep openclaw-sandbox # Собрать отсутствующий образ песочницы (требуется рабочая копия исходного кода)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Для установки через npm без рабочей копии исходного кода см.# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Не удается войти в канал

    Убедитесь, что команда выполняется от имени пользователя openclaw:

    bash
    sudo -i -u openclawopenclaw channels login --channel <name>

    Расширенная конфигурация

    Подробное описание архитектуры безопасности и устранения неполадок см. в репозитории openclaw-ansible:

    Связанные материалы

    Was this useful?
    On this page

    On this page