Containers
Ansible
Разверните OpenClaw на рабочих серверах с помощью openclaw-ansible — автоматизированного установщика с архитектурой, ориентированной прежде всего на безопасность.
Предварительные требования
| Требование | Подробности |
|---|---|
| ОС | Debian 11+ или Ubuntu 20.04+ |
| Доступ | Права root или sudo |
| Сеть | Подключение к интернету для установки пакетов |
| Ansible | 2.14+ (автоматически устанавливается скриптом быстрого запуска) |
Что вы получите
- Безопасность на уровне межсетевого экрана: UFW + изоляция Docker (доступны только SSH + Tailscale)
- VPN Tailscale для удаленного доступа без публичного предоставления сервисов
- Docker для изолированных контейнеров песочницы с привязкой только к localhost
- Интеграция с systemd с усилением безопасности и автоматическим запуском при загрузке
- Настройка одной командой
Быстрый запуск
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashЧто устанавливается
- Tailscale (ячеистая VPN для безопасного удаленного доступа)
- Межсетевой экран UFW (только порты SSH + Tailscale)
- Docker CE + Compose V2 (сервер песочницы агентов по умолчанию)
- Node.js и pnpm (для OpenClaw требуется Node 22.22.3+, 24.15+ или 25.9+; рекомендуется Node 24)
- OpenClaw, установленный непосредственно на хосте, а не в контейнере
- Сервис systemd с усиленной безопасностью
Настройка после установки
Переключитесь на пользователя openclaw
sudo -i -u openclawЗапустите мастер первоначальной настройки
Скрипт после установки поможет вам настроить OpenClaw.
Подключите каналы обмена сообщениями
Войдите в WhatsApp, Telegram, Discord или Signal:
openclaw channels login --channel <name>Проверьте установку
sudo systemctl status openclawsudo journalctl -u openclaw -fПодключитесь к Tailscale
Присоединитесь к своей ячеистой VPN для безопасного удаленного доступа.
Основные команды
# Проверить состояние сервисаsudo systemctl status openclaw # Просмотреть журналы в реальном времениsudo journalctl -u openclaw -f # Перезапустить Gatewaysudo systemctl restart openclaw # Вход в канал (выполняется от имени пользователя openclaw)sudo -i -u openclawopenclaw channels login --channel <name>Архитектура безопасности
Четырехуровневая модель защиты:
- Межсетевой экран (UFW): публично доступны только SSH (22) и Tailscale (41641/udp)
- VPN (Tailscale): Gateway доступен только через ячеистую VPN
- Изоляция Docker: цепочка iptables
DOCKER-USERпредотвращает доступ к портам извне - Усиление безопасности systemd:
NoNewPrivileges,PrivateTmp, непривилегированный пользователь
Проверьте доступную извне поверхность атаки:
nmap -p- YOUR_SERVER_IPОткрытым должен быть только порт 22 (SSH). Gateway и Docker остаются защищенными от внешнего доступа.
Docker устанавливается для песочниц агентов (изолированного выполнения инструментов), а не для запуска Gateway. Настройку песочницы см. в разделе Многоагентная песочница и инструменты.
Установка вручную
Установите необходимые компоненты
sudo apt update && sudo apt install -y ansible gitКлонируйте репозиторий
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleУстановите коллекции Ansible
ansible-galaxy collection install -r requirements.ymlЗапустите плейбук
./run-playbook.shЛибо запустите плейбук напрямую, а затем вручную выполните скрипт настройки:
ansible-playbook playbook.yml --ask-become-pass# Затем выполните: /tmp/openclaw-setup.shОбновление
Установщик Ansible настраивает OpenClaw для обновления вручную; стандартный порядок действий см. в разделе Обновление.
Чтобы повторно запустить плейбук (например, после изменения конфигурации):
cd openclaw-ansible./run-playbook.shОперация идемпотентна, поэтому ее можно безопасно выполнять несколько раз.
Устранение неполадок
Межсетевой экран блокирует подключение
- Сначала подключитесь через VPN Tailscale; по замыслу Gateway доступен только таким способом.
- SSH (порт 22) разрешен всегда.
Сервис не запускается
# Проверить журналыsudo journalctl -u openclaw -n 100 # Проверить права доступаsudo ls -la /opt/openclaw # Проверить запуск вручнуюsudo -i -u openclawcd ~/openclawopenclaw gateway runПроблемы с песочницей Docker
# Проверить, работает ли Dockersudo systemctl status docker # Проверить образ песочницыsudo docker images | grep openclaw-sandbox # Собрать отсутствующий образ песочницы (требуется рабочая копия исходного кода)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Для установки через npm без рабочей копии исходного кода см.# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupНе удается войти в канал
Убедитесь, что команда выполняется от имени пользователя openclaw:
sudo -i -u openclawopenclaw channels login --channel <name>Расширенная конфигурация
Подробное описание архитектуры безопасности и устранения неполадок см. в репозитории openclaw-ansible:
Связанные материалы
- openclaw-ansible: полное руководство по развертыванию
- Docker: настройка контейнеризованного Gateway
- Песочница: настройка песочницы агентов
- Многоагентная песочница и инструменты: изоляция каждого агента