Ansible

انشر OpenClaw إلى خوادم الإنتاج باستخدام openclaw-ansible -- مثبّت آلي ببنية تركّز على الأمان أولاً.

المتطلبات الأساسية

ما الذي ستحصل عليه

• أمان يبدأ بجدار الحماية -- عزل UFW + Docker (يمكن الوصول إلى SSH + Tailscale فقط)
• Tailscale VPN -- وصول آمن عن بُعد دون كشف الخدمات للعامة
• Docker -- حاويات عزل منفصلة، وروابط محصورة في localhost فقط
• دفاع متعدد الطبقات -- بنية أمان من 4 طبقات
• تكامل Systemd -- بدء تلقائي عند الإقلاع مع تقوية الأمان
• إعداد بأمر واحد -- نشر كامل خلال دقائق

البدء السريع

تثبيت بأمر واحد:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

ما الذي يتم تثبيته

يثبّت Ansible playbook ويضبط ما يلي:

1. Tailscale -- شبكة VPN متداخلة للوصول الآمن عن بُعد
2. جدار حماية UFW -- منافذ SSH + Tailscale فقط
3. Docker CE + Compose V2 -- للواجهة الخلفية الافتراضية لبيئة عزل الوكيل
4. Node.js 24 + pnpm -- تبعيات وقت التشغيل (يبقى Node 22 LTS، حالياً 22.16+، مدعوماً)
5. OpenClaw -- مستند إلى المضيف، وليس داخل حاوية
6. خدمة Systemd -- بدء تلقائي مع تقوية الأمان

إعداد ما بعد التثبيت

sudo -i -u openclaw

openclaw channels login

sudo systemctl status openclawsudo journalctl -u openclaw -f

أوامر سريعة

# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

بنية الأمان

يستخدم النشر نموذج دفاع من 4 طبقات:

1. جدار الحماية (UFW) -- لا تُكشف للعامة إلا منافذ SSH (22) + Tailscale (41641/udp)
2. VPN (Tailscale) -- لا يمكن الوصول إلى Gateway إلا عبر شبكة VPN المتداخلة
3. عزل Docker -- تمنع سلسلة iptables المسماة DOCKER-USER كشف المنافذ الخارجية
4. تقوية Systemd -- NoNewPrivileges، وPrivateTmp، ومستخدم غير مميز

للتحقق من سطح الهجوم الخارجي لديك:

nmap -p- YOUR_SERVER_IP

يجب أن يكون المنفذ 22 (SSH) وحده مفتوحاً. كل الخدمات الأخرى (Gateway، Docker) مقفلة.

يُثبّت Docker لبيئات عزل الوكلاء (تنفيذ الأدوات المعزول)، وليس لتشغيل Gateway نفسه. راجع بيئة عزل متعددة الوكلاء والأدوات لضبط العزل.

التثبيت اليدوي

إذا كنت تفضّل التحكم اليدوي بدلاً من الأتمتة:

sudo apt update && sudo apt install -y ansible git

git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible

ansible-galaxy collection install -r requirements.yml

./run-playbook.sh

ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh

التحديث

يضبط مثبّت Ansible OpenClaw للتحديثات اليدوية. راجع التحديث لتدفق التحديث القياسي.

لإعادة تشغيل Ansible playbook (على سبيل المثال، لتغييرات الضبط):

cd openclaw-ansible./run-playbook.sh

هذا الإجراء idempotent وآمن للتشغيل عدة مرات.

استكشاف الأخطاء وإصلاحها

# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run

# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup

sudo -i -u openclawopenclaw channels login

الضبط المتقدم

للاطلاع على بنية الأمان التفصيلية واستكشاف الأخطاء وإصلاحها، راجع مستودع openclaw-ansible:

• بنية الأمان
• التفاصيل التقنية
• دليل استكشاف الأخطاء وإصلاحها

ذو صلة

• openclaw-ansible -- دليل النشر الكامل
• Docker -- إعداد Gateway داخل حاوية
• العزل -- ضبط بيئة عزل الوكيل
• بيئة عزل متعددة الوكلاء والأدوات -- عزل لكل وكيل