English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย
View as MarkdownView this page as plain textOpen in ChatGPTAsk questions about this pageOpen in ClaudeAsk questions about this pageOpen in PerplexityAsk questions about this page

Containers

Ansible

Déployez OpenClaw sur des serveurs de production avec openclaw-ansible -- un installateur automatisé doté d’une architecture axée sur la sécurité.

Prérequis

Exigence Détails
OS Debian 11+ ou Ubuntu 20.04+
Accès Privilèges root ou sudo
Réseau Connexion Internet pour l’installation des paquets
Ansible 2.14+ (installé automatiquement par le script de démarrage rapide)

Ce que vous obtenez

  • Sécurité axée sur le pare-feu -- isolation UFW + Docker (seuls SSH + Tailscale sont accessibles)
  • VPN Tailscale -- accès distant sécurisé sans exposer publiquement les services
  • Docker -- conteneurs sandbox isolés, liaisons uniquement sur localhost
  • Défense en profondeur -- architecture de sécurité à 4 couches
  • Intégration Systemd -- démarrage automatique au boot avec durcissement
  • Configuration en une commande -- déploiement complet en quelques minutes

Démarrage rapide

Installation en une commande :

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Ce qui est installé

Le playbook Ansible installe et configure :

  1. Tailscale -- VPN maillé pour un accès distant sécurisé
  2. Pare-feu UFW -- ports SSH + Tailscale uniquement
  3. Docker CE + Compose V2 -- pour le backend de sandbox d’agent par défaut
  4. Node.js 24 + pnpm -- dépendances d’exécution (Node 22 LTS, actuellement 22.16+, reste pris en charge)
  5. OpenClaw -- hébergé sur l’hôte, non conteneurisé
  6. Service Systemd -- démarrage automatique avec durcissement de sécurité

Configuration après installation

  • Basculer vers l’utilisateur openclaw

    bash
    sudo -i -u openclaw

  • Exécuter l’assistant d’onboarding

    Le script de post-installation vous guide dans la configuration des paramètres OpenClaw.

  • Connecter les fournisseurs de messagerie

    Connectez-vous à WhatsApp, Telegram, Discord ou Signal :

    bash
    openclaw channels login

  • Vérifier l’installation

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f

  • Se connecter à Tailscale

    Rejoignez votre maillage VPN pour un accès distant sécurisé.

    • Commandes rapides

    bash
    # Vérifier l’état du servicesudo systemctl status openclaw # Afficher les journaux en directsudo journalctl -u openclaw -f # Redémarrer le gatewaysudo systemctl restart openclaw # Connexion au fournisseur (à exécuter en tant qu’utilisateur openclaw)sudo -i -u openclawopenclaw channels login

    Architecture de sécurité

    Le déploiement utilise un modèle de défense à 4 couches :

    1. Pare-feu (UFW) -- seuls SSH (22) + Tailscale (41641/udp) sont exposés publiquement
    2. VPN (Tailscale) -- gateway accessible uniquement via le maillage VPN
    3. Isolation Docker -- la chaîne iptables DOCKER-USER empêche l’exposition de ports externes
    4. Durcissement Systemd -- NoNewPrivileges, PrivateTmp, utilisateur non privilégié

    Pour vérifier votre surface d’attaque externe :

    bash
    nmap -p- YOUR_SERVER_IP

    Seul le port 22 (SSH) devrait être ouvert. Tous les autres services (gateway, Docker) sont verrouillés.

    Docker est installé pour les sandboxes d’agents (exécution d’outils isolée), pas pour exécuter le gateway lui-même. Consultez Sandbox multi-agent et outils pour la configuration du sandbox.

    Installation manuelle

    Si vous préférez un contrôle manuel plutôt que l’automatisation :

  • Installer les prérequis

    bash
    sudo apt update && sudo apt install -y ansible git

  • Cloner le dépôt

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible

  • Installer les collections Ansible

    bash
    ansible-galaxy collection install -r requirements.yml

  • Exécuter le playbook

    bash
    ./run-playbook.sh

    Vous pouvez aussi l’exécuter directement, puis lancer manuellement le script de configuration ensuite :

    bash
    ansible-playbook playbook.yml --ask-become-pass# Puis exécuter : /tmp/openclaw-setup.sh

    • Mise à jour

    L’installateur Ansible configure OpenClaw pour les mises à jour manuelles. Consultez Mise à jour pour le flux de mise à jour standard.

    Pour relancer le playbook Ansible (par exemple, pour des changements de configuration) :

    bash
    cd openclaw-ansible./run-playbook.sh

    Cette opération est idempotente et peut être exécutée plusieurs fois en toute sécurité.

    Dépannage

    Le pare-feu bloque ma connexion
    • Assurez-vous d’abord de pouvoir accéder via le VPN Tailscale
    • L’accès SSH (port 22) est toujours autorisé
    • Le gateway est accessible uniquement via Tailscale par conception
    Le service ne démarre pas
    bash
    # Vérifier les journauxsudo journalctl -u openclaw -n 100 # Vérifier les autorisationssudo ls -la /opt/openclaw # Tester le démarrage manuelsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Problèmes de sandbox Docker
    bash
    # Vérifier que Docker est en cours d’exécutionsudo systemctl status docker # Vérifier l’image de sandboxsudo docker images | grep openclaw-sandbox # Construire l’image de sandbox si elle manque (nécessite un checkout des sources)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Pour les installations npm sans checkout des sources, consultez# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    La connexion au fournisseur échoue

    Assurez-vous d’exécuter la commande en tant qu’utilisateur openclaw :

    bash
    sudo -i -u openclawopenclaw channels login

    Configuration avancée

    Pour une architecture de sécurité détaillée et le dépannage, consultez le dépôt openclaw-ansible :

    Articles connexes

    Was this useful?