Ansible

Розгорніть OpenClaw на виробничих серверах за допомогою openclaw-ansible -- автоматизованого інсталятора з архітектурою, орієнтованою на безпеку.

Передумови

Що ви отримуєте

• Безпека з пріоритетом брандмауера -- UFW + ізоляція Docker (доступні лише SSH + Tailscale)
• Tailscale VPN -- безпечний віддалений доступ без публічного відкриття сервісів
• Docker -- ізольовані контейнери пісочниці, прив'язки лише до localhost
• Багаторівневий захист -- 4-рівнева архітектура безпеки
• Інтеграція з systemd -- автозапуск під час завантаження з посиленням безпеки
• Налаштування однією командою -- повне розгортання за лічені хвилини

Швидкий старт

Встановлення однією командою:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Що встановлюється

Ansible playbook встановлює та налаштовує:

1. Tailscale -- mesh VPN для безпечного віддаленого доступу
2. Брандмауер UFW -- лише порти SSH + Tailscale
3. Docker CE + Compose V2 -- для стандартного бекенда пісочниці агента
4. Node.js 24 + pnpm -- runtime-залежності (Node 22 LTS, зараз 22.16+, залишається підтримуваним)
5. OpenClaw -- на основі хоста, без контейнеризації
6. Сервіс systemd -- автозапуск із посиленням безпеки

Налаштування після встановлення

sudo -i -u openclaw

openclaw channels login

sudo systemctl status openclawsudo journalctl -u openclaw -f

Швидкі команди

# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

Архітектура безпеки

Розгортання використовує 4-рівневу модель захисту:

1. Брандмауер (UFW) -- публічно відкриті лише SSH (22) + Tailscale (41641/udp)
2. VPN (Tailscale) -- Gateway доступний лише через mesh VPN
3. Ізоляція Docker -- ланцюжок iptables DOCKER-USER запобігає зовнішньому відкриттю портів
4. Посилення systemd -- NoNewPrivileges, PrivateTmp, непривілейований користувач

Щоб перевірити зовнішню поверхню атаки:

nmap -p- YOUR_SERVER_IP

Відкритим має бути лише порт 22 (SSH). Усі інші сервіси (Gateway, Docker) заблоковані.

Docker встановлюється для пісочниць агентів (ізольоване виконання інструментів), а не для запуску самого Gateway. Див. Багатоагентна пісочниця та інструменти для конфігурації пісочниці.

Ручне встановлення

Якщо ви віддаєте перевагу ручному контролю над автоматизацією:

sudo apt update && sudo apt install -y ansible git

git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible

ansible-galaxy collection install -r requirements.yml

./run-playbook.sh

ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh

Оновлення

Інсталятор Ansible налаштовує OpenClaw для ручних оновлень. Див. Оновлення для стандартного процесу оновлення.

Щоб повторно запустити Ansible playbook (наприклад, для змін конфігурації):

cd openclaw-ansible./run-playbook.sh

Це ідемпотентно й безпечно для багаторазового запуску.

Усунення несправностей

# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run

# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup

sudo -i -u openclawopenclaw channels login

Розширена конфігурація

Для докладної архітектури безпеки та усунення несправностей див. репозиторій openclaw-ansible:

• Архітектура безпеки
• Технічні подробиці
• Посібник з усунення несправностей

Пов'язане

• openclaw-ansible -- повний посібник із розгортання
• Docker -- налаштування контейнеризованого Gateway
• Ізоляція в пісочниці -- конфігурація пісочниці агента
• Багатоагентна пісочниця та інструменти -- ізоляція для кожного агента