Ansible

Triển khai OpenClaw lên máy chủ production bằng openclaw-ansible -- trình cài đặt tự động với kiến trúc ưu tiên bảo mật.

Điều kiện tiên quyết

Bạn nhận được gì

• Bảo mật ưu tiên tường lửa -- UFW + cách ly Docker (chỉ SSH + Tailscale có thể truy cập)
• Tailscale VPN -- truy cập từ xa an toàn mà không công khai dịch vụ
• Docker -- container sandbox cách ly, chỉ bind vào localhost
• Phòng thủ nhiều lớp -- kiến trúc bảo mật 4 lớp
• Tích hợp Systemd -- tự động khởi động khi boot với hardening
• Thiết lập bằng một lệnh -- triển khai hoàn tất trong vài phút

Khởi động nhanh

Cài đặt bằng một lệnh:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Những gì được cài đặt

Playbook Ansible cài đặt và cấu hình:

1. Tailscale -- VPN mesh để truy cập từ xa an toàn
2. Tường lửa UFW -- chỉ các cổng SSH + Tailscale
3. Docker CE + Compose V2 -- cho backend sandbox agent mặc định
4. Node.js 24 + pnpm -- các phụ thuộc runtime (Node 22 LTS, hiện là 22.16+, vẫn được hỗ trợ)
5. OpenClaw -- chạy trên host, không container hóa
6. Dịch vụ Systemd -- tự động khởi động với hardening bảo mật

Thiết lập sau cài đặt

sudo -i -u openclaw

openclaw channels login

sudo systemctl status openclawsudo journalctl -u openclaw -f

Lệnh nhanh

# Check service statussudo systemctl status openclaw # View live logssudo journalctl -u openclaw -f # Restart gatewaysudo systemctl restart openclaw # Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login

Kiến trúc bảo mật

Triển khai sử dụng mô hình phòng thủ 4 lớp:

1. Tường lửa (UFW) -- chỉ SSH (22) + Tailscale (41641/udp) được công khai
2. VPN (Tailscale) -- gateway chỉ truy cập được qua VPN mesh
3. Cách ly Docker -- chuỗi iptables DOCKER-USER ngăn lộ cổng ra bên ngoài
4. Hardening Systemd -- NoNewPrivileges, PrivateTmp, người dùng không đặc quyền

Để xác minh bề mặt tấn công bên ngoài của bạn:

nmap -p- YOUR_SERVER_IP

Chỉ cổng 22 (SSH) nên mở. Tất cả dịch vụ khác (gateway, Docker) đều bị khóa.

Docker được cài cho sandbox agent (thực thi công cụ cách ly), không phải để chạy chính gateway. Xem Sandbox và công cụ đa agent để cấu hình sandbox.

Cài đặt thủ công

Nếu bạn muốn kiểm soát thủ công thay vì dùng tự động hóa:

sudo apt update && sudo apt install -y ansible git

git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible

ansible-galaxy collection install -r requirements.yml

./run-playbook.sh

ansible-playbook playbook.yml --ask-become-pass# Then run: /tmp/openclaw-setup.sh

Cập nhật

Trình cài đặt Ansible thiết lập OpenClaw để cập nhật thủ công. Xem Cập nhật để biết quy trình cập nhật chuẩn.

Để chạy lại playbook Ansible (ví dụ, cho các thay đổi cấu hình):

cd openclaw-ansible./run-playbook.sh

Quy trình này có tính idempotent và an toàn khi chạy nhiều lần.

Khắc phục sự cố

# Check logssudo journalctl -u openclaw -n 100 # Verify permissionssudo ls -la /opt/openclaw # Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway run

# Verify Docker is runningsudo systemctl status docker # Check sandbox imagesudo docker images | grep openclaw-sandbox # Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup

sudo -i -u openclawopenclaw channels login

Cấu hình nâng cao

Để biết kiến trúc bảo mật chi tiết và cách khắc phục sự cố, hãy xem repo openclaw-ansible:

• Kiến trúc bảo mật
• Chi tiết kỹ thuật
• Hướng dẫn khắc phục sự cố

Liên quan

• openclaw-ansible -- hướng dẫn triển khai đầy đủ
• Docker -- thiết lập gateway container hóa
• Cách ly sandbox -- cấu hình sandbox agent
• Sandbox và công cụ đa agent -- cách ly theo từng agent