English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Containers

Ansible

Stellen Sie OpenClaw mit openclaw-ansible auf Produktionsservern bereit -- einem automatisierten Installer mit sicherheitsorientierter Architektur.

Voraussetzungen

Anforderung Details
OS Debian 11+ oder Ubuntu 20.04+
Zugriff Root- oder sudo-Rechte
Netzwerk Internetverbindung für die Paketinstallation
Ansible 2.14+ (wird automatisch vom Schnellstartskript installiert)

Was Sie erhalten

  • Firewall-First-Sicherheit -- UFW + Docker-Isolierung (nur SSH + Tailscale zugänglich)
  • Tailscale-VPN -- sicherer Remote-Zugriff, ohne Dienste öffentlich freizugeben
  • Docker -- isolierte Sandbox-Container, nur localhost-Bindungen
  • Defense in Depth -- 4-Schichten-Sicherheitsarchitektur
  • Systemd-Integration -- automatischer Start beim Booten mit Härtung
  • Ein-Befehl-Einrichtung -- vollständige Bereitstellung in Minuten

Schnellstart

Installation mit einem Befehl:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Was installiert wird

Das Ansible-Playbook installiert und konfiguriert:

  1. Tailscale -- Mesh-VPN für sicheren Remote-Zugriff
  2. UFW-Firewall -- nur SSH- + Tailscale-Ports
  3. Docker CE + Compose V2 -- für das Standard-Backend der Agent-Sandbox
  4. Node.js 24 + pnpm -- Laufzeitabhängigkeiten (Node 22 LTS, derzeit 22.16+, bleibt unterstützt)
  5. OpenClaw -- hostbasiert, nicht containerisiert
  6. Systemd-Dienst -- automatischer Start mit Sicherheitshärtung

Einrichtung nach der Installation

  • Zum openclaw-Benutzer wechseln

    sudo -i -u openclaw

  • Onboarding-Assistenten ausführen

    Das Skript nach der Installation führt Sie durch die Konfiguration der OpenClaw-Einstellungen.

  • Messaging-Provider verbinden

    Melden Sie sich bei WhatsApp, Telegram, Discord oder Signal an:

    openclaw channels login

  • Installation überprüfen

    sudo systemctl status openclaw
sudo journalctl -u openclaw -f

  • Mit Tailscale verbinden

    Treten Sie Ihrem VPN-Mesh für sicheren Remote-Zugriff bei.

    • Schnellbefehle

    # Dienststatus prüfen
sudo systemctl status openclaw

# Live-Logs anzeigen
sudo journalctl -u openclaw -f

# Gateway neu starten
sudo systemctl restart openclaw

# Provider-Anmeldung (als openclaw-Benutzer ausführen)
sudo -i -u openclaw
openclaw channels login

    Sicherheitsarchitektur

    Die Bereitstellung verwendet ein 4-Schichten-Verteidigungsmodell:

    1. Firewall (UFW) -- nur SSH (22) + Tailscale (41641/udp) öffentlich freigegeben
    2. VPN (Tailscale) -- Gateway nur über das VPN-Mesh erreichbar
    3. Docker-Isolierung -- DOCKER-USER-iptables-Kette verhindert externe Portfreigaben
    4. Systemd-Härtung -- NoNewPrivileges, PrivateTmp, nicht privilegierter Benutzer

    So überprüfen Sie Ihre externe Angriffsfläche:

    nmap -p- YOUR_SERVER_IP

    Nur Port 22 (SSH) sollte geöffnet sein. Alle anderen Dienste (Gateway, Docker) sind abgesichert.

    Docker wird für Agent-Sandboxes (isolierte Tool-Ausführung) installiert, nicht für den Betrieb des Gateways selbst. Siehe Multi-Agent-Sandbox und Tools zur Sandbox-Konfiguration.

    Manuelle Installation

    Wenn Sie die Automatisierung lieber manuell steuern möchten:

  • Voraussetzungen installieren

    sudo apt update && sudo apt install -y ansible git

  • Repository klonen

    git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

  • Ansible-Collections installieren

    ansible-galaxy collection install -r requirements.yml

  • Playbook ausführen

    ./run-playbook.sh

    Alternativ direkt ausführen und anschließend das Einrichtungsskript manuell ausführen:

    ansible-playbook playbook.yml --ask-become-pass
# Danach ausführen: /tmp/openclaw-setup.sh

    • Aktualisierung

    Der Ansible-Installer richtet OpenClaw für manuelle Updates ein. Siehe Aktualisierung für den standardmäßigen Aktualisierungsablauf.

    So führen Sie das Ansible-Playbook erneut aus (zum Beispiel für Konfigurationsänderungen):

    cd openclaw-ansible
./run-playbook.sh

    Dies ist idempotent und kann sicher mehrfach ausgeführt werden.

    Fehlerbehebung

    Firewall blockiert meine Verbindung
    • Stellen Sie sicher, dass Sie zuerst über das Tailscale-VPN zugreifen können
    • SSH-Zugriff (Port 22) ist immer erlaubt
    • Der Gateway ist absichtlich nur über Tailscale erreichbar
    Dienst startet nicht 
    # Logs prüfen
sudo journalctl -u openclaw -n 100

# Berechtigungen überprüfen
sudo ls -la /opt/openclaw

# Manuellen Start testen
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
    Probleme mit der Docker-Sandbox 
    # Überprüfen, ob Docker läuft
sudo systemctl status docker

# Sandbox-Image prüfen
sudo docker images | grep openclaw-sandbox

# Sandbox-Image erstellen, falls es fehlt (erfordert Source-Checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# Für npm-Installationen ohne Source-Checkout siehe
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Provider-Anmeldung schlägt fehl

    Stellen Sie sicher, dass Sie als Benutzer openclaw ausführen:

    sudo -i -u openclaw
openclaw channels login

    Erweiterte Konfiguration

    Ausführliche Informationen zur Sicherheitsarchitektur und Fehlerbehebung finden Sie im openclaw-ansible-Repo:

    Verwandte Themen