English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Containers

Ansible

Déployez OpenClaw sur des serveurs de production avec openclaw-ansible -- un installateur automatisé doté d’une architecture axée sur la sécurité.

Prérequis

Exigence Détails
OS Debian 11+ ou Ubuntu 20.04+
Accès Privilèges root ou sudo
Réseau Connexion Internet pour l’installation des paquets
Ansible 2.14+ (installé automatiquement par le script de démarrage rapide)

Ce que vous obtenez

  • Sécurité axée sur le pare-feu -- isolation UFW + Docker (seuls SSH + Tailscale sont accessibles)
  • VPN Tailscale -- accès distant sécurisé sans exposer publiquement les services
  • Docker -- conteneurs sandbox isolés, liaisons uniquement sur localhost
  • Défense en profondeur -- architecture de sécurité à 4 couches
  • Intégration Systemd -- démarrage automatique au boot avec durcissement
  • Configuration en une commande -- déploiement complet en quelques minutes

Démarrage rapide

Installation en une commande :

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Ce qui est installé

Le playbook Ansible installe et configure :

  1. Tailscale -- VPN maillé pour un accès distant sécurisé
  2. Pare-feu UFW -- ports SSH + Tailscale uniquement
  3. Docker CE + Compose V2 -- pour le backend de sandbox d’agent par défaut
  4. Node.js 24 + pnpm -- dépendances d’exécution (Node 22 LTS, actuellement 22.16+, reste pris en charge)
  5. OpenClaw -- hébergé sur l’hôte, non conteneurisé
  6. Service Systemd -- démarrage automatique avec durcissement de sécurité

Configuration après installation

  • Basculer vers l’utilisateur openclaw

    sudo -i -u openclaw

  • Exécuter l’assistant d’onboarding

    Le script de post-installation vous guide dans la configuration des paramètres OpenClaw.

  • Connecter les fournisseurs de messagerie

    Connectez-vous à WhatsApp, Telegram, Discord ou Signal :

    openclaw channels login

  • Vérifier l’installation

    sudo systemctl status openclaw
sudo journalctl -u openclaw -f

  • Se connecter à Tailscale

    Rejoignez votre maillage VPN pour un accès distant sécurisé.

    • Commandes rapides

    # Vérifier l’état du service
sudo systemctl status openclaw

# Afficher les journaux en direct
sudo journalctl -u openclaw -f

# Redémarrer le gateway
sudo systemctl restart openclaw

# Connexion au fournisseur (à exécuter en tant qu’utilisateur openclaw)
sudo -i -u openclaw
openclaw channels login

    Architecture de sécurité

    Le déploiement utilise un modèle de défense à 4 couches :

    1. Pare-feu (UFW) -- seuls SSH (22) + Tailscale (41641/udp) sont exposés publiquement
    2. VPN (Tailscale) -- gateway accessible uniquement via le maillage VPN
    3. Isolation Docker -- la chaîne iptables DOCKER-USER empêche l’exposition de ports externes
    4. Durcissement Systemd -- NoNewPrivileges, PrivateTmp, utilisateur non privilégié

    Pour vérifier votre surface d’attaque externe :

    nmap -p- YOUR_SERVER_IP

    Seul le port 22 (SSH) devrait être ouvert. Tous les autres services (gateway, Docker) sont verrouillés.

    Docker est installé pour les sandboxes d’agents (exécution d’outils isolée), pas pour exécuter le gateway lui-même. Consultez Sandbox multi-agent et outils pour la configuration du sandbox.

    Installation manuelle

    Si vous préférez un contrôle manuel plutôt que l’automatisation :

  • Installer les prérequis

    sudo apt update && sudo apt install -y ansible git

  • Cloner le dépôt

    git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

  • Installer les collections Ansible

    ansible-galaxy collection install -r requirements.yml

  • Exécuter le playbook

    ./run-playbook.sh

    Vous pouvez aussi l’exécuter directement, puis lancer manuellement le script de configuration ensuite :

    ansible-playbook playbook.yml --ask-become-pass
# Puis exécuter : /tmp/openclaw-setup.sh

    • Mise à jour

    L’installateur Ansible configure OpenClaw pour les mises à jour manuelles. Consultez Mise à jour pour le flux de mise à jour standard.

    Pour relancer le playbook Ansible (par exemple, pour des changements de configuration) :

    cd openclaw-ansible
./run-playbook.sh

    Cette opération est idempotente et peut être exécutée plusieurs fois en toute sécurité.

    Dépannage

    Le pare-feu bloque ma connexion
    • Assurez-vous d’abord de pouvoir accéder via le VPN Tailscale
    • L’accès SSH (port 22) est toujours autorisé
    • Le gateway est accessible uniquement via Tailscale par conception
    Le service ne démarre pas 
    # Vérifier les journaux
sudo journalctl -u openclaw -n 100

# Vérifier les autorisations
sudo ls -la /opt/openclaw

# Tester le démarrage manuel
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
    Problèmes de sandbox Docker 
    # Vérifier que Docker est en cours d’exécution
sudo systemctl status docker

# Vérifier l’image de sandbox
sudo docker images | grep openclaw-sandbox

# Construire l’image de sandbox si elle manque (nécessite un checkout des sources)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# Pour les installations npm sans checkout des sources, consultez
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    La connexion au fournisseur échoue

    Assurez-vous d’exécuter la commande en tant qu’utilisateur openclaw :

    sudo -i -u openclaw
openclaw channels login

    Configuration avancée

    Pour une architecture de sécurité détaillée et le dépannage, consultez le dépôt openclaw-ansible :

    Articles connexes