Ansible

Deploy OpenClaw ke server produksi dengan openclaw-ansible -- installer otomatis dengan arsitektur yang mengutamakan keamanan.

# Prasyarat

# Yang Anda dapatkan

• Keamanan berbasis firewall -- isolasi UFW + Docker (hanya SSH + Tailscale yang dapat diakses)
• VPN Tailscale -- akses jarak jauh yang aman tanpa mengekspos layanan secara publik
• Docker -- kontainer sandbox terisolasi, binding hanya localhost
• Pertahanan berlapis -- arsitektur keamanan 4 lapis
• Integrasi Systemd -- mulai otomatis saat boot dengan hardening
• Setup satu perintah -- deployment lengkap dalam hitungan menit

# Mulai cepat

Instalasi satu perintah:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

# Yang diinstal

Playbook Ansible menginstal dan mengonfigurasi:

1. Tailscale -- VPN mesh untuk akses jarak jauh yang aman
2. Firewall UFW -- hanya port SSH + Tailscale
3. Docker CE + Compose V2 -- untuk backend sandbox agent default
4. Node.js 24 + pnpm -- dependensi runtime (Node 22 LTS, saat ini 22.16+, tetap didukung)
5. OpenClaw -- berbasis host, tidak dikontainerisasi
6. Layanan Systemd -- mulai otomatis dengan hardening keamanan

# Setup Pasca-Instalasi

sudo -i -u openclaw

openclaw channels login

sudo systemctl status openclaw
sudo journalctl -u openclaw -f

# Perintah cepat

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

# Arsitektur keamanan

Deployment menggunakan model pertahanan 4 lapis:

1. Firewall (UFW) -- hanya SSH (22) + Tailscale (41641/udp) yang terekspos secara publik
2. VPN (Tailscale) -- Gateway hanya dapat diakses melalui mesh VPN
3. Isolasi Docker -- chain iptables DOCKER-USER mencegah eksposur port eksternal
4. Hardening Systemd -- NoNewPrivileges, PrivateTmp, pengguna tanpa hak istimewa

Untuk memverifikasi permukaan serangan eksternal Anda:

nmap -p- YOUR_SERVER_IP

Hanya port 22 (SSH) yang seharusnya terbuka. Semua layanan lain (Gateway, Docker) dikunci.

Docker diinstal untuk sandbox agent (eksekusi tool terisolasi), bukan untuk menjalankan Gateway itu sendiri. Lihat Multi-Agent Sandbox and Tools untuk konfigurasi sandbox.

# Instalasi manual

Jika Anda lebih memilih kontrol manual daripada otomatisasi:

sudo apt update && sudo apt install -y ansible git

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

ansible-galaxy collection install -r requirements.yml

./run-playbook.sh

ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

# Memperbarui

Installer Ansible menyiapkan OpenClaw untuk pembaruan manual. Lihat Memperbarui untuk alur pembaruan standar.

Untuk menjalankan ulang playbook Ansible (misalnya, untuk perubahan konfigurasi):

cd openclaw-ansible
./run-playbook.sh

Ini bersifat idempoten dan aman dijalankan berkali-kali.

# Pemecahan masalah

# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup

sudo -i -u openclaw
openclaw channels login

# Konfigurasi lanjutan

Untuk arsitektur keamanan dan pemecahan masalah yang detail, lihat repo openclaw-ansible:

• Arsitektur Keamanan
• Detail Teknis
• Panduan Pemecahan Masalah

# Terkait

• openclaw-ansible -- panduan deployment lengkap
• Docker -- setup Gateway terkointainerisasi
• Sandboxing -- konfigurasi sandbox agent
• Multi-Agent Sandbox and Tools -- isolasi per-agent