Containers
Ansible
Distribuisci OpenClaw su server di produzione con openclaw-ansible -- un installer automatizzato con architettura orientata prima alla sicurezza.
Prerequisiti
| Requisito | Dettagli |
|---|---|
| OS | Debian 11+ o Ubuntu 20.04+ |
| Accesso | Privilegi root o sudo |
| Rete | Connessione Internet per l'installazione dei pacchetti |
| Ansible | 2.14+ (installato automaticamente dallo script quick-start) |
Cosa ottieni
- Sicurezza firewall-first -- isolamento UFW + Docker (solo SSH + Tailscale accessibili)
- VPN Tailscale -- accesso remoto sicuro senza esporre pubblicamente i servizi
- Docker -- container sandbox isolati, binding solo su localhost
- Difesa in profondità -- architettura di sicurezza a 4 livelli
- Integrazione Systemd -- avvio automatico al boot con hardening
- Configurazione con un solo comando -- distribuzione completa in pochi minuti
Avvio rapido
Installazione con un solo comando:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash
Cosa viene installato
Il playbook Ansible installa e configura:
- Tailscale -- VPN mesh per accesso remoto sicuro
- Firewall UFW -- solo porte SSH + Tailscale
- Docker CE + Compose V2 -- per il backend sandbox predefinito dell'agente
- Node.js 24 + pnpm -- dipendenze di runtime (Node 22 LTS, attualmente
22.14+, resta supportato) - OpenClaw -- basato sull'host, non containerizzato
- Servizio Systemd -- avvio automatico con hardening di sicurezza
Configurazione post-installazione
Passa all'utente openclaw
sudo -i -u openclaw
Esegui la procedura guidata di onboarding
Lo script post-installazione ti guida nella configurazione delle impostazioni di OpenClaw.
Connetti i provider di messaggistica
Accedi a WhatsApp, Telegram, Discord o Signal:
openclaw channels login
Verifica l'installazione
sudo systemctl status openclaw
sudo journalctl -u openclaw -f
Connettiti a Tailscale
Unisciti alla tua mesh VPN per un accesso remoto sicuro.
Comandi rapidi
# Check service status
sudo systemctl status openclaw
# View live logs
sudo journalctl -u openclaw -f
# Restart gateway
sudo systemctl restart openclaw
# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login
Architettura di sicurezza
La distribuzione usa un modello di difesa a 4 livelli:
- Firewall (UFW) -- solo SSH (22) + Tailscale (41641/udp) esposti pubblicamente
- VPN (Tailscale) -- gateway accessibile solo tramite mesh VPN
- Isolamento Docker -- la catena iptables DOCKER-USER impedisce l'esposizione di porte esterne
- Hardening Systemd -- NoNewPrivileges, PrivateTmp, utente senza privilegi
Per verificare la tua superficie di attacco esterna:
nmap -p- YOUR_SERVER_IP
Solo la porta 22 (SSH) dovrebbe essere aperta. Tutti gli altri servizi (gateway, Docker) sono bloccati.
Docker viene installato per le sandbox degli agenti (esecuzione isolata degli strumenti), non per eseguire il gateway stesso. Consulta Sandbox multi-agente e strumenti per la configurazione della sandbox.
Installazione manuale
Se preferisci il controllo manuale rispetto all'automazione:
Installa i prerequisiti
sudo apt update && sudo apt install -y ansible git
Clona il repository
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
Installa le raccolte Ansible
ansible-galaxy collection install -r requirements.yml
Esegui il playbook
./run-playbook.sh
In alternativa, eseguilo direttamente e poi esegui manualmente lo script di configurazione:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh
Aggiornamento
L'installer Ansible configura OpenClaw per gli aggiornamenti manuali. Consulta Aggiornamento per il flusso di aggiornamento standard.
Per rieseguire il playbook Ansible (ad esempio, per modifiche di configurazione):
cd openclaw-ansible
./run-playbook.sh
È idempotente e sicuro da eseguire più volte.
Risoluzione dei problemi
Il firewall blocca la mia connessione
- Assicurati prima di poter accedere tramite VPN Tailscale
- L'accesso SSH (porta 22) è sempre consentito
- Il gateway è accessibile solo tramite Tailscale per progettazione
Il servizio non si avvia
# Check logs
sudo journalctl -u openclaw -n 100
# Verify permissions
sudo ls -la /opt/openclaw
# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
Problemi con la sandbox Docker
# Verify Docker is running
sudo systemctl status docker
# Check sandbox image
sudo docker images | grep openclaw-sandbox
# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
L'accesso al provider non riesce
Assicurati di essere in esecuzione come utente openclaw:
sudo -i -u openclaw
openclaw channels login
Configurazione avanzata
Per l'architettura di sicurezza dettagliata e la risoluzione dei problemi, consulta il repository openclaw-ansible:
Correlati
- openclaw-ansible -- guida completa alla distribuzione
- Docker -- configurazione del gateway containerizzato
- Sandboxing -- configurazione della sandbox degli agenti
- Sandbox multi-agente e strumenti -- isolamento per agente