English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Containers

Ansible

Wdróż OpenClaw na serwerach produkcyjnych za pomocą openclaw-ansible -- zautomatyzowanego instalatora z architekturą stawiającą bezpieczeństwo na pierwszym miejscu.

Wymagania wstępne

Wymaganie Szczegóły
OS Debian 11+ lub Ubuntu 20.04+
Dostęp Uprawnienia root lub sudo
Sieć Połączenie z internetem do instalacji pakietów
Ansible 2.14+ (instalowany automatycznie przez skrypt szybkiego startu)

Co otrzymujesz

  • Bezpieczeństwo od zapory sieciowej -- izolacja UFW + Docker (dostępne tylko SSH + Tailscale)
  • Tailscale VPN -- bezpieczny dostęp zdalny bez publicznego wystawiania usług
  • Docker -- izolowane kontenery piaskownicy, powiązania tylko z localhost
  • Obrona w głąb -- 4-warstwowa architektura bezpieczeństwa
  • Integracja z systemd -- automatyczne uruchamianie przy starcie z utwardzeniem
  • Konfiguracja jednym poleceniem -- pełne wdrożenie w kilka minut

Szybki start

Instalacja jednym poleceniem:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Co zostanie zainstalowane

Playbook Ansible instaluje i konfiguruje:

  1. Tailscale -- mesh VPN do bezpiecznego dostępu zdalnego
  2. Zapora UFW -- tylko porty SSH + Tailscale
  3. Docker CE + Compose V2 -- dla domyślnego backendu piaskownicy agenta
  4. Node.js 24 + pnpm -- zależności środowiska uruchomieniowego (Node 22 LTS, obecnie 22.16+, pozostaje obsługiwany)
  5. OpenClaw -- uruchamiany na hoście, nie w kontenerze
  6. Usługa systemd -- automatyczny start z utwardzeniem bezpieczeństwa

Konfiguracja po instalacji

  • Przełącz się na użytkownika openclaw

    sudo -i -u openclaw

  • Uruchom kreatora wdrażania

    Skrypt poinstalacyjny przeprowadzi Cię przez konfigurację ustawień OpenClaw.

  • Połącz dostawców komunikacji

    Zaloguj się do WhatsApp, Telegram, Discord lub Signal:

    openclaw channels login

  • Zweryfikuj instalację

    sudo systemctl status openclaw
sudo journalctl -u openclaw -f

  • Połącz się z Tailscale

    Dołącz do swojej siatki VPN, aby uzyskać bezpieczny dostęp zdalny.

    • Szybkie polecenia

    # Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

    Architektura bezpieczeństwa

    Wdrożenie używa 4-warstwowego modelu obrony:

    1. Zapora sieciowa (UFW) -- publicznie wystawione są tylko SSH (22) + Tailscale (41641/udp)
    2. VPN (Tailscale) -- Gateway dostępny tylko przez siatkę VPN
    3. Izolacja Docker -- łańcuch iptables DOCKER-USER zapobiega zewnętrznemu wystawianiu portów
    4. Utwardzenie systemd -- NoNewPrivileges, PrivateTmp, użytkownik nieuprzywilejowany

    Aby zweryfikować zewnętrzną powierzchnię ataku:

    nmap -p- YOUR_SERVER_IP

    Otwarty powinien być tylko port 22 (SSH). Wszystkie pozostałe usługi (Gateway, Docker) są zablokowane.

    Docker jest instalowany dla piaskownic agentów (izolowane wykonywanie narzędzi), a nie do uruchamiania samego Gateway. Konfigurację piaskownicy znajdziesz w Piaskownica i narzędzia wielu agentów.

    Instalacja ręczna

    Jeśli wolisz ręcznie kontrolować automatyzację:

  • Zainstaluj wymagania wstępne

    sudo apt update && sudo apt install -y ansible git

  • Sklonuj repozytorium

    git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

  • Zainstaluj kolekcje Ansible

    ansible-galaxy collection install -r requirements.yml

  • Uruchom playbook

    ./run-playbook.sh

    Alternatywnie uruchom bezpośrednio, a następnie ręcznie wykonaj skrypt konfiguracji:

    ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

    • Aktualizowanie

    Instalator Ansible konfiguruje OpenClaw do ręcznych aktualizacji. Standardowy przepływ aktualizacji znajdziesz w Aktualizowanie.

    Aby ponownie uruchomić playbook Ansible (na przykład w celu zmian konfiguracji):

    cd openclaw-ansible
./run-playbook.sh

    Jest to idempotentne i można bezpiecznie uruchamiać wielokrotnie.

    Rozwiązywanie problemów

    Zapora sieciowa blokuje moje połączenie
    • Najpierw upewnij się, że masz dostęp przez Tailscale VPN
    • Dostęp SSH (port 22) jest zawsze dozwolony
    • Gateway jest zgodnie z projektem dostępny tylko przez Tailscale
    Usługa nie uruchamia się 
    # Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
    Problemy z piaskownicą Docker 
    # Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Logowanie dostawcy nie działa

    Upewnij się, że działasz jako użytkownik openclaw:

    sudo -i -u openclaw
openclaw channels login

    Konfiguracja zaawansowana

    Szczegółową architekturę bezpieczeństwa i rozwiązywanie problemów znajdziesz w repozytorium openclaw-ansible:

    Powiązane