Containers
Ansible
Implante o OpenClaw em servidores de produção com openclaw-ansible -- um instalador automatizado com arquitetura voltada à segurança.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| SO | Debian 11+ ou Ubuntu 20.04+ |
| Acesso | Privilégios de root ou sudo |
| Rede | Conexão com a Internet para instalação de pacotes |
| Ansible | 2.14+ (instalado automaticamente pelo script de início rápido) |
O que você recebe
- Segurança baseada em firewall -- UFW + isolamento do Docker (apenas SSH + Tailscale acessíveis)
- VPN Tailscale -- acesso remoto seguro sem expor serviços publicamente
- Docker -- contêineres de sandbox isolados, vínculos somente no localhost
- Defesa em profundidade -- arquitetura de segurança em 4 camadas
- Integração com Systemd -- inicialização automática no boot com hardening
- Configuração com um comando -- implantação completa em minutos
Início rápido
Instalação com um comando:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash
O que é instalado
O playbook do Ansible instala e configura:
- Tailscale -- VPN em malha para acesso remoto seguro
- Firewall UFW -- apenas portas SSH + Tailscale
- Docker CE + Compose V2 -- para o backend padrão de sandbox de agente
- Node.js 24 + pnpm -- dependências de runtime (Node 22 LTS, atualmente
22.16+, continua compatível) - OpenClaw -- baseado no host, não conteinerizado
- Serviço Systemd -- inicialização automática com hardening de segurança
Configuração pós-instalação
Mude para o usuário openclaw
sudo -i -u openclaw
Execute o assistente de onboarding
O script pós-instalação guia você pela configuração das definições do OpenClaw.
Conecte provedores de mensagens
Faça login no WhatsApp, Telegram, Discord ou Signal:
openclaw channels login
Verifique a instalação
sudo systemctl status openclaw
sudo journalctl -u openclaw -f
Conecte-se ao Tailscale
Entre na sua malha VPN para acesso remoto seguro.
Comandos rápidos
# Check service status
sudo systemctl status openclaw
# View live logs
sudo journalctl -u openclaw -f
# Restart gateway
sudo systemctl restart openclaw
# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login
Arquitetura de segurança
A implantação usa um modelo de defesa em 4 camadas:
- Firewall (UFW) -- apenas SSH (22) + Tailscale (41641/udp) expostos publicamente
- VPN (Tailscale) -- Gateway acessível apenas pela malha VPN
- Isolamento do Docker -- a cadeia iptables DOCKER-USER impede exposição externa de portas
- Hardening do Systemd -- NoNewPrivileges, PrivateTmp, usuário sem privilégios
Para verificar sua superfície externa de ataque:
nmap -p- YOUR_SERVER_IP
Apenas a porta 22 (SSH) deve estar aberta. Todos os outros serviços (Gateway, Docker) ficam bloqueados.
O Docker é instalado para sandboxes de agentes (execução isolada de ferramentas), não para executar o próprio Gateway. Consulte Sandbox e ferramentas multiagente para configuração de sandbox.
Instalação manual
Se você preferir controle manual sobre a automação:
Instale os pré-requisitos
sudo apt update && sudo apt install -y ansible git
Clone o repositório
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
Instale as coleções do Ansible
ansible-galaxy collection install -r requirements.yml
Execute o playbook
./run-playbook.sh
Como alternativa, execute diretamente e depois execute manualmente o script de configuração:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh
Atualização
O instalador Ansible configura o OpenClaw para atualizações manuais. Consulte Atualização para o fluxo padrão de atualização.
Para executar novamente o playbook do Ansible (por exemplo, para alterações de configuração):
cd openclaw-ansible
./run-playbook.sh
Isso é idempotente e seguro para executar várias vezes.
Solução de problemas
O firewall bloqueia minha conexão
- Garanta que você consiga acessar via VPN Tailscale primeiro
- O acesso SSH (porta 22) é sempre permitido
- O Gateway é acessível apenas via Tailscale por design
O serviço não inicia
# Check logs
sudo journalctl -u openclaw -n 100
# Verify permissions
sudo ls -la /opt/openclaw
# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
Problemas no sandbox do Docker
# Verify Docker is running
sudo systemctl status docker
# Check sandbox image
sudo docker images | grep openclaw-sandbox
# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
Falha no login do provedor
Certifique-se de estar executando como o usuário openclaw:
sudo -i -u openclaw
openclaw channels login
Configuração avançada
Para arquitetura de segurança detalhada e solução de problemas, consulte o repositório openclaw-ansible:
Relacionados
- openclaw-ansible -- guia completo de implantação
- Docker -- configuração de Gateway conteinerizado
- Sandboxing -- configuração de sandbox de agente
- Sandbox e ferramentas multiagente -- isolamento por agente