English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Containers

Ansible

Розгорніть OpenClaw на виробничих серверах за допомогою openclaw-ansible -- автоматизованого інсталятора з архітектурою, орієнтованою на безпеку.

Передумови

Вимога Подробиці
OS Debian 11+ або Ubuntu 20.04+
Доступ Права root або sudo
Мережа Підключення до інтернету для встановлення пакетів
Ansible 2.14+ (встановлюється автоматично скриптом швидкого старту)

Що ви отримуєте

  • Безпека з пріоритетом брандмауера -- UFW + ізоляція Docker (доступні лише SSH + Tailscale)
  • Tailscale VPN -- безпечний віддалений доступ без публічного відкриття сервісів
  • Docker -- ізольовані контейнери пісочниці, прив'язки лише до localhost
  • Багаторівневий захист -- 4-рівнева архітектура безпеки
  • Інтеграція з systemd -- автозапуск під час завантаження з посиленням безпеки
  • Налаштування однією командою -- повне розгортання за лічені хвилини

Швидкий старт

Встановлення однією командою:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Що встановлюється

Ansible playbook встановлює та налаштовує:

  1. Tailscale -- mesh VPN для безпечного віддаленого доступу
  2. Брандмауер UFW -- лише порти SSH + Tailscale
  3. Docker CE + Compose V2 -- для стандартного бекенда пісочниці агента
  4. Node.js 24 + pnpm -- runtime-залежності (Node 22 LTS, зараз 22.16+, залишається підтримуваним)
  5. OpenClaw -- на основі хоста, без контейнеризації
  6. Сервіс systemd -- автозапуск із посиленням безпеки

Налаштування після встановлення

  • Перемкніться на користувача openclaw

    sudo -i -u openclaw

  • Запустіть майстер початкового налаштування

    Скрипт після встановлення проведе вас через налаштування параметрів OpenClaw.

  • Підключіть провайдерів повідомлень

    Увійдіть у WhatsApp, Telegram, Discord або Signal:

    openclaw channels login

  • Перевірте встановлення

    sudo systemctl status openclaw
sudo journalctl -u openclaw -f

  • Підключіться до Tailscale

    Приєднайтеся до своєї mesh VPN для безпечного віддаленого доступу.

    • Швидкі команди

    # Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

    Архітектура безпеки

    Розгортання використовує 4-рівневу модель захисту:

    1. Брандмауер (UFW) -- публічно відкриті лише SSH (22) + Tailscale (41641/udp)
    2. VPN (Tailscale) -- Gateway доступний лише через mesh VPN
    3. Ізоляція Docker -- ланцюжок iptables DOCKER-USER запобігає зовнішньому відкриттю портів
    4. Посилення systemd -- NoNewPrivileges, PrivateTmp, непривілейований користувач

    Щоб перевірити зовнішню поверхню атаки:

    nmap -p- YOUR_SERVER_IP

    Відкритим має бути лише порт 22 (SSH). Усі інші сервіси (Gateway, Docker) заблоковані.

    Docker встановлюється для пісочниць агентів (ізольоване виконання інструментів), а не для запуску самого Gateway. Див. Багатоагентна пісочниця та інструменти для конфігурації пісочниці.

    Ручне встановлення

    Якщо ви віддаєте перевагу ручному контролю над автоматизацією:

  • Встановіть передумови

    sudo apt update && sudo apt install -y ansible git

  • Клонуйте репозиторій

    git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

  • Встановіть колекції Ansible

    ansible-galaxy collection install -r requirements.yml

  • Запустіть playbook

    ./run-playbook.sh

    Або запустіть напряму, а потім вручну виконайте скрипт налаштування:

    ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

    • Оновлення

    Інсталятор Ansible налаштовує OpenClaw для ручних оновлень. Див. Оновлення для стандартного процесу оновлення.

    Щоб повторно запустити Ansible playbook (наприклад, для змін конфігурації):

    cd openclaw-ansible
./run-playbook.sh

    Це ідемпотентно й безпечно для багаторазового запуску.

    Усунення несправностей

    Брандмауер блокує моє підключення
    • Спершу переконайтеся, що можете отримати доступ через Tailscale VPN
    • Доступ SSH (порт 22) завжди дозволений
    • Gateway за задумом доступний лише через Tailscale
    Сервіс не запускається 
    # Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
    Проблеми з пісочницею Docker 
    # Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Вхід до провайдера не вдається

    Переконайтеся, що ви працюєте як користувач openclaw:

    sudo -i -u openclaw
openclaw channels login

    Розширена конфігурація

    Для докладної архітектури безпеки та усунення несправностей див. репозиторій openclaw-ansible:

    Пов'язане