Zum Hauptinhalt springen
Stellen Sie OpenClaw mit openclaw-ansible auf Produktionsservern bereit — einem automatisierten Installer mit sicherheitsorientierter Architektur.
Das Repo openclaw-ansible ist die maßgebliche Quelle für die Ansible-Bereitstellung. Diese Seite bietet einen kurzen Überblick.

Voraussetzungen

AnforderungDetails
OSDebian 11+ oder Ubuntu 20.04+
ZugriffRoot- oder sudo-Berechtigungen
NetzwerkInternetverbindung für die Paketinstallation
Ansible2.14+ (wird vom Schnellstart-Skript automatisch installiert)

Was Sie erhalten

  • Firewall-orientierte Sicherheit — UFW + Docker-Isolierung (nur SSH + Tailscale erreichbar)
  • Tailscale VPN — sicherer Remote-Zugriff, ohne Dienste öffentlich offenzulegen
  • Docker — isolierte Sandbox-Container, Bindings nur an localhost
  • Gestaffelte Verteidigung — Sicherheitsarchitektur mit 4 Schichten
  • Systemd-Integration — automatischer Start beim Booten mit Härtung
  • Einrichtung mit einem Befehl — vollständige Bereitstellung in wenigen Minuten

Schnellstart

Installation mit einem Befehl:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Was installiert wird

Das Ansible-Playbook installiert und konfiguriert:
  1. Tailscale — Mesh-VPN für sicheren Remote-Zugriff
  2. UFW-Firewall — nur SSH- und Tailscale-Ports
  3. Docker CE + Compose V2 — für das standardmäßige Agent-Sandbox-Backend
  4. Node.js 24 + pnpm — Runtime-Abhängigkeiten (Node 22 LTS, derzeit 22.19+, bleibt unterstützt)
  5. OpenClaw — hostbasiert, nicht containerisiert
  6. Systemd-Dienst — automatischer Start mit Sicherheitshärtung
Der Gateway läuft direkt auf dem Host (nicht in Docker). Agent-Sandboxing ist optional; dieses Playbook installiert Docker, weil es das standardmäßige Sandbox- Backend ist. Details und weitere Backends finden Sie unter Sandboxing.

Einrichtung nach der Installation

1

Zum openclaw-Benutzer wechseln

sudo -i -u openclaw
2

Onboarding-Assistenten ausführen

Das Nachinstallationsskript führt Sie durch die Konfiguration der OpenClaw-Einstellungen.
3

Messaging-Provider verbinden

Melden Sie sich bei WhatsApp, Telegram, Discord oder Signal an:
openclaw channels login
4

Installation überprüfen

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Mit Tailscale verbinden

Treten Sie Ihrem VPN-Mesh für sicheren Remote-Zugriff bei.

Schnellbefehle

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Sicherheitsarchitektur

Die Bereitstellung verwendet ein Verteidigungsmodell mit 4 Schichten:
  1. Firewall (UFW) — nur SSH (22) + Tailscale (41641/udp) öffentlich erreichbar
  2. VPN (Tailscale) — Gateway nur über VPN-Mesh erreichbar
  3. Docker-Isolierung — DOCKER-USER-iptables-Chain verhindert externe Portfreigabe
  4. Systemd-Härtung — NoNewPrivileges, PrivateTmp, unprivilegierter Benutzer
So überprüfen Sie Ihre externe Angriffsfläche:
nmap -p- YOUR_SERVER_IP
Nur Port 22 (SSH) sollte geöffnet sein. Alle anderen Dienste (Gateway, Docker) sind gesperrt. Docker wird für Agent-Sandboxes (isolierte Tool-Ausführung) installiert, nicht zum Ausführen des Gateways selbst. Informationen zur Sandbox-Konfiguration finden Sie unter Multi-Agent Sandbox and Tools.

Manuelle Installation

Wenn Sie manuelle Kontrolle gegenüber der Automatisierung bevorzugen:
1

Voraussetzungen installieren

sudo apt update && sudo apt install -y ansible git
2

Repository klonen

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Ansible-Collections installieren

ansible-galaxy collection install -r requirements.yml
4

Playbook ausführen

./run-playbook.sh
Alternativ können Sie es direkt ausführen und anschließend das Einrichtungsskript manuell starten:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Aktualisierung

Der Ansible-Installer richtet OpenClaw für manuelle Updates ein. Den Standardablauf für Updates finden Sie unter Aktualisierung. So führen Sie das Ansible-Playbook erneut aus (zum Beispiel für Konfigurationsänderungen):
cd openclaw-ansible
./run-playbook.sh
Dies ist idempotent und kann sicher mehrfach ausgeführt werden.

Fehlerbehebung

  • Stellen Sie sicher, dass Sie zuerst Zugriff über Tailscale VPN haben
  • SSH-Zugriff (Port 22) ist immer erlaubt
  • Der Gateway ist absichtlich nur über Tailscale erreichbar
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
Stellen Sie sicher, dass Sie als Benutzer openclaw arbeiten:
sudo -i -u openclaw
openclaw channels login

Erweiterte Konfiguration

Ausführliche Informationen zur Sicherheitsarchitektur und Fehlerbehebung finden Sie im openclaw-ansible-Repo:

Verwandte Themen