El repositorio openclaw-ansible es la fuente de verdad para la implementación con Ansible. Esta página es una vista general rápida.
Requisitos previos
| Requisito | Detalles |
|---|---|
| SO | Debian 11+ o Ubuntu 20.04+ |
| Acceso | Privilegios root o sudo |
| Red | Conexión a Internet para la instalación de paquetes |
| Ansible | 2.14+ (instalado automáticamente por el script de inicio rápido) |
Qué obtienes
- Seguridad con firewall primero: UFW + aislamiento de Docker (solo SSH + Tailscale accesibles)
- VPN de Tailscale para acceso remoto sin exponer servicios públicamente
- Docker para contenedores de sandbox aislados con enlaces solo a localhost
- Integración con systemd con endurecimiento, inicio automático al arrancar
- Configuración con un solo comando
Inicio rápido
Qué se instala
- Tailscale (VPN mallada para acceso remoto seguro)
- Firewall UFW (solo puertos SSH + Tailscale)
- Docker CE + Compose V2 (backend de sandbox de agente predeterminado)
- Node.js y pnpm (OpenClaw requiere Node 22.19+ o 23.11+; se recomienda Node 24)
- OpenClaw, instalado basado en el host, no en contenedores
- Un servicio systemd con endurecimiento de seguridad
El Gateway se ejecuta directamente en el host, no en Docker. El sandboxing de agentes es
opcional; este playbook instala Docker porque es el backend de sandbox
predeterminado. Consulta Sandboxing para otros backends.
Configuración posterior a la instalación
Ejecuta el asistente de incorporación
El script posterior a la instalación te guía para configurar OpenClaw.
Comandos rápidos
Arquitectura de seguridad
Modelo de defensa de cuatro capas:- Firewall (UFW): solo SSH (22) y Tailscale (41641/udp) expuestos públicamente
- VPN (Tailscale): el Gateway solo es accesible mediante la malla VPN
- Aislamiento de Docker: la cadena iptables
DOCKER-USERevita la exposición de puertos externos - Endurecimiento de systemd:
NoNewPrivileges,PrivateTmp, usuario sin privilegios
Instalación manual
Actualización
El instalador de Ansible configura OpenClaw para actualizaciones manuales; consulta Actualización para el flujo estándar. Para volver a ejecutar el playbook (por ejemplo, después de cambios de configuración):Solución de problemas
El firewall bloquea mi conexión
El firewall bloquea mi conexión
- Conéctate primero mediante la VPN de Tailscale; el Gateway solo es accesible de esa manera por diseño.
- SSH (puerto 22) siempre está permitido.
El servicio no se inicia
El servicio no se inicia
Problemas con el sandbox de Docker
Problemas con el sandbox de Docker
Falla el inicio de sesión del canal
Falla el inicio de sesión del canal
Asegúrate de estar ejecutando como el usuario
openclaw:Configuración avanzada
Para obtener detalles sobre la arquitectura de seguridad y la solución de problemas, consulta el repositorio openclaw-ansible:Relacionado
- openclaw-ansible: guía completa de implementación
- Docker: configuración del Gateway en contenedores
- Sandboxing: configuración de sandbox de agente
- Sandbox multiagente y herramientas: aislamiento por agente