Saltar al contenido principal
Implementa OpenClaw en servidores de producción con openclaw-ansible, un instalador automatizado con una arquitectura que prioriza la seguridad.
El repositorio openclaw-ansible es la fuente de verdad para la implementación con Ansible. Esta página es una vista general rápida.

Requisitos previos

RequisitoDetalles
SODebian 11+ o Ubuntu 20.04+
AccesoPrivilegios root o sudo
RedConexión a Internet para la instalación de paquetes
Ansible2.14+ (instalado automáticamente por el script de inicio rápido)

Qué obtienes

  • Seguridad con firewall primero: UFW + aislamiento de Docker (solo SSH + Tailscale accesibles)
  • VPN de Tailscale para acceso remoto sin exponer servicios públicamente
  • Docker para contenedores de sandbox aislados con enlaces solo a localhost
  • Integración con systemd con endurecimiento, inicio automático al arrancar
  • Configuración con un solo comando

Inicio rápido

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Qué se instala

  1. Tailscale (VPN mallada para acceso remoto seguro)
  2. Firewall UFW (solo puertos SSH + Tailscale)
  3. Docker CE + Compose V2 (backend de sandbox de agente predeterminado)
  4. Node.js y pnpm (OpenClaw requiere Node 22.19+ o 23.11+; se recomienda Node 24)
  5. OpenClaw, instalado basado en el host, no en contenedores
  6. Un servicio systemd con endurecimiento de seguridad
El Gateway se ejecuta directamente en el host, no en Docker. El sandboxing de agentes es opcional; este playbook instala Docker porque es el backend de sandbox predeterminado. Consulta Sandboxing para otros backends.

Configuración posterior a la instalación

1

Cambia al usuario openclaw

sudo -i -u openclaw
2

Ejecuta el asistente de incorporación

El script posterior a la instalación te guía para configurar OpenClaw.
3

Conecta canales de mensajería

Inicia sesión en WhatsApp, Telegram, Discord o Signal:
openclaw channels login --channel <name>
4

Verifica la instalación

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Conéctate a Tailscale

Únete a tu malla VPN para acceso remoto seguro.

Comandos rápidos

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Channel login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login --channel <name>

Arquitectura de seguridad

Modelo de defensa de cuatro capas:
  1. Firewall (UFW): solo SSH (22) y Tailscale (41641/udp) expuestos públicamente
  2. VPN (Tailscale): el Gateway solo es accesible mediante la malla VPN
  3. Aislamiento de Docker: la cadena iptables DOCKER-USER evita la exposición de puertos externos
  4. Endurecimiento de systemd: NoNewPrivileges, PrivateTmp, usuario sin privilegios
Verifica tu superficie de ataque externa:
nmap -p- YOUR_SERVER_IP
Solo el puerto 22 (SSH) debería estar abierto. El Gateway y Docker permanecen bloqueados. Docker se instala para sandboxes de agentes (ejecución aislada de herramientas), no para ejecutar el Gateway. Consulta Sandbox multiagente y herramientas para la configuración de sandbox.

Instalación manual

1

Instala los requisitos previos

sudo apt update && sudo apt install -y ansible git
2

Clona el repositorio

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Instala las colecciones de Ansible

ansible-galaxy collection install -r requirements.yml
4

Ejecuta el playbook

./run-playbook.sh
O ejecuta el playbook directamente y luego ejecuta el script de configuración manualmente:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Actualización

El instalador de Ansible configura OpenClaw para actualizaciones manuales; consulta Actualización para el flujo estándar. Para volver a ejecutar el playbook (por ejemplo, después de cambios de configuración):
cd openclaw-ansible
./run-playbook.sh
Esto es idempotente y seguro para ejecutarlo varias veces.

Solución de problemas

  • Conéctate primero mediante la VPN de Tailscale; el Gateway solo es accesible de esa manera por diseño.
  • SSH (puerto 22) siempre está permitido.
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build the sandbox image if missing (requires a source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
Asegúrate de estar ejecutando como el usuario openclaw:
sudo -i -u openclaw
openclaw channels login --channel <name>

Configuración avanzada

Para obtener detalles sobre la arquitectura de seguridad y la solución de problemas, consulta el repositorio openclaw-ansible:

Relacionado