Passer au contenu principal
Déployez OpenClaw sur des serveurs de production avec openclaw-ansible — un installateur automatisé avec une architecture axée sur la sécurité.
Le dépôt openclaw-ansible est la source de référence pour le déploiement Ansible. Cette page est un aperçu rapide.

Prérequis

ExigenceDétails
OSDebian 11+ ou Ubuntu 20.04+
AccèsPrivilèges root ou sudo
RéseauConnexion Internet pour l’installation des paquets
Ansible2.14+ (installé automatiquement par le script de démarrage rapide)

Ce que vous obtenez

  • Sécurité axée d’abord sur le pare-feu — isolation UFW + Docker (seuls SSH + Tailscale sont accessibles)
  • VPN Tailscale — accès distant sécurisé sans exposer publiquement les services
  • Docker — conteneurs sandbox isolés, liaisons limitées à localhost
  • Défense en profondeur — architecture de sécurité à 4 couches
  • Intégration systemd — démarrage automatique au boot avec durcissement
  • Installation en une seule commande — déploiement complet en quelques minutes

Démarrage rapide

Installation en une seule commande :
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Ce qui est installé

Le playbook Ansible installe et configure :
  1. Tailscale — VPN maillé pour un accès distant sécurisé
  2. Pare-feu UFW — ports SSH + Tailscale uniquement
  3. Docker CE + Compose V2 — pour le backend sandbox d’agent par défaut
  4. Node.js 24 + pnpm — dépendances d’exécution (Node 22 LTS, actuellement 22.19+, reste pris en charge)
  5. OpenClaw — basé sur l’hôte, non conteneurisé
  6. Service systemd — démarrage automatique avec durcissement de sécurité
La passerelle s’exécute directement sur l’hôte (pas dans Docker). Le sandboxing des agents est facultatif ; ce playbook installe Docker parce qu’il s’agit du backend sandbox par défaut. Consultez Sandboxing pour plus de détails et d’autres backends.

Configuration après installation

1

Basculer vers l’utilisateur openclaw

sudo -i -u openclaw
2

Exécuter l’assistant d’onboarding

Le script post-installation vous guide dans la configuration des paramètres OpenClaw.
3

Connecter les fournisseurs de messagerie

Connectez-vous à WhatsApp, Telegram, Discord ou Signal :
openclaw channels login
4

Vérifier l’installation

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Se connecter à Tailscale

Rejoignez votre maillage VPN pour un accès distant sécurisé.

Commandes rapides

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Architecture de sécurité

Le déploiement utilise un modèle de défense à 4 couches :
  1. Pare-feu (UFW) — seuls SSH (22) + Tailscale (41641/udp) sont exposés publiquement
  2. VPN (Tailscale) — passerelle accessible uniquement via le maillage VPN
  3. Isolation Docker — la chaîne iptables DOCKER-USER empêche l’exposition de ports externes
  4. Durcissement systemd — NoNewPrivileges, PrivateTmp, utilisateur non privilégié
Pour vérifier votre surface d’attaque externe :
nmap -p- YOUR_SERVER_IP
Seul le port 22 (SSH) devrait être ouvert. Tous les autres services (passerelle, Docker) sont verrouillés. Docker est installé pour les sandboxes d’agents (exécution d’outils isolée), pas pour exécuter la passerelle elle-même. Consultez Multi-Agent Sandbox and Tools pour la configuration du sandbox.

Installation manuelle

Si vous préférez contrôler manuellement l’automatisation :
1

Installer les prérequis

sudo apt update && sudo apt install -y ansible git
2

Cloner le dépôt

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Installer les collections Ansible

ansible-galaxy collection install -r requirements.yml
4

Exécuter le playbook

./run-playbook.sh
Vous pouvez aussi l’exécuter directement puis lancer manuellement le script de configuration ensuite :
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Mise à jour

L’installateur Ansible configure OpenClaw pour les mises à jour manuelles. Consultez Updating pour le flux de mise à jour standard. Pour réexécuter le playbook Ansible (par exemple, pour des changements de configuration) :
cd openclaw-ansible
./run-playbook.sh
Cette opération est idempotente et peut être exécutée plusieurs fois sans risque.

Dépannage

  • Assurez-vous d’abord de pouvoir accéder via le VPN Tailscale
  • L’accès SSH (port 22) est toujours autorisé
  • La passerelle est accessible uniquement via Tailscale par conception
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
Assurez-vous d’exécuter les commandes en tant qu’utilisateur openclaw :
sudo -i -u openclaw
openclaw channels login

Configuration avancée

Pour l’architecture de sécurité détaillée et le dépannage, consultez le dépôt openclaw-ansible :

Connexe