Vai al contenuto principale
Distribuisci OpenClaw su server di produzione con openclaw-ansible — un installer automatizzato con un’architettura orientata prima di tutto alla sicurezza.
Il repository openclaw-ansible è la fonte autorevole per la distribuzione con Ansible. Questa pagina è una panoramica rapida.

Prerequisiti

RequisitoDettagli
OSDebian 11+ o Ubuntu 20.04+
AccessoPrivilegi root o sudo
ReteConnessione Internet per l’installazione dei pacchetti
Ansible2.14+ (installato automaticamente dallo script quick-start)

Cosa ottieni

  • Sicurezza firewall-first — isolamento UFW + Docker (accessibili solo SSH + Tailscale)
  • VPN Tailscale — accesso remoto sicuro senza esporre pubblicamente i servizi
  • Docker — container sandbox isolati, binding solo su localhost
  • Difesa in profondità — architettura di sicurezza a 4 livelli
  • Integrazione Systemd — avvio automatico al boot con hardening
  • Configurazione con un solo comando — distribuzione completa in pochi minuti

Avvio rapido

Installazione con un solo comando:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Cosa viene installato

Il playbook Ansible installa e configura:
  1. Tailscale — VPN mesh per accesso remoto sicuro
  2. Firewall UFW — solo porte SSH + Tailscale
  3. Docker CE + Compose V2 — per il backend sandbox dell’agente predefinito
  4. Node.js 24 + pnpm — dipendenze di runtime (Node 22 LTS, attualmente 22.19+, resta supportato)
  5. OpenClaw — basato sull’host, non containerizzato
  6. Servizio Systemd — avvio automatico con hardening di sicurezza
Il gateway viene eseguito direttamente sull’host (non in Docker). Il sandboxing degli agenti è facoltativo; questo playbook installa Docker perché è il backend sandbox predefinito. Vedi Sandboxing per dettagli e altri backend.

Configurazione post-installazione

1

Passa all'utente openclaw

sudo -i -u openclaw
2

Esegui la procedura guidata di onboarding

Lo script post-installazione ti guida nella configurazione delle impostazioni di OpenClaw.
3

Connetti i provider di messaggistica

Accedi a WhatsApp, Telegram, Discord o Signal:
openclaw channels login
4

Verifica l'installazione

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Connettiti a Tailscale

Unisciti alla tua mesh VPN per l’accesso remoto sicuro.

Comandi rapidi

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Architettura di sicurezza

La distribuzione usa un modello di difesa a 4 livelli:
  1. Firewall (UFW) — solo SSH (22) + Tailscale (41641/udp) esposti pubblicamente
  2. VPN (Tailscale) — gateway accessibile solo tramite mesh VPN
  3. Isolamento Docker — la catena iptables DOCKER-USER impedisce l’esposizione di porte esterne
  4. Hardening Systemd — NoNewPrivileges, PrivateTmp, utente non privilegiato
Per verificare la tua superficie di attacco esterna:
nmap -p- YOUR_SERVER_IP
Solo la porta 22 (SSH) dovrebbe essere aperta. Tutti gli altri servizi (gateway, Docker) sono bloccati. Docker viene installato per le sandbox degli agenti (esecuzione isolata degli strumenti), non per eseguire il gateway stesso. Vedi Multi-Agent Sandbox and Tools per la configurazione della sandbox.

Installazione manuale

Se preferisci il controllo manuale rispetto all’automazione:
1

Installa i prerequisiti

sudo apt update && sudo apt install -y ansible git
2

Clona il repository

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Installa le collection Ansible

ansible-galaxy collection install -r requirements.yml
4

Esegui il playbook

./run-playbook.sh
In alternativa, eseguilo direttamente e poi esegui manualmente lo script di configurazione:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Aggiornamento

L’installer Ansible configura OpenClaw per gli aggiornamenti manuali. Vedi Aggiornamento per il flusso di aggiornamento standard. Per rieseguire il playbook Ansible (per esempio, per modifiche di configurazione):
cd openclaw-ansible
./run-playbook.sh
È idempotente e sicuro da eseguire più volte.

Risoluzione dei problemi

  • Assicurati di poter accedere prima tramite VPN Tailscale
  • L’accesso SSH (porta 22) è sempre consentito
  • Il gateway è accessibile solo tramite Tailscale per progettazione
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
Assicurati di essere in esecuzione come utente openclaw:
sudo -i -u openclaw
openclaw channels login

Configurazione avanzata

Per l’architettura di sicurezza dettagliata e la risoluzione dei problemi, vedi il repository openclaw-ansible:

Correlati