openclaw-ansible リポジトリは、Ansible デプロイの信頼できる情報源です。このページは簡単な概要です。
前提条件
| 要件 | 詳細 |
|---|---|
| OS | Debian 11+ または Ubuntu 20.04+ |
| アクセス | root または sudo 権限 |
| ネットワーク | パッケージインストール用のインターネット接続 |
| Ansible | 2.14+(クイックスタートスクリプトにより自動でインストール) |
得られるもの
- ファイアウォール優先のセキュリティ: UFW + Docker 分離(SSH + Tailscale のみ到達可能)
- サービスを公開せずにリモートアクセスするための Tailscale VPN
- localhost のみのバインドを持つ分離サンドボックスコンテナ用の Docker
- ハードニングと起動時の自動起動を備えた systemd 統合
- 1 コマンドセットアップ
クイックスタート
インストールされるもの
- Tailscale(安全なリモートアクセス用のメッシュ VPN)
- UFW ファイアウォール(SSH + Tailscale ポートのみ)
- Docker CE + Compose V2(デフォルトのエージェントサンドボックスバックエンド)
- Node.js と pnpm(OpenClaw には Node 22.19+ または 23.11+ が必要です。Node 24 を推奨します)
- OpenClaw。コンテナ化ではなくホストベースでインストールされます
- セキュリティハードニング付きの systemd サービス
Gateway は Docker 内ではなく、ホスト上で直接実行されます。エージェントのサンドボックス化は
任意です。この playbook は、Docker がデフォルトのサンドボックス
バックエンドであるため Docker をインストールします。他のバックエンドについては サンドボックス化 を参照してください。
インストール後のセットアップ
クイックコマンド
セキュリティアーキテクチャ
4 層防御モデル:- ファイアウォール(UFW): SSH(22)と Tailscale(41641/udp)のみを公開
- VPN(Tailscale): Gateway は VPN メッシュ経由でのみ到達可能
- Docker 分離:
DOCKER-USERiptables チェーンが外部ポート公開を防止 - Systemd ハードニング:
NoNewPrivileges、PrivateTmp、非特権ユーザー
手動インストール
更新
Ansible インストーラーは、OpenClaw を手動更新用にセットアップします。標準フローについては 更新 を参照してください。 playbook を再実行するには(たとえば、設定変更後):トラブルシューティング
ファイアウォールが接続をブロックする
ファイアウォールが接続をブロックする
- まず Tailscale VPN 経由で接続してください。Gateway は設計上、その方法でのみ到達可能です。
- SSH(ポート 22)は常に許可されます。
サービスが起動しない
サービスが起動しない
Docker サンドボックスの問題
Docker サンドボックスの問題
チャネルログインが失敗する
チャネルログインが失敗する
openclaw ユーザーとして実行していることを確認してください:高度な設定
詳細なセキュリティアーキテクチャとトラブルシューティングについては、openclaw-ansible リポジトリを参照してください:関連
- openclaw-ansible: 完全なデプロイガイド
- Docker: コンテナ化された Gateway セットアップ
- サンドボックス化: エージェントサンドボックス設定
- マルチエージェントサンドボックスとツール: エージェントごとの分離