メインコンテンツへスキップ
openclaw-ansible を使用して OpenClaw を本番サーバーにデプロイします。これはセキュリティ優先のアーキテクチャを備えた自動インストーラーです。
openclaw-ansible リポジトリは、Ansible デプロイの信頼できる情報源です。このページは簡単な概要です。

前提条件

要件詳細
OSDebian 11+ または Ubuntu 20.04+
アクセスroot または sudo 権限
ネットワークパッケージインストール用のインターネット接続
Ansible2.14+(クイックスタートスクリプトにより自動でインストール)

得られるもの

  • ファイアウォール優先のセキュリティ: UFW + Docker 分離(SSH + Tailscale のみ到達可能)
  • サービスを公開せずにリモートアクセスするための Tailscale VPN
  • localhost のみのバインドを持つ分離サンドボックスコンテナ用の Docker
  • ハードニングと起動時の自動起動を備えた systemd 統合
  • 1 コマンドセットアップ

クイックスタート

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

インストールされるもの

  1. Tailscale(安全なリモートアクセス用のメッシュ VPN)
  2. UFW ファイアウォール(SSH + Tailscale ポートのみ)
  3. Docker CE + Compose V2(デフォルトのエージェントサンドボックスバックエンド)
  4. Node.js と pnpm(OpenClaw には Node 22.19+ または 23.11+ が必要です。Node 24 を推奨します)
  5. OpenClaw。コンテナ化ではなくホストベースでインストールされます
  6. セキュリティハードニング付きの systemd サービス
Gateway は Docker 内ではなく、ホスト上で直接実行されます。エージェントのサンドボックス化は 任意です。この playbook は、Docker がデフォルトのサンドボックス バックエンドであるため Docker をインストールします。他のバックエンドについては サンドボックス化 を参照してください。

インストール後のセットアップ

1

openclaw ユーザーに切り替える

sudo -i -u openclaw
2

オンボーディングウィザードを実行する

インストール後スクリプトが OpenClaw の設定を案内します。
3

メッセージングチャネルを接続する

WhatsApp、Telegram、Discord、または Signal にログインします:
openclaw channels login --channel <name>
4

インストールを確認する

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Tailscale に接続する

安全なリモートアクセスのために VPN メッシュに参加します。

クイックコマンド

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Channel login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login --channel <name>

セキュリティアーキテクチャ

4 層防御モデル:
  1. ファイアウォール(UFW): SSH(22)と Tailscale(41641/udp)のみを公開
  2. VPN(Tailscale): Gateway は VPN メッシュ経由でのみ到達可能
  3. Docker 分離: DOCKER-USER iptables チェーンが外部ポート公開を防止
  4. Systemd ハードニング: NoNewPrivilegesPrivateTmp、非特権ユーザー
外部攻撃対象領域を確認します:
nmap -p- YOUR_SERVER_IP
ポート 22(SSH)のみが開いている必要があります。Gateway と Docker はロックダウンされたままです。 Docker はエージェントサンドボックス(分離されたツール実行)のためにインストールされ、Gateway の実行用ではありません。サンドボックス設定については マルチエージェントサンドボックスとツール を参照してください。

手動インストール

1

前提条件をインストールする

sudo apt update && sudo apt install -y ansible git
2

リポジトリをクローンする

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Ansible コレクションをインストールする

ansible-galaxy collection install -r requirements.yml
4

playbook を実行する

./run-playbook.sh
または、playbook を直接実行してからセットアップスクリプトを手動で実行します:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

更新

Ansible インストーラーは、OpenClaw を手動更新用にセットアップします。標準フローについては 更新 を参照してください。 playbook を再実行するには(たとえば、設定変更後):
cd openclaw-ansible
./run-playbook.sh
これは冪等で、複数回実行しても安全です。

トラブルシューティング

  • まず Tailscale VPN 経由で接続してください。Gateway は設計上、その方法でのみ到達可能です。
  • SSH(ポート 22)は常に許可されます。
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build the sandbox image if missing (requires a source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
openclaw ユーザーとして実行していることを確認してください:
sudo -i -u openclaw
openclaw channels login --channel <name>

高度な設定

詳細なセキュリティアーキテクチャとトラブルシューティングについては、openclaw-ansible リポジトリを参照してください:

関連