Naar hoofdinhoud gaan
Implementeer OpenClaw naar productieservers met openclaw-ansible — een geautomatiseerd installatieprogramma met een security-first architectuur.
De openclaw-ansible-repo is de bron van waarheid voor Ansible-implementatie. Deze pagina is een kort overzicht.

Vereisten

VereisteDetails
OSDebian 11+ of Ubuntu 20.04+
ToegangRoot- of sudo-rechten
NetwerkInternetverbinding voor pakketinstallatie
Ansible2.14+ (automatisch geïnstalleerd door het quickstartscript)

Wat je krijgt

  • Firewall-first beveiliging — UFW + Docker-isolatie (alleen SSH + Tailscale toegankelijk)
  • Tailscale VPN — veilige externe toegang zonder services publiek bloot te stellen
  • Docker — geïsoleerde sandboxcontainers, bindingen alleen op localhost
  • Defense in depth — beveiligingsarchitectuur met 4 lagen
  • Systemd-integratie — automatisch starten bij opstarten met hardening
  • Setup met één commando — volledige implementatie binnen enkele minuten

Quickstart

Installatie met één commando:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Wat wordt geïnstalleerd

Het Ansible-playbook installeert en configureert:
  1. Tailscale — mesh-VPN voor veilige externe toegang
  2. UFW-firewall — alleen SSH- + Tailscale-poorten
  3. Docker CE + Compose V2 — voor de standaard backend voor agentsandboxing
  4. Node.js 24 + pnpm — runtime-afhankelijkheden (Node 22 LTS, momenteel 22.19+, blijft ondersteund)
  5. OpenClaw — hostgebaseerd, niet gecontaineriseerd
  6. Systemd-service — automatisch starten met beveiligingshardening
De Gateway draait rechtstreeks op de host (niet in Docker). Agentsandboxing is optioneel; dit playbook installeert Docker omdat dit de standaard sandbox- backend is. Zie Sandboxing voor details en andere backends.

Setup na installatie

1

Switch to the openclaw user

sudo -i -u openclaw
2

Run the onboarding wizard

Het post-installatiescript begeleidt je bij het configureren van OpenClaw-instellingen.
3

Connect messaging providers

Log in bij WhatsApp, Telegram, Discord of Signal:
openclaw channels login
4

Verify the installation

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Connect to Tailscale

Word lid van je VPN-mesh voor veilige externe toegang.

Snelle commando’s

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Beveiligingsarchitectuur

De implementatie gebruikt een verdedigingsmodel met 4 lagen:
  1. Firewall (UFW) — alleen SSH (22) + Tailscale (41641/udp) publiek blootgesteld
  2. VPN (Tailscale) — Gateway alleen toegankelijk via VPN-mesh
  3. Docker-isolatie — DOCKER-USER iptables-chain voorkomt externe poortblootstelling
  4. Systemd-hardening — NoNewPrivileges, PrivateTmp, gebruiker zonder verhoogde rechten
Om je externe aanvalsvlak te verifiëren:
nmap -p- YOUR_SERVER_IP
Alleen poort 22 (SSH) hoort open te zijn. Alle andere services (Gateway, Docker) zijn afgeschermd. Docker wordt geïnstalleerd voor agentsandboxes (geïsoleerde tooluitvoering), niet om de Gateway zelf te draaien. Zie Multi-Agent Sandbox en Tools voor sandboxconfiguratie.

Handmatige installatie

Als je handmatige controle verkiest boven de automatisering:
1

Install prerequisites

sudo apt update && sudo apt install -y ansible git
2

Clone the repository

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Install Ansible collections

ansible-galaxy collection install -r requirements.yml
4

Run the playbook

./run-playbook.sh
Je kunt ook rechtstreeks uitvoeren en daarna handmatig het setupscript starten:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Bijwerken

Het Ansible-installatieprogramma stelt OpenClaw in voor handmatige updates. Zie Bijwerken voor de standaard updateflow. Om het Ansible-playbook opnieuw uit te voeren (bijvoorbeeld voor configuratiewijzigingen):
cd openclaw-ansible
./run-playbook.sh
Dit is idempotent en veilig om meerdere keren uit te voeren.

Probleemoplossing

  • Zorg dat je eerst toegang hebt via Tailscale VPN
  • SSH-toegang (poort 22) is altijd toegestaan
  • De Gateway is ontwerpgewijs alleen toegankelijk via Tailscale
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
Zorg dat je als de openclaw-gebruiker draait:
sudo -i -u openclaw
openclaw channels login

Geavanceerde configuratie

Zie de openclaw-ansible-repo voor gedetailleerde beveiligingsarchitectuur en probleemoplossing:

Gerelateerd