O repositório openclaw-ansible é a fonte da verdade para implantação com Ansible. Esta página é uma visão geral rápida.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| SO | Debian 11+ ou Ubuntu 20.04+ |
| Acesso | Privilégios de root ou sudo |
| Rede | Conexão com a Internet para instalação de pacotes |
| Ansible | 2.14+ (instalado automaticamente pelo script de início rápido) |
O que você recebe
- Segurança baseada em firewall — isolamento com UFW + Docker (somente SSH + Tailscale acessíveis)
- VPN Tailscale — acesso remoto seguro sem expor serviços publicamente
- Docker — contêineres de sandbox isolados, bindings somente em localhost
- Defesa em profundidade — arquitetura de segurança em 4 camadas
- Integração com systemd — inicialização automática no boot com hardening
- Configuração com um comando — implantação completa em minutos
Início rápido
Instalação com um comando:O que é instalado
O playbook do Ansible instala e configura:- Tailscale — VPN mesh para acesso remoto seguro
- Firewall UFW — somente portas SSH + Tailscale
- Docker CE + Compose V2 — para o backend padrão de sandbox do agente
- Node.js 24 + pnpm — dependências de runtime (Node 22 LTS, atualmente
22.19+, continua com suporte) - OpenClaw — baseado no host, não conteinerizado
- Serviço systemd — inicialização automática com hardening de segurança
O Gateway é executado diretamente no host (não no Docker). O sandboxing de agentes é
opcional; este playbook instala o Docker porque ele é o backend padrão de sandbox.
Veja Sandboxing para detalhes e outros backends.
Configuração pós-instalação
Run the onboarding wizard
O script pós-instalação orienta você na configuração das definições do OpenClaw.
Comandos rápidos
Arquitetura de segurança
A implantação usa um modelo de defesa em 4 camadas:- Firewall (UFW) — somente SSH (22) + Tailscale (41641/udp) expostos publicamente
- VPN (Tailscale) — Gateway acessível somente pela mesh VPN
- Isolamento do Docker — a cadeia iptables DOCKER-USER impede exposição de portas externas
- Hardening do systemd — NoNewPrivileges, PrivateTmp, usuário sem privilégios
Instalação manual
Se você preferir controle manual sobre a automação:Atualização
O instalador Ansible configura o OpenClaw para atualizações manuais. Veja Atualização para o fluxo padrão de atualização. Para executar novamente o playbook do Ansible (por exemplo, para alterações de configuração):Solução de problemas
Firewall blocks my connection
Firewall blocks my connection
- Garanta que você consiga acessar primeiro pela VPN Tailscale
- O acesso SSH (porta 22) é sempre permitido
- O Gateway é acessível somente via Tailscale por design
Service will not start
Service will not start
Docker sandbox issues
Docker sandbox issues
Provider login fails
Provider login fails
Certifique-se de estar executando como o usuário
openclaw:Configuração avançada
Para arquitetura de segurança detalhada e solução de problemas, consulte o repositório openclaw-ansible:Relacionados
- openclaw-ansible — guia completo de implantação
- Docker — configuração de Gateway conteinerizado
- Sandboxing — configuração de sandbox de agente
- Sandbox multiagente e ferramentas — isolamento por agente