Ansible - OpenClaw

Разверните OpenClaw на производственных серверах с openclaw-ansible — автоматическим установщиком с архитектурой, ориентированной на безопасность.

Репозиторий openclaw-ansible является источником истины для развертывания через Ansible. Эта страница содержит краткий обзор.

Предварительные требования

Требование	Подробности
ОС	Debian 11+ или Ubuntu 20.04+
Доступ	Права root или sudo
Сеть	Подключение к Интернету для установки пакетов
Ansible	2.14+ (устанавливается автоматически скриптом быстрого старта)

Что вы получаете

Безопасность с приоритетом межсетевого экрана — изоляция UFW + Docker (доступны только SSH + Tailscale)
Tailscale VPN — безопасный удаленный доступ без публичного раскрытия сервисов
Docker — изолированные контейнеры-песочницы, привязки только к localhost
Глубоко эшелонированная защита — 4-уровневая архитектура безопасности
Интеграция с systemd — автозапуск при загрузке с усилением безопасности
Настройка одной командой — полное развертывание за минуты

Быстрый старт

Установка одной командой:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Что устанавливается

Playbook Ansible устанавливает и настраивает:

Tailscale — mesh VPN для безопасного удаленного доступа
Межсетевой экран UFW — только порты SSH + Tailscale
Docker CE + Compose V2 — для стандартного backend песочницы агента
Node.js 24 + pnpm — зависимости среды выполнения (Node 22 LTS, сейчас 22.19+, остается поддерживаемым)
OpenClaw — размещается на хосте, не контейнеризируется
Сервис systemd — автозапуск с усилением безопасности

Gateway запускается напрямую на хосте (не в Docker). Песочница агента необязательна; этот playbook устанавливает Docker, потому что это стандартный backend песочницы. Подробнее и о других backend см. Изоляция в песочнице.

Настройка после установки

Переключитесь на пользователя openclaw

sudo -i -u openclaw

Запустите мастер первичной настройки

Скрипт после установки проведет вас через настройку параметров OpenClaw.

Подключите провайдеры сообщений

Войдите в WhatsApp, Telegram, Discord или Signal:

openclaw channels login

Проверьте установку

sudo systemctl status openclaw
sudo journalctl -u openclaw -f

Подключитесь к Tailscale

Присоединитесь к вашей VPN mesh для безопасного удаленного доступа.

Быстрые команды

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Архитектура безопасности

Развертывание использует 4-уровневую модель защиты:

Межсетевой экран (UFW) — публично открыты только SSH (22) + Tailscale (41641/udp)
VPN (Tailscale) — Gateway доступен только через VPN mesh
Изоляция Docker — цепочка iptables DOCKER-USER предотвращает внешнее раскрытие портов
Усиление systemd — NoNewPrivileges, PrivateTmp, непривилегированный пользователь

Чтобы проверить вашу внешнюю поверхность атаки:

nmap -p- YOUR_SERVER_IP

Открыт должен быть только порт 22 (SSH). Все остальные сервисы (Gateway, Docker) заблокированы. Docker устанавливается для песочниц агентов (изолированного выполнения инструментов), а не для запуска самого Gateway. Настройку песочницы см. в Многоагентная песочница и инструменты.

Ручная установка

Если вы предпочитаете ручной контроль вместо автоматизации:

Установите предварительные зависимости

sudo apt update && sudo apt install -y ansible git

Клонируйте репозиторий

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

Установите коллекции Ansible

ansible-galaxy collection install -r requirements.yml

Запустите playbook

./run-playbook.sh

Либо запустите напрямую, а затем вручную выполните скрипт настройки:

ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Обновление

Установщик Ansible настраивает OpenClaw для ручных обновлений. Стандартный процесс обновления см. в Обновление. Чтобы повторно запустить playbook Ansible (например, для изменений конфигурации):

cd openclaw-ansible
./run-playbook.sh

Это идемпотентно и безопасно для многократного запуска.

Устранение неполадок

Межсетевой экран блокирует мое подключение

Сначала убедитесь, что у вас есть доступ через Tailscale VPN
Доступ по SSH (порт 22) всегда разрешен
Gateway по проекту доступен только через Tailscale

Сервис не запускается

# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

Проблемы с песочницей Docker

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup

Вход в провайдер не удается

Убедитесь, что вы запускаете команды от пользователя openclaw:

sudo -i -u openclaw
openclaw channels login

Расширенная конфигурация

Подробную архитектуру безопасности и устранение неполадок см. в репозитории openclaw-ansible:

Связанные материалы

openclaw-ansible — полное руководство по развертыванию
Docker — настройка контейнеризированного Gateway
Изоляция в песочнице — конфигурация песочницы агента
Многоагентная песочница и инструменты — изоляция для каждого агента

​Предварительные требования

​Что вы получаете

​Быстрый старт

​Что устанавливается

​Настройка после установки

​Быстрые команды

​Архитектура безопасности

​Ручная установка

​Обновление

​Устранение неполадок

​Расширенная конфигурация

​Связанные материалы

Предварительные требования

Что вы получаете

Быстрый старт

Что устанавливается

Настройка после установки

Быстрые команды

Архитектура безопасности

Ручная установка

Обновление

Устранение неполадок

Расширенная конфигурация

Связанные материалы