Репозиторій openclaw-ansible є джерелом істини для розгортання Ansible. Ця сторінка — короткий огляд.
Передумови
| Вимога | Подробиці |
|---|---|
| ОС | Debian 11+ або Ubuntu 20.04+ |
| Доступ | Права root або sudo |
| Мережа | Підключення до інтернету для встановлення пакетів |
| Ansible | 2.14+ (встановлюється автоматично скриптом швидкого старту) |
Що ви отримуєте
- Безпека з пріоритетом firewall — ізоляція UFW + Docker (доступні лише SSH + Tailscale)
- Tailscale VPN — безпечний віддалений доступ без публічного відкриття сервісів
- Docker — ізольовані sandbox-контейнери, прив’язки лише до localhost
- Багаторівневий захист — 4-рівнева архітектура безпеки
- Інтеграція з systemd — автоматичний запуск під час завантаження з hardening
- Налаштування однією командою — повне розгортання за лічені хвилини
Швидкий старт
Встановлення однією командою:Що встановлюється
Ansible playbook встановлює й налаштовує:- Tailscale — mesh VPN для безпечного віддаленого доступу
- UFW firewall — лише порти SSH + Tailscale
- Docker CE + Compose V2 — для стандартного backend sandbox агента
- Node.js 24 + pnpm — runtime-залежності (Node 22 LTS, наразі
22.19+, залишається підтримуваним) - OpenClaw — на хості, без контейнеризації
- Сервіс systemd — автоматичний запуск із посиленням безпеки
Gateway запускається безпосередньо на хості (не в Docker). Sandbox для агентів
необов’язковий; цей playbook встановлює Docker, бо це стандартний backend
sandbox. Докладніше та інші backend див. у Sandboxing.
Налаштування після встановлення
Запустіть майстер onboarding
Скрипт після встановлення проведе вас через налаштування параметрів OpenClaw.
Швидкі команди
Архітектура безпеки
Розгортання використовує 4-рівневу модель захисту:- Firewall (UFW) — публічно відкриті лише SSH (22) + Tailscale (41641/udp)
- VPN (Tailscale) — gateway доступний лише через VPN mesh
- Ізоляція Docker — ланцюжок iptables DOCKER-USER запобігає зовнішньому відкриттю портів
- Hardening systemd — NoNewPrivileges, PrivateTmp, непривілейований користувач
Ручне встановлення
Якщо ви віддаєте перевагу ручному контролю над автоматизацією:Оновлення
Інсталятор Ansible налаштовує OpenClaw для ручних оновлень. Стандартний процес оновлення див. у Updating. Щоб повторно запустити Ansible playbook (наприклад, для змін конфігурації):Усунення несправностей
Firewall блокує моє підключення
Firewall блокує моє підключення
- Спершу переконайтеся, що маєте доступ через Tailscale VPN
- Доступ SSH (порт 22) завжди дозволено
- Gateway за задумом доступний лише через Tailscale
Сервіс не запускається
Сервіс не запускається
Проблеми із sandbox Docker
Проблеми із sandbox Docker
Вхід до провайдера не вдається
Вхід до провайдера не вдається
Переконайтеся, що ви запускаєте команди як користувач
openclaw:Розширена конфігурація
Докладну архітектуру безпеки та інструкції з усунення несправностей див. у репозиторії openclaw-ansible:Пов’язане
- openclaw-ansible — повний посібник із розгортання
- Docker — налаштування контейнеризованого gateway
- Sandboxing — конфігурація sandbox агента
- Multi-Agent Sandbox and Tools — ізоляція на рівні окремого агента