Перейти до основного вмісту
Розгорніть OpenClaw на production-серверах за допомогою openclaw-ansible — автоматизованого інсталятора з архітектурою, орієнтованою насамперед на безпеку.
Репозиторій openclaw-ansible є джерелом істини для розгортання Ansible. Ця сторінка — короткий огляд.

Передумови

ВимогаПодробиці
ОСDebian 11+ або Ubuntu 20.04+
ДоступПрава root або sudo
МережаПідключення до інтернету для встановлення пакетів
Ansible2.14+ (встановлюється автоматично скриптом швидкого старту)

Що ви отримуєте

  • Безпека з пріоритетом firewall — ізоляція UFW + Docker (доступні лише SSH + Tailscale)
  • Tailscale VPN — безпечний віддалений доступ без публічного відкриття сервісів
  • Docker — ізольовані sandbox-контейнери, прив’язки лише до localhost
  • Багаторівневий захист — 4-рівнева архітектура безпеки
  • Інтеграція з systemd — автоматичний запуск під час завантаження з hardening
  • Налаштування однією командою — повне розгортання за лічені хвилини

Швидкий старт

Встановлення однією командою:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Що встановлюється

Ansible playbook встановлює й налаштовує:
  1. Tailscale — mesh VPN для безпечного віддаленого доступу
  2. UFW firewall — лише порти SSH + Tailscale
  3. Docker CE + Compose V2 — для стандартного backend sandbox агента
  4. Node.js 24 + pnpm — runtime-залежності (Node 22 LTS, наразі 22.19+, залишається підтримуваним)
  5. OpenClaw — на хості, без контейнеризації
  6. Сервіс systemd — автоматичний запуск із посиленням безпеки
Gateway запускається безпосередньо на хості (не в Docker). Sandbox для агентів необов’язковий; цей playbook встановлює Docker, бо це стандартний backend sandbox. Докладніше та інші backend див. у Sandboxing.

Налаштування після встановлення

1

Перейдіть на користувача openclaw

sudo -i -u openclaw
2

Запустіть майстер onboarding

Скрипт після встановлення проведе вас через налаштування параметрів OpenClaw.
3

Підключіть провайдери повідомлень

Увійдіть у WhatsApp, Telegram, Discord або Signal:
openclaw channels login
4

Перевірте встановлення

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Підключіться до Tailscale

Приєднайтеся до своєї VPN mesh для безпечного віддаленого доступу.

Швидкі команди

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Архітектура безпеки

Розгортання використовує 4-рівневу модель захисту:
  1. Firewall (UFW) — публічно відкриті лише SSH (22) + Tailscale (41641/udp)
  2. VPN (Tailscale) — gateway доступний лише через VPN mesh
  3. Ізоляція Docker — ланцюжок iptables DOCKER-USER запобігає зовнішньому відкриттю портів
  4. Hardening systemd — NoNewPrivileges, PrivateTmp, непривілейований користувач
Щоб перевірити зовнішню поверхню атаки:
nmap -p- YOUR_SERVER_IP
Відкритим має бути лише порт 22 (SSH). Усі інші сервіси (gateway, Docker) заблоковані. Docker встановлюється для sandbox агентів (ізольованого виконання інструментів), а не для запуску самого gateway. Конфігурацію sandbox див. у Multi-Agent Sandbox and Tools.

Ручне встановлення

Якщо ви віддаєте перевагу ручному контролю над автоматизацією:
1

Встановіть передумови

sudo apt update && sudo apt install -y ansible git
2

Клонуйте репозиторій

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Встановіть колекції Ansible

ansible-galaxy collection install -r requirements.yml
4

Запустіть playbook

./run-playbook.sh
Або запустіть напряму, а потім вручну виконайте скрипт налаштування:
ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Оновлення

Інсталятор Ansible налаштовує OpenClaw для ручних оновлень. Стандартний процес оновлення див. у Updating. Щоб повторно запустити Ansible playbook (наприклад, для змін конфігурації):
cd openclaw-ansible
./run-playbook.sh
Це ідемпотентно й безпечно для багаторазового запуску.

Усунення несправностей

  • Спершу переконайтеся, що маєте доступ через Tailscale VPN
  • Доступ SSH (порт 22) завжди дозволено
  • Gateway за задумом доступний лише через Tailscale
# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run
# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
Переконайтеся, що ви запускаєте команди як користувач openclaw:
sudo -i -u openclaw
openclaw channels login

Розширена конфігурація

Докладну архітектуру безпеки та інструкції з усунення несправностей див. у репозиторії openclaw-ansible:

Пов’язане

  • openclaw-ansible — повний посібник із розгортання
  • Docker — налаштування контейнеризованого gateway
  • Sandboxing — конфігурація sandbox агента
  • Multi-Agent Sandbox and Tools — ізоляція на рівні окремого агента