Ansible - OpenClaw

Triển khai OpenClaw lên máy chủ production bằng openclaw-ansible — trình cài đặt tự động với kiến trúc ưu tiên bảo mật.

Repo openclaw-ansible là nguồn chuẩn cho triển khai Ansible. Trang này là tổng quan nhanh.

Điều kiện tiên quyết

Yêu cầu	Chi tiết
OS	Debian 11+ hoặc Ubuntu 20.04+
Truy cập	Quyền root hoặc sudo
Mạng	Kết nối Internet để cài đặt gói
Ansible	2.14+ (được cài tự động bởi script khởi động nhanh)

Bạn nhận được gì

Bảo mật ưu tiên tường lửa — UFW + cách ly Docker (chỉ SSH + Tailscale có thể truy cập)
Tailscale VPN — truy cập từ xa an toàn mà không công khai dịch vụ
Docker — container sandbox cách ly, chỉ bind vào localhost
Phòng thủ nhiều lớp — kiến trúc bảo mật 4 lớp
Tích hợp Systemd — tự động khởi động khi boot với hardening
Thiết lập bằng một lệnh — triển khai hoàn tất trong vài phút

Khởi động nhanh

Cài đặt bằng một lệnh:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Những gì được cài đặt

Playbook Ansible cài đặt và cấu hình:

Tailscale — VPN mesh để truy cập từ xa an toàn
Tường lửa UFW — chỉ các cổng SSH + Tailscale
Docker CE + Compose V2 — cho backend sandbox agent mặc định
Node.js 24 + pnpm — các phụ thuộc runtime (Node 22 LTS, hiện là 22.16+, vẫn được hỗ trợ)
OpenClaw — chạy trên host, không container hóa
Dịch vụ Systemd — tự động khởi động với hardening bảo mật

Gateway chạy trực tiếp trên host (không trong Docker). Cách ly sandbox cho agent là tùy chọn; playbook này cài Docker vì đó là backend sandbox mặc định. Xem Cách ly sandbox để biết chi tiết và các backend khác.

Thiết lập sau cài đặt

Chuyển sang người dùng openclaw

sudo -i -u openclaw

Chạy trình hướng dẫn onboarding

Script sau cài đặt hướng dẫn bạn cấu hình các cài đặt OpenClaw.

Kết nối nhà cung cấp nhắn tin

Đăng nhập vào WhatsApp, Telegram, Discord hoặc Signal:

openclaw channels login

Xác minh cài đặt

sudo systemctl status openclaw
sudo journalctl -u openclaw -f

Kết nối với Tailscale

Tham gia VPN mesh của bạn để truy cập từ xa an toàn.

Lệnh nhanh

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Kiến trúc bảo mật

Triển khai sử dụng mô hình phòng thủ 4 lớp:

Tường lửa (UFW) — chỉ SSH (22) + Tailscale (41641/udp) được công khai
VPN (Tailscale) — gateway chỉ truy cập được qua VPN mesh
Cách ly Docker — chuỗi iptables DOCKER-USER ngăn lộ cổng ra bên ngoài
Hardening Systemd — NoNewPrivileges, PrivateTmp, người dùng không đặc quyền

Để xác minh bề mặt tấn công bên ngoài của bạn:

nmap -p- YOUR_SERVER_IP

Chỉ cổng 22 (SSH) nên mở. Tất cả dịch vụ khác (gateway, Docker) đều bị khóa. Docker được cài cho sandbox agent (thực thi công cụ cách ly), không phải để chạy chính gateway. Xem Sandbox và công cụ đa agent để cấu hình sandbox.

Cài đặt thủ công

Nếu bạn muốn kiểm soát thủ công thay vì dùng tự động hóa:

Cài đặt điều kiện tiên quyết

sudo apt update && sudo apt install -y ansible git

Clone repository

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

Cài đặt collection Ansible

ansible-galaxy collection install -r requirements.yml

Chạy playbook

./run-playbook.sh

Hoặc chạy trực tiếp rồi sau đó tự thực thi script thiết lập:

ansible-playbook playbook.yml --ask-become-pass
# Then run: /tmp/openclaw-setup.sh

Cập nhật

Trình cài đặt Ansible thiết lập OpenClaw để cập nhật thủ công. Xem Cập nhật để biết quy trình cập nhật chuẩn. Để chạy lại playbook Ansible (ví dụ, cho các thay đổi cấu hình):

cd openclaw-ansible
./run-playbook.sh

Quy trình này có tính idempotent và an toàn khi chạy nhiều lần.

Khắc phục sự cố

Tường lửa chặn kết nối của tôi

Trước tiên hãy đảm bảo bạn có thể truy cập qua Tailscale VPN
Truy cập SSH (cổng 22) luôn được cho phép
Gateway chỉ truy cập được qua Tailscale theo thiết kế

Dịch vụ không khởi động

# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

Sự cố sandbox Docker

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup

Đăng nhập nhà cung cấp thất bại

Đảm bảo bạn đang chạy với người dùng openclaw:

sudo -i -u openclaw
openclaw channels login

Cấu hình nâng cao

Để biết kiến trúc bảo mật chi tiết và cách khắc phục sự cố, hãy xem repo openclaw-ansible:

Liên quan

openclaw-ansible — hướng dẫn triển khai đầy đủ
Docker — thiết lập gateway container hóa
Cách ly sandbox — cấu hình sandbox agent
Sandbox và công cụ đa agent — cách ly theo từng agent

Documentation Index

​Điều kiện tiên quyết

​Bạn nhận được gì

​Khởi động nhanh

​Những gì được cài đặt

​Thiết lập sau cài đặt

​Lệnh nhanh

​Kiến trúc bảo mật

​Cài đặt thủ công

​Cập nhật

​Khắc phục sự cố

​Cấu hình nâng cao

​Liên quan

Điều kiện tiên quyết

Bạn nhận được gì

Khởi động nhanh

Những gì được cài đặt

Thiết lập sau cài đặt

Lệnh nhanh

Kiến trúc bảo mật

Cài đặt thủ công

Cập nhật

Khắc phục sự cố

Cấu hình nâng cao

Liên quan