Ansible 安装

将 OpenClaw 部署到生产服务器的推荐方式是通过 openclaw-ansible —— 一个具有安全优先架构的自动化安装程序。

快速开始

一键安装:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

📦 完整指南: github.com/openclaw/openclaw-ansible

openclaw-ansible 仓库是 Ansible 部署的权威来源。此页面是快速概览。

您将获得什么

• 🔒 防火墙优先安全: UFW + Docker 隔离(仅 SSH + Tailscale 可访问)
• 🔐 Tailscale VPN: 安全的远程访问,无需公开暴露服务
• 🐳 Docker: 隔离的沙箱容器,仅 localhost 绑定
• 🛡️ 纵深防御: 4 层安全架构
• 🚀 一键设置: 几分钟内完成部署
• 🔧 Systemd 集成: 启动时自动启动并加固

要求

• 操作系统: Debian 11+ 或 Ubuntu 20.04+
• 访问权限: Root 或 sudo 权限
• 网络: 用于软件包安装的互联网连接
• Ansible: 2.14+(由快速启动脚本自动安装)

安装内容

Ansible playbook 安装并配置:

1. Tailscale(用于安全远程访问的网状 VPN)
2. UFW 防火墙(仅 SSH + Tailscale 端口)
3. Docker CE + Compose V2(用于代理沙箱)
4. Node.js 22.x + pnpm(运行时依赖)
5. OpenClaw(基于主机,非容器化)
6. Systemd 服务(自动启动并进行安全加固)

注意:网关直接在主机上运行(不在 Docker 中),但代理沙箱使用 Docker 进行隔离。详见 沙箱。

安装后设置

安装完成后,切换到 openclaw 用户:

sudo -i -u openclaw

安装后脚本将引导您完成:

1. 入门向导: 配置 OpenClaw 设置
2. 提供商登录: 连接 WhatsApp/Telegram/Discord/Signal
3. 网关测试: 验证安装
4. Tailscale 设置: 连接到您的 VPN 网状网络

快速命令

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

安全架构

4 层防御

1. 防火墙(UFW): 仅公开暴露 SSH(22) + Tailscale(41641/udp)
2. VPN(Tailscale): 网关仅通过 VPN 网状网络访问
3. Docker 隔离: DOCKER-USER iptables 链防止外部端口暴露
4. Systemd 加固: NoNewPrivileges、PrivateTmp、非特权用户

验证

测试外部攻击面:

nmap -p- YOUR_SERVER_IP

应仅显示端口 22(SSH)开放。所有其他服务(网关、Docker)都已锁定。

Docker 可用性

安装 Docker 用于代理沙箱(隔离的工具执行),而非运行网关本身。网关仅绑定到 localhost,并可通过 Tailscale VPN 访问。

有关沙箱配置,请参阅 多代理沙箱和工具。

手动安装

如果您更喜欢手动控制自动化:

# 1. Install prerequisites
sudo apt update && sudo apt install -y ansible git

# 2. Clone repository
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

# 3. Install Ansible collections
ansible-galaxy collection install -r requirements.yml

# 4. Run playbook
./run-playbook.sh

# Or run directly (then manually execute /tmp/openclaw-setup.sh after)
# ansible-playbook playbook.yml --ask-become-pass

更新 OpenClaw

Ansible 安装程序为手动更新设置 OpenClaw。有关标准更新流程,请参阅 更新。

要重新运行 Ansible playbook(例如,用于配置更改):

cd openclaw-ansible
./run-playbook.sh

注意:这是幂等的,可以安全地多次运行。

故障排除

防火墙阻止我的连接

如果您被锁定:

• 确保您可以先通过 Tailscale VPN 访问
• SSH 访问(端口 22)始终允许
• 网关仅通过 Tailscale 访问是设计如此

服务无法启动

# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
pnpm start

Docker 沙箱问题

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh

提供商登录失败

确保您以 openclaw 用户身份运行:

sudo -i -u openclaw
openclaw channels login

高级配置

有关详细的安全架构和故障排除:

• 安全架构
• 技术细节
• 故障排除指南

相关

• openclaw-ansible — 完整部署指南
• Docker — 容器化网关设置
• 沙箱 — 代理沙箱配置
• 多代理沙箱和工具 — 每个代理的隔离