Ansible

Implemente OpenClaw en servidores de producción con openclaw-ansible — un instalador automatizado con arquitectura de seguridad prioritaria.

Info

El repositorio

openclaw-ansible

es la fuente de verdad para el despliegue de Ansible. Esta página es un resumen rápido.

Requisitos previos

Requisito	Detalles
SO	Debian 11+ o Ubuntu 20.04+
Acceso	Privilegios de root o sudo
Red	Conexión a Internet para la instalación de paquetes
Ansible	2.14+ (instalado automáticamente por el script de inicio rápido)

Lo que obtienes

• Seguridad primero con firewall — Aislamiento UFW + Docker (solo accesible SSH + Tailscale)
• VPN Tailscale — acceso remoto seguro sin exponer servicios públicamente
• Docker — contenedores de sandbox aislados, enlaces solo localhost
• Defensa en profundidad — arquitectura de seguridad de 4 capas
• Integración con Systemd — inicio automático al arrancar con endurecimiento de seguridad
• Configuración con un comando — despliegue completo en minutos

Inicio rápido

Instalación con un comando:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Qué se instala

El playbook de Ansible instala y configura:

1. Tailscale — VPN mesh para acceso remoto seguro
2. Firewall UFW — solo puertos SSH + Tailscale
3. Docker CE + Compose V2 — para el backend del sandbox de agente predeterminado
4. Node.js 24 + pnpm — dependencias de tiempo de ejecución (Node 22 LTS, actualmente 22.19+, sigue siendo compatible)
5. OpenClaw — basado en el host, no en contenedores
6. Servicio Systemd — inicio automático con endurecimiento de seguridad

Note

La puerta de enlace se ejecuta directamente en el host (no en Docker). El aislamiento del agente es opcional; este playbook instala Docker porque es el backend de sandbox predeterminado. Consulte

Sandboxing

para obtener detalles y otros backends.

Configuración posterior a la instalación

1. Cambiar al usuario openclaw

   bash sudo -i -u openclaw

2. Ejecute el asistente de incorporación

   El script posterior a la instalación le guiará a través de la configuración de los ajustes de OpenClaw.

3. Conecte proveedores de mensajería

   Inicie sesión en WhatsApp, Telegram, Discord o Signal: bash openclaw channels login

4. Verifique la instalación

   bash sudo systemctl status openclaw sudo journalctl -u openclaw -f

5. Conectarse a Tailscale

   Únase a su malla VPN para un acceso remoto seguro.

Comandos rápidos

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Arquitectura de seguridad

El despliegue utiliza un modelo de defensa de 4 capas:

1. Firewall (UFW) — solo SSH (22) + Tailscale (41641/udp) expuestos públicamente
2. VPN (Tailscale) — puerta de enlace accesible solo a través de la malla VPN
3. Aislamiento de Docker — la cadena iptables DOCKER-USER previene la exposición de puertos externos
4. Endurecimiento de Systemd — NoNewPrivileges, PrivateTmp, usuario sin privilegios

Para verificar su superficie de ataque externa:

nmap -p- YOUR_SERVER_IP

Solo el puerto 22 (SSH) debe estar abierto. Todos los demás servicios (puerta de enlace, Docker) están bloqueados.

Docker se instala para entornos de prueba de agentes (ejecución de herramientas aisladas), no para ejecutar la puerta de enlace en sí. Consulte Multi-Agent Sandbox and Tools para la configuración del entorno de prueba.

Instalación manual

Si prefiere el control manual sobre la automatización:

1. Instalar los prerequisitos

   sudo apt update && sudo apt install -y ansible git

2. Clonar el repositorio

   git clone https://github.com/openclaw/openclaw-ansible.git
   cd openclaw-ansible

3. Instalar colecciones de Ansible

   ansible-galaxy collection install -r requirements.yml

4. Ejecutar el playbook

   ./run-playbook.sh

   Alternativamente, ejecute directamente y luego ejecute manualmente el script de configuración después:

   /tmp/openclaw-setup.sh

   ansible-playbook playbook.yml --ask-become-pass

Actualización

El instalador de Ansible configura OpenClaw para actualizaciones manuales. Consulte Actualización para el flujo de actualización estándar.

Para volver a ejecutar el playbook de Ansible (por ejemplo, para cambios de configuración):

cd openclaw-ansible
./run-playbook.sh

Esto es idempotente y es seguro ejecutarlo varias veces.

Solución de problemas

El firewall bloquea mi conexión

• Asegúrese de que puede acceder a través de la VPN Tailscale primero
• El acceso SSH (puerto 22) siempre está permitido
• La puerta de enlace solo es accesible a través de Tailscale por diseño

El servicio no se inicia

# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

Docker sandbox issues

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup

Falla el inicio de sesión del proveedor

Asegúrese de que está ejecutando como el usuario openclaw:

sudo -i -u openclaw
openclaw channels login

Configuración avanzada

Para obtener la arquitectura de seguridad detallada y la solución de problemas, consulte el repositorio openclaw-ansible:

• Arquitectura de seguridad
• Detalles técnicos
• Guía de solución de problemas

Relacionado

• openclaw-ansible — guía completa de implementación
• Docker — configuración de puerta de enlace en contenedor
• Aislamiento — configuración del sandbox del agente
• Sandbox y herramientas de múltiples agentes — aislamiento por agente