Ansible
Installation Ansible
Section intitulée « Installation Ansible »Déployez OpenClaw sur des serveurs de production avec openclaw-ansible — un installateur automatisé avec une architecture axée sur la sécurité.
Prérequis
Section intitulée « Prérequis »| Exigence | Détails |
|---|---|
| SE | Debian 11+ ou Ubuntu 20.04+ |
| Accès | Privilèges root ou sudo |
| Réseau | Connexion Internet pour l’installation des paquets |
| Ansible | 2.14+ (installé automatiquement par le script de démarrage rapide) |
Ce que vous obtenez
Section intitulée « Ce que vous obtenez »- Sécurité axée sur le pare-feu — UFW + isolation Docker (seul SSH + Tailscale accessible)
- VPN Tailscale — accès à distance sécurisé sans exposer publiquement les services
- Docker — conteneurs de bac à sable (sandbox) isolés, liaisons localhost uniquement
- Défense en profondeur — architecture de sécurité à 4 couches
- Intégration Systemd — démarrage automatique au boot avec durcissement
- Installation en une seule commande — déploiement complet en quelques minutes
Démarrage rapide
Section intitulée « Démarrage rapide »Installation en une seule commande :
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashCe qui est installé
Section intitulée « Ce qui est installé »Le playbook Ansible installe et configure :
- Tailscale — VPN maillé pour un accès à distance sécurisé
- Pare-feu UFW — uniquement les ports SSH + Tailscale
- Docker CE + Compose V2 — pour les bac à sable (sandboxes) d’agents
- Node.js 24 + pnpm — dépendances d’exécution (Node 22 LTS, actuellement
22.14+, reste pris en charge) - OpenClaw — basé sur l’hôte, non conteneurisé
- Service Systemd — démarrage automatique avec durcissement de la sécurité
Configuration post-installation
Section intitulée « Configuration post-installation »Switch to the openclaw user
bash sudo -i -u openclawExécuter l'assistant de configuration
Le script post-installation vous guide dans la configuration des paramètres OpenClaw.
Connecter les fournisseurs de messagerie
Connectez-vous à WhatsApp, Telegram, Discord ou Signal :
bash openclaw channels loginVérifier l'installation
bash sudo systemctl status openclaw sudo journalctl -u openclaw -fConnecter à Tailscale
Rejoignez votre maillage VPN pour un accès distant sécurisé.
Commandes rapides
Section intitulée « Commandes rapides »# Check service statussudo systemctl status openclaw
# View live logssudo journalctl -u openclaw -f
# Restart gatewaysudo systemctl restart openclaw
# Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels loginArchitecture de sécurité
Section intitulée « Architecture de sécurité »Le déploiement utilise un modèle de défense à 4 couches :
- Pare-feu (UFW) — seuls SSH (22) + Tailscale (41641/udp) sont exposés publiquement
- VPN (Tailscale) — passerelle accessible uniquement via le maillage VPN
- Isolation Docker — la chaîne iptables DOCKER-USER empêche l’exposition des ports externes
- Durcissement Systemd — NoNewPrivileges, PrivateTmp, utilisateur non privilégié
Pour vérifier votre surface d’attaque externe :
nmap -p- YOUR_SERVER_IPSeul le port 22 (SSH) doit être ouvert. Tous les autres services (passerelle, Docker) sont verrouillés.
Docker est installé pour les sandbox d’agents (exécution d’outil isolée), et non pour exécuter la passerelle elle-même. Voir Multi-Agent Sandbox and Tools pour la configuration des sandbox.
Installation manuelle
Section intitulée « Installation manuelle »Si vous préférez un contrôle manuel plutôt que l’automatisation :
Install prerequisites
Fenêtre de terminal sudo apt update && sudo apt install -y ansible gitClone the repository
Fenêtre de terminal git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleInstall Ansible collections
Fenêtre de terminal ansible-galaxy collection install -r requirements.ymlExécutez le playbook
Fenêtre de terminal ./run-playbook.shAlternativement, exécutez directement puis exécutez manuellement le script de configuration par la suite :
/tmp/openclaw-setup.sh ansible-playbook playbook.yml --ask-become-pass
Mise à jour
Section intitulée « Mise à jour »Le programme d’installation Ansible configure OpenClaw pour les mises à jour manuelles. Voir Updating pour le flux de mise à jour standard.
Pour réexécuter le playbook Ansible (par exemple, pour les changements de configuration) :
cd openclaw-ansible./run-playbook.shCeci est idempotent et sûr à exécuter plusieurs fois.
Dépannage
Section intitulée « Dépannage »Le pare-feu bloque ma connexion
- Assurez-vous que vous pouvez accéder via le VPN Tailscale d’abord
- L’accès SSH (port 22) est toujours autorisé
- La passerelle est uniquement accessible via Tailscale par conception
Le service ne démarre pas
# Check logssudo journalctl -u openclaw -n 100
# Verify permissionssudo ls -la /opt/openclaw
# Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runDocker sandbox issues
# Verify Docker is runningsudo systemctl status docker
# Check sandbox imagesudo docker images | grep openclaw-sandbox
# Build sandbox image if missingcd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.shLa connexion au fournisseur échoue
Assurez-vous que vous exécutez en tant qu’utilisateur openclaw :
sudo -i -u openclawopenclaw channels loginConfiguration avancée
Section intitulée « Configuration avancée »Pour une architecture de sécurité détaillée et le dépannage, consultez le dépôt openclaw-ansible :
Connexes
Section intitulée « Connexes »- openclaw-ansible — guide complet de déploiement
- Docker — configuration de passerelle conteneurisée
- Sandboxing — configuration du bac à sable de l’agent
- Multi-Agent Sandbox and Tools — isolement par agent