Ansible

Déployez OpenClaw sur des serveurs de production avec openclaw-ansible — un programme d’installation automatisé avec une architecture centrée sur la sécurité.

Info

Le dépôt

openclaw-ansible

est la source de vérité pour le déploiement Ansible. Cette page offre une vue d’ensemble rapide.

Prérequis

Exigence	Détails
OS	Debian 11+ ou Ubuntu 20.04+
Accès	Privilèges root ou sudo
Réseau	Connexion Internet pour l’installation des paquets
Ansible	2.14+ (installé automatiquement par le script de démarrage rapide)

Ce que vous obtenez

• Sécurité avant tout par pare-feu — UFW + isolation Docker (seul SSH + Tailscale accessible)
• VPN Tailscale — accès distant sécurisé sans exposer publiquement les services
• Docker — conteneurs de sandbox isolés, liaisons localhost uniquement
• Défense en profondeur — architecture de sécurité à 4 couches
• Intégration Systemd — démarrage automatique au démarrage avec durcissement
• Configuration en une commande — déploiement complet en quelques minutes

Quick start

Installation en une commande :

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Ce qui est installé

Le playbook Ansible installe et configure :

1. Tailscale — VPN maillé pour un accès distant sécurisé
2. Pare-feu UFW — uniquement les ports SSH + Tailscale
3. Docker CE + Compose V2 — pour le backend de sandbox de l’agent par défaut
4. Node.js 24 + pnpm — dépendances d’exécution (Node 22 LTS, actuellement 22.19+, reste pris en charge)
5. OpenClaw — basé sur l’hôte, non conteneurisé
6. Service Systemd — démarrage automatique avec durcissement de la sécurité

Note

La passerelle s’exécute directement sur l’hôte (pas dans Docker). Le sandboxing de l’agent est optionnel ; ce playbook installe Docker car il s’agit du backend de sandbox par défaut. Consultez

Sandboxing

pour plus de détails et les autres backends.

Configuration post-installation

1. Basculer vers l'utilisateur openclaw

   bash sudo -i -u openclaw

2. Exécuter l'assistant de configuration

   Le script post-installation vous guide dans la configuration des paramètres OpenClaw.

3. Connecter les fournisseurs de messagerie

   Connectez-vous à WhatsApp, Telegram, Discord ou Signal : bash openclaw channels login

4. Vérifier l'installation

   bash sudo systemctl status openclaw sudo journalctl -u openclaw -f

5. Connecter à Tailscale

   Rejoignez votre maillage VPN pour un accès distant sécurisé.

Commandes rapides

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Architecture de sécurité

Le déploiement utilise un modèle de défense à 4 couches :

1. Pare-feu (UFW) — seuls SSH (22) + Tailscale (41641/udp) sont exposés publiquement
2. VPN (Tailscale) — passerelle accessible uniquement via le maillage VPN
3. Isolation Docker — la chaîne iptables DOCKER-USER empêche l’exposition des ports externes
4. Durcissement Systemd — NoNewPrivileges, PrivateTmp, utilisateur non privilégié

Pour vérifier votre surface d’attaque externe :

nmap -p- YOUR_SERVER_IP

Seul le port 22 (SSH) doit être ouvert. Tous les autres services (passerelle, Docker) sont verrouillés.

Docker est installé pour les sandbox d’agents (exécution d’outil isolée), et non pour exécuter la passerelle elle-même. Voir Multi-Agent Sandbox and Tools pour la configuration des sandbox.

Installation manuelle

Si vous préférez un contrôle manuel plutôt que l’automatisation :

1. Installer les prérequis

   sudo apt update && sudo apt install -y ansible git

2. Cloner le dépôt

   git clone https://github.com/openclaw/openclaw-ansible.git
   cd openclaw-ansible

3. AnsibleInstaller les collections Ansible

   ansible-galaxy collection install -r requirements.yml

4. Exécuter le playbook

   ./run-playbook.sh

   Alternativement, exécutez directement puis exécutez manuellement le script de configuration ensuite :

   /tmp/openclaw-setup.sh

   ansible-playbook playbook.yml --ask-become-pass

Mise à jour

L’installeur Ansible configure OpenClaw pour les mises à jour manuelles. Consultez la page Mise à jour pour le processus standard de mise à jour.

Pour réexécuter le playbook Ansible (par exemple, pour des changements de configuration) :

cd openclaw-ansible
./run-playbook.sh

Ceci est idempotent et sûr à exécuter plusieurs fois.

Dépannage

Le pare-feu bloque ma connexion

• Assurez-vous que vous pouvez accéder via le VPN Tailscale d’abord
• L’accès SSH (port 22) est toujours autorisé
• La passerelle n’est accessible que via Tailscale par conception

Le service ne démarre pas

# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

Docker sandbox issues

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing (requires source checkout)
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
# For npm installs without a source checkout, see
# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup

La connexion au fournisseur échoue

Assurez-vous que vous exécutez en tant qu’utilisateur openclaw :

sudo -i -u openclaw
openclaw channels login

Configuration avancée

Pour l’architecture de sécurité détaillée et le dépannage, consultez le dépôt openclaw-ansible :

• Architecture de sécurité
• Détails techniques
• Guide de dépannage

Connexes

• openclaw-ansible — guide de déploiement complet
• Docker — configuration de la passerelle conteneurisée
• Sandboxing — configuration de la sandbox de l’agent
• Bac à sable et outils multi-agents — isolement par agent