Ansible
使用 openclaw-ansible 將 OpenClaw 部署到生產伺服器——這是一個採用安全優先架構的自動安裝程式。
| 需求 | 詳細資訊 |
|---|---|
| 作業系統 | Debian 11+ 或 Ubuntu 20.04+ |
| 存取權限 | Root 或 sudo 權限 |
| 網路 | 用於安裝套件的網際網路連線 |
| Ansible | 2.14+ (會由快速入門腳本自動安裝) |
- 防火牆優先的安全機制 — UFW + Docker 隔離 (僅開放 SSH + Tailscale 存取)
- Tailscale VPN — 安全的遠端存取,無需公開暴露服務
- Docker — 隔離的沙箱容器,僅綁定 localhost
- 縱深防禦 — 4 層安全架構
- Systemd 整合 — 開機自動啟動並進行安全強化
- 單一指令設定 — 幾分鐘內完成完整部署
單一指令安裝:
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash此 Ansible playbook 會安裝並設定:
- Tailscale — 用於安全遠端存取的網狀 VPN
- UFW 防火牆 — 僅開放 SSH + Tailscale 連接埠
- Docker CE + Compose V2 — 用於預設的 Agent 沙箱後端
- Node.js 24 + pnpm — 運行時相依套件(Node 22 LTS,目前為
22.19+,仍受支援) - OpenClaw — 基於主機,而非容器化
- Systemd 服務 — 開機自動啟動並進行安全強化
切換到 openclaw 使用者
bash sudo -i -u openclaw執行上線精靈
安裝後腳本會引導您完成 OpenClaw 的設定。
連結訊息服務提供商
登入 WhatsApp、Telegram、Discord 或 Signal:
bash openclaw channels login驗證安裝
bash sudo systemctl status openclaw sudo journalctl -u openclaw -f連線至 Tailscale
加入您的 VPN 網狀網路以進行安全的遠端存取。
# Check service statussudo systemctl status openclaw
# View live logssudo journalctl -u openclaw -f
# Restart gatewaysudo systemctl restart openclaw
# Provider login (run as openclaw user)sudo -i -u openclawopenclaw channels login此部署使用 4 層防禦模型:
- 防火牆 (UFW) — 僅公開 SSH (22) + Tailscale (41641/udp)
- VPN (Tailscale) — 閘道僅可透過 VPN 網狀網路存取
- Docker 隔離 — DOCKER-USER iptables 鏈可防止外部連接埠暴露
- Systemd 加固 — NoNewPrivileges、PrivateTmp、非特權使用者
若要驗證您的外部攻擊面:
nmap -p- YOUR_SERVER_IP僅應開放連接埠 22 (SSH)。所有其他服務 (閘道、Docker) 均已鎖定。
安裝 Docker 是為了代理沙盒 (隔離工具執行),而非用於執行閘道本身。請參閱 Multi-Agent Sandbox and Tools 以了解沙盒設定。
如果您偏好對自動化進行手動控制:
安裝先決條件
Terminal window sudo apt update && sudo apt install -y ansible git複製儲存庫
Terminal window git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible安裝 Ansible collections
Terminal window ansible-galaxy collection install -r requirements.yml執行 playbook
Terminal window ./run-playbook.sh或者,直接執行然後手動執行設定腳本:
/tmp/openclaw-setup.sh ansible-playbook playbook.yml --ask-become-pass
Ansible 安裝程式會將 OpenClaw 設定為手動更新。請參閱 Updating 以了解標準更新流程。
若要重新執行 Ansible playbook (例如,進行設定變更):
cd openclaw-ansible./run-playbook.sh這是等冪 的,且可安全地多次執行。
防火牆阻擋我的連線
- 請確保您能先透過 Tailscale VPN 存取
- SSH 存取 (連接埠 22) 始終允許
- 依設計,閘道僅能透過 Tailscale 存取
服務無法啟動
# Check logssudo journalctl -u openclaw -n 100
# Verify permissionssudo ls -la /opt/openclaw
# Test manual startsudo -i -u openclawcd ~/openclawopenclaw gateway runDocker sandbox issues
# Verify Docker is runningsudo systemctl status docker
# Check sandbox imagesudo docker images | grep openclaw-sandbox
# Build sandbox image if missing (requires source checkout)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# For npm installs without a source checkout, see# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup供應商登入失敗
請確保您正以 openclaw 使用者身分執行:
sudo -i -u openclawopenclaw channels login如需詳細的安全架構與疑難排解資訊,請參閱 openclaw-ansible 儲存庫:
- openclaw-ansible — 完整部署指南
- Docker — 容器化閘道設定
- 沙箱機制 — 代理程式沙箱設定
- 多重代理程式沙箱與工具 — 每個代理程式的隔離