Instalacja Ansible¶

Zalecanym sposobem wdrażania OpenClaw na serwerach produkcyjnych jest openclaw-ansible — zautomatyzowany instalator o architekturze „security-first”.

Szybki start¶

Instalacja jednym poleceniem:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

📦 Pełny przewodnik: github.com/openclaw/openclaw-ansible

Repozytorium openclaw-ansible jest źródłem prawdy dla wdrożeń Ansible. Ta strona stanowi szybki przegląd.

Co otrzymujesz¶

• 🔒 Bezpieczeństwo oparte na zaporze: UFW + izolacja Dockera (dostępne tylko SSH + Tailscale)
• 🔐 VPN Tailscale: Bezpieczny zdalny dostęp bez publicznego wystawiania usług
• 🐳 Docker: Izolowane kontenery sandbox, wiązania tylko do localhost
• 🛡️ Obrona warstwowa: 4‑warstwowa architektura bezpieczeństwa
• 🚀 Konfiguracja jednym poleceniem: Pełne wdrożenie w kilka minut
• 🔧 Integracja z systemd: Automatyczny start przy uruchomieniu z utwardzaniem

Wymagania¶

• OS: Debian 11+ lub Ubuntu 20.04+
• Dostęp: Uprawnienia root lub sudo
• Sieć: Połączenie z Internetem do instalacji pakietów
• Ansible: 2.14+ (instalowany automatycznie przez skrypt szybkiego startu)

Co jest instalowane¶

Playbook Ansible instaluje i konfiguruje:

1. Tailscale (siatkowy VPN do bezpiecznego zdalnego dostępu)
2. Zapora UFW (tylko porty SSH + Tailscale)
3. Docker CE + Compose V2 (dla sandboxów agentów)
4. Node.js 22.x + pnpm (zależności środowiska uruchomieniowego)
5. OpenClaw (host‑based, niekonteneryzowany)
6. Usługa systemd (automatyczny start z utwardzaniem bezpieczeństwa)

Uwaga: Gateway działa bezpośrednio na hoście (nie w Dockerze), natomiast sandboxy agentów używają Dockera do izolacji. Zobacz Sandboxing, aby poznać szczegóły.

Konfiguracja po instalacji¶

Po zakończeniu instalacji przełącz się na użytkownika openclaw:

sudo -i -u openclaw

Skrypt post‑install poprowadzi Cię przez:

1. Kreator onboardingu: Konfigurację ustawień OpenClaw
2. Logowanie do dostawcy: Połączenie z WhatsApp/Telegram/Discord/Signal
3. Testy Gateway: Weryfikację instalacji
4. Konfigurację Tailscale: Połączenie z siatką VPN

Szybkie polecenia¶

# Check service status
sudo systemctl status openclaw

# View live logs
sudo journalctl -u openclaw -f

# Restart gateway
sudo systemctl restart openclaw

# Provider login (run as openclaw user)
sudo -i -u openclaw
openclaw channels login

Architektura bezpieczeństwa¶

4-Warstwowa Obrona¶

1. Zapora (UFW): Publicznie wystawione tylko SSH (22) + Tailscale (41641/udp)
2. VPN (Tailscale): Gateway dostępny wyłącznie przez siatkę VPN
3. Izolacja Dockera: Łańcuch iptables DOCKER-USER zapobiega zewnętrznej ekspozycji portów
4. Utwardzanie systemd: NoNewPrivileges, PrivateTmp, użytkownik bez uprawnień

Weryfikacja¶

Przetestuj zewnętrzną powierzchnię ataku:

nmap -p- YOUR_SERVER_IP

Powinien pokazać tylko port 22 (SSH) jako otwarty. Wszystkie pozostałe usługi (gateway, Docker) są zablokowane.

Dostępność Dockera¶

Docker jest instalowany dla sandboxów agentów (izolowane wykonywanie narzędzi), a nie do uruchamiania samego gateway. Gateway wiąże się wyłącznie z localhost i jest dostępny przez VPN Tailscale.

Zobacz Multi-Agent Sandbox & Tools w celu konfiguracji sandboxów.

Instalacja ręczna¶

Jeśli wolisz ręczną kontrolę zamiast automatyzacji:

# 1. Install prerequisites
sudo apt update && sudo apt install -y ansible git

# 2. Clone repository
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

# 3. Install Ansible collections
ansible-galaxy collection install -r requirements.yml

# 4. Run playbook
./run-playbook.sh

# Or run directly (then manually execute /tmp/openclaw-setup.sh after)
# ansible-playbook playbook.yml --ask-become-pass

Aktualizowanie OpenClaw¶

Instalator Ansible konfiguruje OpenClaw pod kątem ręcznych aktualizacji. Zobacz Updating, aby poznać standardowy przepływ aktualizacji.

Aby ponownie uruchomić playbook Ansible (np. w celu zmian konfiguracji):

cd openclaw-ansible
./run-playbook.sh

Uwaga: Jest to idempotentne i bezpieczne do wielokrotnego uruchamiania.

Rozwiązywanie problemów¶

Zapora blokuje moje połączenie¶

Jeśli zostałeś zablokowany:

• Najpierw upewnij się, że masz dostęp przez VPN Tailscale
• Dostęp SSH (port 22) jest zawsze dozwolony
• Gateway jest wyłącznie dostępny przez Tailscale zgodnie z założeniami

Usługa nie uruchamia się¶

# Check logs
sudo journalctl -u openclaw -n 100

# Verify permissions
sudo ls -la /opt/openclaw

# Test manual start
sudo -i -u openclaw
cd ~/openclaw
pnpm start

Problemy z sandboxem Dockera¶

# Verify Docker is running
sudo systemctl status docker

# Check sandbox image
sudo docker images | grep openclaw-sandbox

# Build sandbox image if missing
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh

Logowanie do dostawcy nie działa¶

Upewnij się, że działasz jako użytkownik openclaw:

sudo -i -u openclaw
openclaw channels login

Konfiguracja zaawansowana¶

Szczegółowa architektura bezpieczeństwa i rozwiązywanie problemów:

• Architektura bezpieczeństwa
• Szczegóły techniczne
• Przewodnik rozwiązywania problemów

Powiązane¶

• openclaw-ansible — pełny przewodnik wdrożeniowy
• Docker — konteneryzowana konfiguracja gateway
• Sandboxing — konfiguracja sandboxów agentów
• Multi-Agent Sandbox & Tools — izolacja per‑agent