Containers

Ansible

Triển khai OpenClaw lên các máy chủ production bằng openclaw-ansible, một trình cài đặt tự động có kiến trúc ưu tiên bảo mật.

Điều kiện tiên quyết

Yêu cầu Chi tiết
Hệ điều hành Debian 11+ hoặc Ubuntu 20.04+
Quyền truy cập Quyền root hoặc sudo
Mạng Kết nối Internet để cài đặt gói
Ansible 2.14+ (được tập lệnh bắt đầu nhanh tự động cài đặt)

Những gì bạn nhận được

  • Bảo mật ưu tiên tường lửa: UFW + cô lập Docker (chỉ có thể truy cập SSH + Tailscale)
  • VPN Tailscale để truy cập từ xa mà không công khai các dịch vụ
  • Docker cho các container sandbox được cô lập với liên kết chỉ dành cho máy cục bộ
  • Tích hợp systemd với cơ chế tăng cường bảo mật, tự động khởi động khi hệ thống khởi động
  • Thiết lập bằng một lệnh

Bắt đầu nhanh

bash
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Những thành phần được cài đặt

  1. Tailscale (VPN dạng lưới để truy cập từ xa an toàn)
  2. Tường lửa UFW (chỉ các cổng SSH + Tailscale)
  3. Docker CE + Compose V2 (phần phụ trợ sandbox mặc định của agent)
  4. Node.js và pnpm (OpenClaw yêu cầu Node 22.19+ hoặc 23.11+; khuyến nghị Node 24)
  5. OpenClaw, được cài đặt trực tiếp trên máy chủ, không được đóng gói trong container
  6. Một dịch vụ systemd với cơ chế tăng cường bảo mật

Thiết lập sau khi cài đặt

  • Chuyển sang người dùng openclaw

    bash
    sudo -i -u openclaw
  • Chạy trình hướng dẫn thiết lập ban đầu

    Tập lệnh sau cài đặt hướng dẫn bạn cấu hình OpenClaw.

  • Kết nối các kênh nhắn tin

    Đăng nhập vào WhatsApp, Telegram, Discord hoặc Signal:

    bash
    openclaw channels login --channel <name>
  • Xác minh quá trình cài đặt

    bash
    sudo systemctl status openclawsudo journalctl -u openclaw -f
  • Kết nối với Tailscale

    Tham gia mạng lưới VPN của bạn để truy cập từ xa an toàn.

  • Các lệnh nhanh

    bash
    # Kiểm tra trạng thái dịch vụsudo systemctl status openclaw # Xem nhật ký trực tiếpsudo journalctl -u openclaw -f # Khởi động lại gatewaysudo systemctl restart openclaw # Đăng nhập kênh (chạy với tư cách người dùng openclaw)sudo -i -u openclawopenclaw channels login --channel <name>

    Kiến trúc bảo mật

    Mô hình phòng vệ bốn lớp:

    1. Tường lửa (UFW): chỉ công khai SSH (22) và Tailscale (41641/udp)
    2. VPN (Tailscale): chỉ có thể truy cập gateway qua mạng lưới VPN
    3. Cô lập Docker: chuỗi iptables DOCKER-USER ngăn việc công khai cổng ra bên ngoài
    4. Tăng cường bảo mật systemd: NoNewPrivileges, PrivateTmp, người dùng không có đặc quyền

    Xác minh bề mặt tấn công bên ngoài của bạn:

    bash
    nmap -p- YOUR_SERVER_IP

    Chỉ cổng 22 (SSH) nên mở. Gateway và Docker vẫn được khóa chặt.

    Docker được cài đặt cho sandbox của agent (thực thi công cụ được cô lập), không phải để chạy gateway. Xem Sandbox và công cụ đa agent để biết cách cấu hình sandbox.

    Cài đặt thủ công

  • Cài đặt các điều kiện tiên quyết

    bash
    sudo apt update && sudo apt install -y ansible git
  • Sao chép kho lưu trữ

    bash
    git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansible
  • Cài đặt các bộ sưu tập Ansible

    bash
    ansible-galaxy collection install -r requirements.yml
  • Chạy playbook

    bash
    ./run-playbook.sh

    Hoặc chạy trực tiếp playbook rồi chạy thủ công tập lệnh thiết lập:

    bash
    ansible-playbook playbook.yml --ask-become-pass# Sau đó chạy: /tmp/openclaw-setup.sh
  • Cập nhật

    Trình cài đặt Ansible thiết lập OpenClaw để cập nhật thủ công; xem Cập nhật để biết quy trình tiêu chuẩn.

    Để chạy lại playbook (ví dụ: sau khi thay đổi cấu hình):

    bash
    cd openclaw-ansible./run-playbook.sh

    Quá trình này có tính lũy đẳng và có thể chạy nhiều lần một cách an toàn.

    Khắc phục sự cố

    Tường lửa chặn kết nối của tôi
    • Trước tiên, hãy kết nối qua VPN Tailscale; theo thiết kế, chỉ có thể truy cập gateway theo cách này.
    • SSH (cổng 22) luôn được cho phép.
    Dịch vụ không khởi động
    bash
    # Kiểm tra nhật kýsudo journalctl -u openclaw -n 100 # Xác minh quyềnsudo ls -la /opt/openclaw # Thử khởi động thủ côngsudo -i -u openclawcd ~/openclawopenclaw gateway run
    Sự cố sandbox Docker
    bash
    # Xác minh Docker đang chạysudo systemctl status docker # Kiểm tra image sandboxsudo docker images | grep openclaw-sandbox # Tạo image sandbox nếu chưa có (yêu cầu bản sao mã nguồn)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Đối với bản cài đặt npm không có bản sao mã nguồn, xem# https://docs.openclaw.ai/gateway/sandboxing#images-and-setup
    Đăng nhập kênh không thành công

    Hãy đảm bảo bạn đang chạy với tư cách người dùng openclaw:

    bash
    sudo -i -u openclawopenclaw channels login --channel <name>

    Cấu hình nâng cao

    Để biết chi tiết về kiến trúc bảo mật và cách khắc phục sự cố, hãy xem kho lưu trữ openclaw-ansible:

    Nội dung liên quan

    Was this useful?
    On this page

    On this page