Containers
Ansible
Triển khai OpenClaw lên các máy chủ production bằng openclaw-ansible, một trình cài đặt tự động có kiến trúc ưu tiên bảo mật.
Điều kiện tiên quyết
| Yêu cầu | Chi tiết |
|---|---|
| Hệ điều hành | Debian 11+ hoặc Ubuntu 20.04+ |
| Quyền truy cập | Quyền root hoặc sudo |
| Mạng | Kết nối Internet để cài đặt gói |
| Ansible | 2.14+ (được tập lệnh bắt đầu nhanh tự động cài đặt) |
Những gì bạn nhận được
- Bảo mật ưu tiên tường lửa: UFW + cô lập Docker (chỉ có thể truy cập SSH + Tailscale)
- VPN Tailscale để truy cập từ xa mà không công khai các dịch vụ
- Docker cho các container sandbox được cô lập với liên kết chỉ dành cho máy cục bộ
- Tích hợp systemd với cơ chế tăng cường bảo mật, tự động khởi động khi hệ thống khởi động
- Thiết lập bằng một lệnh
Bắt đầu nhanh
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bashNhững thành phần được cài đặt
- Tailscale (VPN dạng lưới để truy cập từ xa an toàn)
- Tường lửa UFW (chỉ các cổng SSH + Tailscale)
- Docker CE + Compose V2 (phần phụ trợ sandbox mặc định của agent)
- Node.js và pnpm (OpenClaw yêu cầu Node 22.19+ hoặc 23.11+; khuyến nghị Node 24)
- OpenClaw, được cài đặt trực tiếp trên máy chủ, không được đóng gói trong container
- Một dịch vụ systemd với cơ chế tăng cường bảo mật
Thiết lập sau khi cài đặt
Chuyển sang người dùng openclaw
sudo -i -u openclawChạy trình hướng dẫn thiết lập ban đầu
Tập lệnh sau cài đặt hướng dẫn bạn cấu hình OpenClaw.
Kết nối các kênh nhắn tin
Đăng nhập vào WhatsApp, Telegram, Discord hoặc Signal:
openclaw channels login --channel <name>Xác minh quá trình cài đặt
sudo systemctl status openclawsudo journalctl -u openclaw -fKết nối với Tailscale
Tham gia mạng lưới VPN của bạn để truy cập từ xa an toàn.
Các lệnh nhanh
# Kiểm tra trạng thái dịch vụsudo systemctl status openclaw # Xem nhật ký trực tiếpsudo journalctl -u openclaw -f # Khởi động lại gatewaysudo systemctl restart openclaw # Đăng nhập kênh (chạy với tư cách người dùng openclaw)sudo -i -u openclawopenclaw channels login --channel <name>Kiến trúc bảo mật
Mô hình phòng vệ bốn lớp:
- Tường lửa (UFW): chỉ công khai SSH (22) và Tailscale (41641/udp)
- VPN (Tailscale): chỉ có thể truy cập gateway qua mạng lưới VPN
- Cô lập Docker: chuỗi iptables
DOCKER-USERngăn việc công khai cổng ra bên ngoài - Tăng cường bảo mật systemd:
NoNewPrivileges,PrivateTmp, người dùng không có đặc quyền
Xác minh bề mặt tấn công bên ngoài của bạn:
nmap -p- YOUR_SERVER_IPChỉ cổng 22 (SSH) nên mở. Gateway và Docker vẫn được khóa chặt.
Docker được cài đặt cho sandbox của agent (thực thi công cụ được cô lập), không phải để chạy gateway. Xem Sandbox và công cụ đa agent để biết cách cấu hình sandbox.
Cài đặt thủ công
Cài đặt các điều kiện tiên quyết
sudo apt update && sudo apt install -y ansible gitSao chép kho lưu trữ
git clone https://github.com/openclaw/openclaw-ansible.gitcd openclaw-ansibleCài đặt các bộ sưu tập Ansible
ansible-galaxy collection install -r requirements.ymlChạy playbook
./run-playbook.shHoặc chạy trực tiếp playbook rồi chạy thủ công tập lệnh thiết lập:
ansible-playbook playbook.yml --ask-become-pass# Sau đó chạy: /tmp/openclaw-setup.shCập nhật
Trình cài đặt Ansible thiết lập OpenClaw để cập nhật thủ công; xem Cập nhật để biết quy trình tiêu chuẩn.
Để chạy lại playbook (ví dụ: sau khi thay đổi cấu hình):
cd openclaw-ansible./run-playbook.shQuá trình này có tính lũy đẳng và có thể chạy nhiều lần một cách an toàn.
Khắc phục sự cố
Tường lửa chặn kết nối của tôi
- Trước tiên, hãy kết nối qua VPN Tailscale; theo thiết kế, chỉ có thể truy cập gateway theo cách này.
- SSH (cổng 22) luôn được cho phép.
Dịch vụ không khởi động
# Kiểm tra nhật kýsudo journalctl -u openclaw -n 100 # Xác minh quyềnsudo ls -la /opt/openclaw # Thử khởi động thủ côngsudo -i -u openclawcd ~/openclawopenclaw gateway runSự cố sandbox Docker
# Xác minh Docker đang chạysudo systemctl status docker # Kiểm tra image sandboxsudo docker images | grep openclaw-sandbox # Tạo image sandbox nếu chưa có (yêu cầu bản sao mã nguồn)cd /opt/openclaw/openclawsudo -u openclaw ./scripts/sandbox-setup.sh# Đối với bản cài đặt npm không có bản sao mã nguồn, xem# https://docs.openclaw.ai/gateway/sandboxing#images-and-setupĐăng nhập kênh không thành công
Hãy đảm bảo bạn đang chạy với tư cách người dùng openclaw:
sudo -i -u openclawopenclaw channels login --channel <name>Cấu hình nâng cao
Để biết chi tiết về kiến trúc bảo mật và cách khắc phục sự cố, hãy xem kho lưu trữ openclaw-ansible:
Nội dung liên quan
- openclaw-ansible: hướng dẫn triển khai đầy đủ
- Docker: thiết lập Gateway trong container
- Tạo sandbox: cấu hình sandbox của agent
- Sandbox và công cụ đa agent: cô lập theo từng agent