Installation via Ansible

La methode recommandee pour deployer OpenClaw sur des serveurs de production est openclaw-ansible — un installateur automatise avec une architecture axee sur la securite.

Demarrage rapide

Installation en une commande :

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

📦 Guide complet : github.com/openclaw/openclaw-ansible

Le depot openclaw-ansible est la reference pour le deploiement Ansible. Cette page n’est qu’un apercu.

Ce que vous obtenez

• 🔒 Securite par pare-feu : UFW + isolation Docker (seuls SSH et Tailscale sont accessibles)
• 🔐 Tailscale VPN : Acces distant securise sans exposer les services publiquement
• 🐳 Docker : Conteneurs sandbox isoles, liaisons localhost uniquement
• 🛡️ Defense en profondeur : Architecture de securite a 4 couches
• 🚀 Configuration en une commande : Deploiement complet en quelques minutes
• 🔧 Integration systemd : Demarrage automatique avec renforcement de la securite

Pre-requis

• OS : Debian 11+ ou Ubuntu 20.04+
• Acces : Privileges root ou sudo
• Reseau : Connexion Internet pour l’installation des paquets
• Ansible : 2.14+ (installe automatiquement par le script de demarrage rapide)

Ce qui est installe

Le playbook Ansible installe et configure :

1. Tailscale (VPN mesh pour l’acces distant securise)
2. Pare-feu UFW (ports SSH + Tailscale uniquement)
3. Docker CE + Compose V2 (pour les sandbox d’agents)
4. Node.js 24 + pnpm (dependances d’execution ; Node 22 LTS, actuellement 22.16+, reste pris en charge pour la compatibilite)
5. OpenClaw (sur l’hote, pas containerise)
6. Service systemd (demarrage automatique avec renforcement de la securite)

A noter : la passerelle s’execute directement sur l’hote (pas dans Docker), mais les sandbox d’agents utilisent Docker pour l’isolation. Consultez Sandboxing pour les details.

Configuration post-installation

Une fois l’installation terminee, passez a l’utilisateur openclaw :

sudo -i -u openclaw

Le script post-installation vous guidera a travers :

1. Assistant d’accueil : Configuration des parametres OpenClaw
2. Connexion aux fournisseurs : Connecter WhatsApp/Telegram/Discord/Signal
3. Test de la passerelle : Verifier l’installation
4. Configuration Tailscale : Se connecter a votre reseau VPN mesh

Commandes utiles

# Verifier l'etat du service
sudo systemctl status openclaw

# Consulter les logs en direct
sudo journalctl -u openclaw -f

# Redemarrer la passerelle
sudo systemctl restart openclaw

# Connexion aux fournisseurs (en tant qu'utilisateur openclaw)
sudo -i -u openclaw
openclaw channels login

Architecture de securite

Defense a 4 couches

1. Pare-feu (UFW) : Seuls SSH (22) et Tailscale (41641/udp) sont exposes publiquement
2. VPN (Tailscale) : Passerelle accessible uniquement via le reseau VPN mesh
3. Isolation Docker : Chaine iptables DOCKER-USER empechant l’exposition externe des ports
4. Renforcement systemd : NoNewPrivileges, PrivateTmp, utilisateur non privilegie

Verification

Testez la surface d’attaque externe :

nmap -p- YOUR_SERVER_IP

Vous ne devriez voir que le port 22 (SSH) ouvert. Tous les autres services (passerelle, Docker) sont verrouilles.

Disponibilite de Docker

Docker est installe pour les sandbox d’agents (execution isolee des outils), pas pour la passerelle elle-meme. La passerelle ecoute uniquement sur localhost et est accessible via le VPN Tailscale.

Consultez Multi-Agent Sandbox & Tools pour la configuration des sandbox.

Installation manuelle

Si vous preferez un controle manuel sur l’automatisation :

# 1. Installer les pre-requis
sudo apt update && sudo apt install -y ansible git

# 2. Cloner le depot
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

# 3. Installer les collections Ansible
ansible-galaxy collection install -r requirements.yml

# 4. Executer le playbook
./run-playbook.sh

# Ou executer directement (puis lancer manuellement /tmp/openclaw-setup.sh apres)
# ansible-playbook playbook.yml --ask-become-pass

Mise a jour d’OpenClaw

L’installateur Ansible configure OpenClaw pour les mises a jour manuelles. Consultez Mise a jour pour le processus standard.

Pour relancer le playbook Ansible (par exemple pour des changements de configuration) :

cd openclaw-ansible
./run-playbook.sh

A noter : l’operation est idempotente et peut etre executee plusieurs fois sans risque.

Depannage

Le pare-feu bloque ma connexion

Si vous etes bloque :

• Assurez-vous de pouvoir acceder via le VPN Tailscale d’abord
• L’acces SSH (port 22) est toujours autorise
• La passerelle n’est accessible que via Tailscale, par conception

Le service ne demarre pas

# Verifier les logs
sudo journalctl -u openclaw -n 100

# Verifier les permissions
sudo ls -la /opt/openclaw

# Tester un demarrage manuel
sudo -i -u openclaw
cd ~/openclaw
pnpm start

Problemes de sandbox Docker

# Verifier que Docker est en cours d'execution
sudo systemctl status docker

# Verifier l'image sandbox
sudo docker images | grep openclaw-sandbox

# Construire l'image sandbox si manquante
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh

La connexion au fournisseur echoue

Assurez-vous d’etre connecte en tant qu’utilisateur openclaw :

sudo -i -u openclaw
openclaw channels login

Configuration avancee

Pour l’architecture de securite detaillee et le depannage :

• Architecture de securite
• Details techniques
• Guide de depannage

Voir aussi

• openclaw-ansible — guide de deploiement complet
• Docker — configuration containerisee de la passerelle
• Sandboxing — configuration des sandbox d’agents
• Multi-Agent Sandbox & Tools — isolation par agent