Ansible-installatie

De aanbevolen manier om OpenClaw op productieservers te deployen is via openclaw-ansible — een geautomatiseerde installer met security-first architectuur.

Snel starten

Installatie met één commando:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Volledige gids: github.com/openclaw/openclaw-ansible

De openclaw-ansible repo is de bron van waarheid voor Ansible-deployment. Deze pagina biedt een kort overzicht.

Wat je krijgt

• Firewall-first beveiliging: UFW + Docker-isolatie (alleen SSH + Tailscale bereikbaar)
• Tailscale VPN: Veilige toegang op afstand zonder services publiek bloot te stellen
• Docker: Geïsoleerde sandbox-containers, alleen localhost-bindings
• Verdediging in de diepte: 4-laags beveiligingsarchitectuur
• Installatie met één commando: Volledige deployment in minuten
• Systemd-integratie: Automatisch starten bij boot met hardening

Vereisten

• OS: Debian 11+ of Ubuntu 20.04+
• Toegang: Root- of sudo-rechten
• Netwerk: Internetverbinding voor pakketinstallatie
• Ansible: 2.14+ (wordt automatisch geïnstalleerd door het snelstartscript)

Wat er geïnstalleerd wordt

Het Ansible-playbook installeert en configureert:

1. Tailscale (mesh-VPN voor veilige toegang op afstand)
2. UFW-firewall (alleen SSH + Tailscale-poorten)
3. Docker CE + Compose V2 (voor agent-sandboxes)
4. Node.js 24 + pnpm (runtime-afhankelijkheden; Node 22 LTS, momenteel 22.16+, blijft ondersteund voor compatibiliteit)
5. OpenClaw (host-gebaseerd, niet gecontaineriseerd)
6. Systemd-service (automatisch starten met beveiligingshardening)

Let op: de gateway draait direct op de host (niet in Docker), maar agent-sandboxes gebruiken Docker voor isolatie. Zie Sandboxing voor details.

Configuratie na installatie

Nadat de installatie is voltooid, schakel je over naar de openclaw-gebruiker:

sudo -i -u openclaw

Het post-installatiescript begeleidt je door:

1. Onboarding-wizard: OpenClaw-instellingen configureren
2. Provider-login: WhatsApp/Telegram/Discord/Signal verbinden
3. Gateway-test: De installatie verifiëren
4. Tailscale-configuratie: Verbinden met je VPN-mesh

Snelle commando’s

# Servicestatus controleren
sudo systemctl status openclaw

# Live logs bekijken
sudo journalctl -u openclaw -f

# Gateway herstarten
sudo systemctl restart openclaw

# Provider-login (uitvoeren als openclaw-gebruiker)
sudo -i -u openclaw
openclaw channels login

Beveiligingsarchitectuur

4-laags verdediging

1. Firewall (UFW): Alleen SSH (22) + Tailscale (41641/udp) publiek bereikbaar
2. VPN (Tailscale): Gateway alleen bereikbaar via VPN-mesh
3. Docker-isolatie: DOCKER-USER iptables-chain voorkomt externe poort-blootstelling
4. Systemd-hardening: NoNewPrivileges, PrivateTmp, onbevoegde gebruiker

Verificatie

Test het externe aanvalsoppervlak:

nmap -p- YOUR_SERVER_IP

Zou alleen poort 22 (SSH) als open moeten tonen. Alle andere services (gateway, Docker) zijn afgesloten.

Docker-beschikbaarheid

Docker is geïnstalleerd voor agent-sandboxes (geïsoleerde tool-uitvoering), niet om de gateway zelf te draaien. De gateway bindt aan localhost en is bereikbaar via Tailscale VPN.

Zie Multi-Agent Sandbox & Tools voor sandbox-configuratie.

Handmatige installatie

Als je de voorkeur geeft aan handmatige controle boven automatisering:

# 1. Vereisten installeren
sudo apt update && sudo apt install -y ansible git

# 2. Repository klonen
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

# 3. Ansible-collecties installeren
ansible-galaxy collection install -r requirements.yml

# 4. Playbook uitvoeren
./run-playbook.sh

# Of direct uitvoeren (voer daarna handmatig /tmp/openclaw-setup.sh uit)
# ansible-playbook playbook.yml --ask-become-pass

OpenClaw bijwerken

De Ansible-installer configureert OpenClaw voor handmatige updates. Zie Bijwerken voor het standaard updateproces.

Om het Ansible-playbook opnieuw uit te voeren (bijvoorbeeld voor configuratiewijzigingen):

cd openclaw-ansible
./run-playbook.sh

Let op: dit is idempotent en veilig om meerdere keren uit te voeren.

Probleemoplossing

Firewall blokkeert mijn verbinding

Als je buitengesloten bent:

• Zorg ervoor dat je eerst via Tailscale VPN toegang hebt
• SSH-toegang (poort 22) is altijd toegestaan
• De gateway is uitsluitend via Tailscale bereikbaar, dat is zo ontworpen

Service start niet

# Logs controleren
sudo journalctl -u openclaw -n 100

# Permissies verifiëren
sudo ls -la /opt/openclaw

# Handmatig starten testen
sudo -i -u openclaw
cd ~/openclaw
pnpm start

Docker-sandbox-problemen

# Controleer of Docker draait
sudo systemctl status docker

# Sandbox-image controleren
sudo docker images | grep openclaw-sandbox

# Sandbox-image bouwen als deze ontbreekt
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh

Provider-login mislukt

Zorg ervoor dat je als de openclaw-gebruiker werkt:

sudo -i -u openclaw
openclaw channels login

Geavanceerde configuratie

Voor gedetailleerde beveiligingsarchitectuur en probleemoplossing:

• Beveiligingsarchitectuur
• Technische details
• Handleiding probleemoplossing

Gerelateerd

• openclaw-ansible — volledige deployment-gids
• Docker — gecontaineriseerde gateway-setup
• Sandboxing — agent-sandbox-configuratie
• Multi-Agent Sandbox & Tools — per-agent isolatie