Instalacja z Ansible

Zalecany sposób wdrożenia OpenClaw na serwerach produkcyjnych to openclaw-ansible — zautomatyzowany instalator z architekturą stawiającą na bezpieczeństwo.

Szybki start

Instalacja jedną komendą:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

📦 Pełna instrukcja: github.com/openclaw/openclaw-ansible

Repozytorium openclaw-ansible jest źródłem prawdy dla wdrożeń Ansible. Ta strona to krótki przegląd.

Co otrzymasz

• 🔒 Bezpieczeństwo firewall-first: UFW + izolacja Docker (dostępne tylko SSH + Tailscale)
• 🔐 Tailscale VPN: Bezpieczny zdalny dostęp bez publicznego wystawiania usług
• 🐳 Docker: Izolowane kontenery sandbox, bindowanie tylko na localhost
• 🛡️ Obrona w głąb: 4-warstwowa architektura bezpieczeństwa
• 🚀 Konfiguracja jedną komendą: Kompletne wdrożenie w kilka minut
• 🔧 Integracja z systemd: Automatyczny start przy uruchomieniu systemu z zabezpieczeniami

Wymagania

• System: Debian 11+ lub Ubuntu 20.04+
• Dostęp: Uprawnienia root lub sudo
• Sieć: Połączenie z internetem do instalacji pakietów
• Ansible: 2.14+ (instalowany automatycznie przez skrypt szybkiego startu)

Co zostanie zainstalowane

Playbook Ansible instaluje i konfiguruje:

1. Tailscale (mesh VPN do bezpiecznego zdalnego dostępu)
2. Firewall UFW (tylko porty SSH + Tailscale)
3. Docker CE + Compose V2 (do sandboxów agentów)
4. Node.js 24 + pnpm (zależności runtime; Node 22 LTS, aktualnie 22.16+, pozostaje wspierany ze względu na kompatybilność)
5. OpenClaw (instalacja na hoście, nie w kontenerze)
6. Usługa systemd (automatyczny start z zabezpieczeniami)

Uwaga: brama działa bezpośrednio na hoście (nie w Dockerze), ale sandboxy agentów wykorzystują Docker do izolacji. Szczegóły w Sandboxing.

Konfiguracja po instalacji

Po zakończeniu instalacji przełącz się na użytkownika openclaw:

sudo -i -u openclaw

Skrypt poinstalacyjny przeprowadzi cię przez:

1. Kreator onboardingu: Konfiguracja ustawień OpenClaw
2. Logowanie do dostawcy: Połączenie z WhatsApp/Telegram/Discord/Signal
3. Test bramy: Weryfikacja instalacji
4. Konfiguracja Tailscale: Połączenie z siecią mesh VPN

Przydatne komendy

# Sprawdź status usługi
sudo systemctl status openclaw

# Podgląd logów na żywo
sudo journalctl -u openclaw -f

# Restart bramy
sudo systemctl restart openclaw

# Logowanie do dostawcy (uruchom jako użytkownik openclaw)
sudo -i -u openclaw
openclaw channels login

Architektura bezpieczeństwa

4-warstwowa obrona

1. Firewall (UFW): Publicznie wystawione tylko SSH (22) + Tailscale (41641/udp)
2. VPN (Tailscale): Brama dostępna wyłącznie przez sieć mesh VPN
3. Izolacja Docker: Łańcuch iptables DOCKER-USER zapobiega zewnętrznemu wystawieniu portów
4. Zabezpieczenia systemd: NoNewPrivileges, PrivateTmp, użytkownik bez uprawnień

Weryfikacja

Przetestuj zewnętrzną powierzchnię ataku:

nmap -p- YOUR_SERVER_IP

Powinien pokazać tylko port 22 (SSH) jako otwarty. Wszystkie inne usługi (brama, Docker) są zablokowane.

Dostępność Dockera

Docker jest zainstalowany na potrzeby sandboxów agentów (izolowane wykonywanie narzędzi), nie do uruchamiania samej bramy. Brama binduje się na localhost i jest dostępna przez Tailscale VPN.

Szczegóły w Multi-Agent Sandbox & Tools.

Instalacja ręczna

Jeśli wolisz ręczną kontrolę nad automatyzacją:

# 1. Zainstaluj wymagania wstępne
sudo apt update && sudo apt install -y ansible git

# 2. Sklonuj repozytorium
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

# 3. Zainstaluj kolekcje Ansible
ansible-galaxy collection install -r requirements.yml

# 4. Uruchom playbook
./run-playbook.sh

# Lub uruchom bezpośrednio (a potem ręcznie wykonaj /tmp/openclaw-setup.sh)
# ansible-playbook playbook.yml --ask-become-pass

Aktualizacja OpenClaw

Instalator Ansible konfiguruje OpenClaw do ręcznych aktualizacji. Standardowy sposób aktualizacji znajdziesz w Aktualizacja.

Aby ponownie uruchomić playbook Ansible (np. przy zmianach konfiguracji):

cd openclaw-ansible
./run-playbook.sh

Uwaga: operacja jest idempotentna i bezpieczna do wielokrotnego uruchamiania.

Rozwiązywanie problemów

Firewall blokuje połączenie

Jeśli straciłeś dostęp:

• Upewnij się, że masz dostęp przez Tailscale VPN
• Dostęp SSH (port 22) jest zawsze dozwolony
• Brama jest celowo dostępna wyłącznie przez Tailscale

Usługa nie startuje

# Sprawdź logi
sudo journalctl -u openclaw -n 100

# Zweryfikuj uprawnienia
sudo ls -la /opt/openclaw

# Testuj ręczny start
sudo -i -u openclaw
cd ~/openclaw
pnpm start

Problemy z sandboxem Docker

# Sprawdź, czy Docker działa
sudo systemctl status docker

# Sprawdź obraz sandbox
sudo docker images | grep openclaw-sandbox

# Zbuduj obraz sandbox, jeśli go brakuje
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh

Logowanie do dostawcy nie działa

Upewnij się, że działasz jako użytkownik openclaw:

sudo -i -u openclaw
openclaw channels login

Zaawansowana konfiguracja

Szczegóły architektury bezpieczeństwa i rozwiązywanie problemów:

• Security Architecture
• Technical Details
• Troubleshooting Guide

Powiązane

• openclaw-ansible — pełna instrukcja wdrożenia
• Docker — kontenerowa konfiguracja bramy
• Sandboxing — konfiguracja sandboxów agentów
• Multi-Agent Sandbox & Tools — izolacja per agent