Chuyển đến nội dung chính

Cài đặt Ansible

Triển khai OpenClaw lên máy chủ sản xuất với openclaw-ansible — một trình cài đặt tự động với kiến trúc ưu tiên bảo mật.
Kho openclaw-ansible là nguồn thông tin chính xác cho việc triển khai Ansible. Trang này cung cấp cái nhìn tổng quan nhanh.

Yêu cầu trước khi cài đặt

Yêu cầuChi tiết
Hệ điều hànhDebian 11+ hoặc Ubuntu 20.04+
Quyền truy cậpQuyền root hoặc sudo
MạngKết nối Internet để cài đặt gói
Ansible2.14+ (được cài đặt tự động bởi script khởi động nhanh)

Bạn sẽ nhận được gì

  • Bảo mật ưu tiên tường lửa — UFW + cách ly Docker (chỉ truy cập SSH + Tailscale)
  • Tailscale VPN — truy cập từ xa an toàn mà không cần công khai dịch vụ
  • Docker — container sandbox cách ly, chỉ kết nối localhost
  • Bảo mật nhiều lớp — kiến trúc bảo mật 4 lớp
  • Tích hợp Systemd — tự động khởi động khi boot với bảo mật cao
  • Cài đặt một lệnh — triển khai hoàn chỉnh trong vài phút

Bắt đầu nhanh

Cài đặt bằng một lệnh: 
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Những gì được cài đặt

Playbook Ansible sẽ cài đặt và cấu hình:
  1. Tailscale — VPN mesh cho truy cập từ xa an toàn
  2. Tường lửa UFW — chỉ cổng SSH + Tailscale
  3. Docker CE + Compose V2 — cho sandbox agent
  4. Node.js 24 + pnpm — các phụ thuộc runtime (Node 22 LTS, hiện tại 22.16+, vẫn được hỗ trợ)
  5. OpenClaw — chạy trực tiếp trên host, không container hóa
  6. Dịch vụ Systemd — tự động khởi động với bảo mật cao
Gateway chạy trực tiếp trên host (không trong Docker), nhưng sandbox agent sử dụng Docker để cách ly. Xem Sandboxing để biết chi tiết.

Thiết lập sau cài đặt

1

Chuyển sang người dùng openclaw

sudo -i -u openclaw
2

Chạy trình hướng dẫn cấu hình

Script sau cài đặt sẽ hướng dẫn bạn cấu hình các thiết lập OpenClaw.
3

Kết nối các nhà cung cấp nhắn tin

Đăng nhập vào WhatsApp, Telegram, Discord, hoặc Signal:
openclaw channels login
4

Xác minh cài đặt

sudo systemctl status openclaw
sudo journalctl -u openclaw -f
5

Kết nối với Tailscale

Tham gia vào VPN mesh của bạn để truy cập từ xa an toàn.

Lệnh nhanh

# Kiểm tra trạng thái dịch vụ
sudo systemctl status openclaw

# Xem log trực tiếp
sudo journalctl -u openclaw -f

# Khởi động lại gateway
sudo systemctl restart openclaw

# Đăng nhập nhà cung cấp (chạy dưới người dùng openclaw)
sudo -i -u openclaw
openclaw channels login

Kiến trúc bảo mật

Triển khai sử dụng mô hình bảo mật 4 lớp:
  1. Tường lửa (UFW) — chỉ công khai cổng SSH (22) + Tailscale (41641/udp)
  2. VPN (Tailscale) — gateway chỉ truy cập được qua VPN mesh
  3. Cách ly Docker — chuỗi iptables DOCKER-USER ngăn chặn công khai cổng ngoài
  4. Bảo mật Systemd — NoNewPrivileges, PrivateTmp, người dùng không có quyền
Để kiểm tra bề mặt tấn công bên ngoài của bạn: 
nmap -p- YOUR_SERVER_IP
Chỉ cổng 22 (SSH) nên mở. Tất cả các dịch vụ khác (gateway, Docker) đều bị khóa. Docker được cài đặt cho sandbox agent (thực thi công cụ cách ly), không phải để chạy gateway. Xem Multi-Agent Sandbox and Tools để cấu hình sandbox.

Cài đặt thủ công

Nếu bạn muốn kiểm soát thủ công quá trình tự động:
1

Cài đặt các yêu cầu cần thiết

sudo apt update && sudo apt install -y ansible git
2

Clone kho lưu trữ

git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible
3

Cài đặt các bộ sưu tập Ansible

ansible-galaxy collection install -r requirements.yml
4

Chạy playbook

./run-playbook.sh
Hoặc chạy trực tiếp và sau đó thực hiện script thiết lập thủ công:
ansible-playbook playbook.yml --ask-become-pass
# Sau đó chạy: /tmp/openclaw-setup.sh

Cập nhật

Trình cài đặt Ansible thiết lập OpenClaw để cập nhật thủ công. Xem Cập nhật để biết quy trình cập nhật tiêu chuẩn. Để chạy lại playbook Ansible (ví dụ, cho các thay đổi cấu hình): 
cd openclaw-ansible
./run-playbook.sh
Điều này là idempotent và an toàn để chạy nhiều lần.

Khắc phục sự cố

  • Đảm bảo bạn có thể truy cập qua Tailscale VPN trước
  • Truy cập SSH (cổng 22) luôn được cho phép
  • Gateway chỉ có thể truy cập qua Tailscale theo thiết kế
# Kiểm tra log
sudo journalctl -u openclaw -n 100

# Xác minh quyền
sudo ls -la /opt/openclaw

# Thử khởi động thủ công
sudo -i -u openclaw
cd ~/openclaw
openclaw gateway run

# Xác minh Docker đang chạy
sudo systemctl status docker

# Kiểm tra hình ảnh sandbox
sudo docker images | grep openclaw-sandbox

# Xây dựng hình ảnh sandbox nếu thiếu
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh
Đảm bảo bạn đang chạy dưới người dùng openclaw:
sudo -i -u openclaw
openclaw channels login

Cấu hình nâng cao

Để biết chi tiết về kiến trúc bảo mật và khắc phục sự cố, xem kho openclaw-ansible:

Liên quan

Last modified on March 22, 2026