UFW 防火墙
像先把院墙砌起来,只留该开的门。默认只放 SSH 和 Tailscale 那条路。
Install 导读
一行命令部署生产级 OpenClaw,安全架构已内置
用 openclaw-ansible 快速安装,自动配置 UFW、Tailscale、Docker 和系统服务。注意:网关直接跑在宿主机上,只有 agent 沙箱走 Docker 隔离。先确保系统是 Debian 11+ 或 Ubuntu 20.04+,有 root 权限。
先讲这一页到底在解决什么
一行命令部署生产级 OpenClaw,安全架构已内置
用 openclaw-ansible 快速安装,自动配置 UFW、Tailscale、Docker 和系统服务。注意:网关直接跑在宿主机上,只有 agent 沙箱走 Docker 隔离。先确保系统是 Debian 11+ 或 Ubuntu 20.04+,有 root 权限。
第一站
🏗️ 这一页给你的,不是一条命令,而是一整套“装修套餐”
官方列的那些东西,看起来多,其实是在告诉你:这套安装会顺手把门锁、围墙、值班制度都一起搭好。
Tailscale
像给你和服务器拉一条私人小路,不把总控室直接摆到大街上。
Docker
这里不是拿来跑 Gateway 本体,而是拿来关工具沙箱,像单独的实验箱。
systemd + openclaw 用户
像给 OpenClaw 安排固定工位和固定值班员,重启后还能自己回来上班。
第二站
🚀 那条一键命令,翻成人话就是“把装修队直接叫到门口”
第一次看 Ansible,别先盯着 playbook。官方已经给了最短入口。
curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash像直接打电话叫官方装修队来。它会拉代码、装依赖、跑 playbook,把整套基础设施铺起来。
🎁 你拿到什么
不是只装一个程序,而是连防火墙、VPN、Node、Docker、systemd 服务都一并安排好。
📌 最容易搞混的一句
Gateway 跑在主机上,Docker 只负责沙箱。别把“装了 Docker”误会成“Gateway 在容器里”。
🎈 最好记的话
Ansible 这一页卖的不是命令花样,而是“一次把正式环境搭稳”。
第三站
🔐 安全架构那一大段,其实是在讲“四道门”
官方说的 4-layer defense,不用背英文,记成四层门就够了。
🚪 第一层:防火墙
先把外面大门关好,只给 SSH 和 Tailscale 留口子。
🛤️ 第二层:VPN
Tailscale 像私人通道。就算你知道服务器在哪,也不代表你能直接闯进控制台。
🧪 第三层:Docker 沙箱
工具执行被关进单独的实验房,不直接在大厅里乱跑。
🧱 第四层:systemd 硬化
像给值班员套规则:少权限、少乱碰、少连带伤害。
第四站
🧭 装完以后要做什么?其实就是“切到值班员账号,做最后验收”
后面那几条命令,都是在验房,不是在重新装修。
sudo -i -u openclaw像切换到真正值班的那个人,不再用管理员本人乱操作。
openclaw channels login像把 Telegram、Signal、Discord 这些门一个个登记进总控室。
sudo systemctl status openclaw像看值班牌是不是亮着,确认服务真在岗。
sudo journalctl -u openclaw -f像站在值班室玻璃后面,看它实时上班有没有咳嗽。
第五站
🩺 Troubleshooting 那一段,其实都在问“哪扇门没开、哪把钥匙没对上”
不用被排错列表吓住,最常见的问题就几类。
🚧 连不上
先想是不是你没走 Tailscale 这条私路。这个安装方案本来就不是让你把 Gateway 裸露到公网上。
💤 服务起不来
先看 journalctl,再看目录权限。常常不是程序坏了,而是值班员碰不到该碰的文件。
📦 沙箱不工作
先确认 Docker 本人活着,再看沙箱镜像是不是已经准备好。
🎈 收尾一句
Ansible 这条路像正式装修:前期重一点,但换来的是后面少翻车。