将 OpenClaw 部署到生产服务器的推荐方式是通过 openclaw-ansible — 一个安全优先架构的自动化安装程序。
一条命令安装:
📦 完整指南:github.com/openclaw/openclaw-ansible
openclaw-ansible 仓库是 Ansible 部署的权威来源。本页是快速概述。
- 🔒 防火墙优先安全:UFW + Docker 隔离(仅 SSH + Tailscale 可访问)
- 🔐 Tailscale VPN:安全远程访问,无需公开暴露服务
- 🐳 Docker:隔离的沙箱容器,仅绑定 localhost
- 🛡️ 纵深防御:4 层安全架构
- 🚀 一条命令设置:几分钟内完成部署
- 🔧 Systemd 集成:带加固的开机自启动
- 操作系统:Debian 11+ 或 Ubuntu 20.04+
- 访问权限:Root 或 sudo 权限
- 网络:用于包安装的互联网连接
- Ansible:2.14+(由快速启动脚本自动安装)
Ansible playbook 安装并配置:
- Tailscale(用于安全远程访问的 mesh VPN)
- UFW 防火墙(仅允许 SSH + Tailscale 端口)
- Docker CE + Compose V2(用于智能体沙箱)
- Node.js 22.x + pnpm(运行时依赖)
- OpenClaw(基于主机,非容器化)
- Systemd 服务(带安全加固的自动启动)
注意:Gateway 网关直接在主机上运行(不在 Docker 中),但智能体沙箱使用 Docker 进行隔离。详情参见沙箱隔离。
安装完成后,切换到 openclaw 用户:
GPT plus 代充 只需 145
安装后脚本将引导你完成:
- 新手引导向导:配置 OpenClaw 设置
- 提供商登录:连接 WhatsApp/Telegram/Discord/Signal
- Gateway 网关测试:验证安装
- Tailscale 设置:连接到你的 VPN mesh
- 防火墙(UFW):仅公开暴露 SSH(22)+ Tailscale(41641/udp)
- VPN(Tailscale):Gateway 网关仅通过 VPN mesh 可访问
- Docker 隔离:DOCKER-USER iptables 链防止外部端口暴露
- Systemd 加固:NoNewPrivileges、PrivateTmp、非特权用户
测试外部攻击面:
GPT plus 代充 只需 145
应该显示仅端口 22(SSH)开放。所有其他服务(Gateway 网关、Docker)都被锁定。
Docker 用于智能体沙箱(隔离的工具执行),而不是用于运行 Gateway 网关本身。Gateway 网关仅绑定到 localhost,通过 Tailscale VPN 访问。
沙箱配置参见多智能体沙箱与工具。
如果你更喜欢手动控制而非自动化:
Ansible 安装程序设置 OpenClaw 为手动更新。标准更新流程参见更新。
要重新运行 Ansible playbook(例如,用于配置更改):
GPT plus 代充 只需 145
注意:这是幂等的,可以安全地多次运行。
如果你被锁定:
- 确保你可以先通过 Tailscale VPN 访问
- SSH 访问(端口 22)始终允许
- Gateway 网关仅通过 Tailscale 访问,这是设计如此
GPT plus 代充 只需 145
确保你以 用户运行:
详细的安全架构和故障排除:
- 安全架构
- 技术详情
- 故障排除指南
- openclaw-ansible — 完整部署指南
- Docker — 容器化 Gateway 网关设置
- 沙箱隔离 — 智能体沙箱配置
- 多智能体沙箱与工具 — 每个智能体的隔离
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/235554.html