Ansibleインストール

本番サーバーへOpenClawをデプロイする推奨方法は、openclaw-ansible を使用することです。これはセキュリティファーストのアーキテクチャを備えた自動インストーラーです。

クイックスタート

ワンコマンドインストール:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

📦 完全ガイド: github.com/openclaw/openclaw-ansible

openclaw-ansibleリポジトリがAnsibleデプロイの正式な情報源です。このページはクイック概要です。

提供される機能

• 🔒 ファイアウォールファースト セキュリティ: UFW + Docker分離（SSH + Tailscaleのみアクセス可能）
• 🔐 Tailscale VPN: サービスを公開せずにセキュアなリモートアクセス
• 🐳 Docker: 分離されたサンドボックスコンテナ、localhostのみのバインディング
• 🛡️ 多層防御: 4層セキュリティアーキテクチャ
• 🚀 ワンコマンドセットアップ: 数分で完全なデプロイ
• 🔧 Systemd統合: 強化機能付きの起動時自動起動

必要要件

• OS: Debian 11+ または Ubuntu 20.04+
• アクセス: Root または sudo 権限
• ネットワーク: パッケージインストール用のインターネット接続
• Ansible: 2.14+（クイックスタートスクリプトで自動インストール）

インストールされるもの

Ansibleプレイブックは以下をインストールおよび設定します:

1. Tailscale（セキュアなリモートアクセス用メッシュVPN）
2. UFWファイアウォール（SSH + Tailscaleポートのみ）
3. Docker CE + Compose V2（エージェントサンドボックス用）
4. Node.js 22.x + pnpm（ランタイム依存関係）
5. OpenClaw（ホストベース、コンテナ化されていない）
6. Systemdサービス（セキュリティ強化付き自動起動）

注意: Gatewayはホスト上で直接実行されます（Dockerではない）が、エージェントサンドボックスは分離のためにDockerを使用します。詳細はSandboxingを参照してください。

インストール後のセットアップ

インストール完了後、openclawユーザーに切り替えます:

sudo -i -u openclaw

インストール後スクリプトが以下をガイドします:

1. オンボーディングウィザード: OpenClaw設定の構成
2. プロバイダーログイン: WhatsApp/Telegram/Discord/Signalへの接続
3. Gatewayテスト: インストールの確認
4. Tailscaleセットアップ: VPNメッシュへの接続

クイックコマンド

# サービスステータスの確認
sudo systemctl status openclaw

# ライブログの表示
sudo journalctl -u openclaw -f

# Gatewayの再起動
sudo systemctl restart openclaw

# プロバイダーログイン（openclawユーザーとして実行）
sudo -i -u openclaw
openclaw channels login

セキュリティアーキテクチャ

4層防御

1. ファイアウォール (UFW): SSH (22) + Tailscale (41641/udp) のみ公開
2. VPN (Tailscale): GatewayはVPNメッシュ経由でのみアクセス可能
3. Docker分離: DOCKER-USER iptablesチェーンが外部ポート公開を防止
4. Systemd強化: NoNewPrivileges、PrivateTmp、非特権ユーザー

検証

外部攻撃面のテスト:

nmap -p- YOUR_SERVER_IP

ポート22のみ（SSH）が開いているはずです。その他すべてのサービス（Gateway、Docker）はロックダウンされています。

Docker可用性

Dockerはエージェントサンドボックス（分離されたツール実行）用にインストールされ、Gateway自体の実行用ではありません。Gatewayはlocalhostのみにバインドされ、Tailscale VPN経由でアクセス可能です。

サンドボックス設定についてはMulti-Agent Sandbox & Toolsを参照してください。

手動インストール

自動化より手動制御を優先する場合:

# 1. 前提条件のインストール
sudo apt update && sudo apt install -y ansible git

# 2. リポジトリのクローン
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

# 3. Ansibleコレクションのインストール
ansible-galaxy collection install -r requirements.yml

# 4. プレイブックの実行
./run-playbook.sh

# または直接実行（その後手動で /tmp/openclaw-setup.sh を実行）
# ansible-playbook playbook.yml --ask-become-pass

OpenClawの更新

Ansibleインストーラーは手動更新用にOpenClawをセットアップします。標準の更新フローについてはUpdatingを参照してください。

Ansibleプレイブックを再実行する場合（設定変更など）:

cd openclaw-ansible
./run-playbook.sh

注意: これは冪等性があり、複数回実行しても安全です。

トラブルシューティング

ファイアウォールが接続をブロックする

ロックアウトされた場合:

• まずTailscale VPN経由でアクセスできることを確認
• SSHアクセス（ポート22）は常に許可されています
• Gatewayは設計上Tailscale経由でのみアクセス可能です

サービスが起動しない

# ログの確認
sudo journalctl -u openclaw -n 100

# パーミッションの確認
sudo ls -la /opt/openclaw

# 手動起動のテスト
sudo -i -u openclaw
cd ~/openclaw
pnpm start

Dockerサンドボックスの問題

# Dockerが実行中か確認
sudo systemctl status docker

# サンドボックスイメージの確認
sudo docker images | grep openclaw-sandbox

# サンドボックスイメージが不足している場合はビルド
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh

プロバイダーログインの失敗

openclawユーザーとして実行していることを確認してください:

sudo -i -u openclaw
openclaw channels login

高度な設定

詳細なセキュリティアーキテクチャとトラブルシューティングについては:

• Security Architecture
• Technical Details
• Troubleshooting Guide

関連項目

• openclaw-ansible — 完全なデプロイガイド
• Docker — コンテナ化されたGatewayセットアップ
• Sandboxing — エージェントサンドボックス設定
• Multi-Agent Sandbox & Tools — エージェントごとの分離