OpenClaw Sicherheit : Docker + Tailscale Sandbox
Erstellen Sie eine sichere Sandbox-Umgebung für Ihre OpenClaw-Agenten mit Docker und Tailscale für eine vollständige Netzwerkisolation.
Warum Docker + Tailscale?
- Prozessisolation : Jeder Agent in seinem eigenen Container
- Netzwerkisolation : Privates Netzwerk mit Tailscale
- Einfache Bereitstellung : Reproduzierbare Konfiguration
- Erweiterte Sicherheit : Zusätzliche Schutzschicht
Docker-Konfiguration
Dockerfile
FROM openclaw/runtime:2.4
# Sicherheitskonfiguration
USER openclaw
WORKDIR /app
# Ressourcenlimits
ENV MAX_MEMORY=4G
ENV MAX_CPU=2
# Exponierte Ports
EXPOSE 8080
CMD ["openclaw", "start"]Docker Compose
version: '3.8'
services:
openclaw-agent:
build: .
container_name: openclaw-sandbox
restart: unless-stopped
# Ressourcenlimits
deploy:
resources:
limits:
cpus: '2'
memory: 4G
# Isoliertes Netzwerk
networks:
- tailscale-net
# Sichere Volumes
volumes:
- ./agent-data:/app/data:rw
- /var/log/openclaw:/app/logs:rw
# Begrenzte Capabilities
cap_drop:
- ALL
cap_add:
- NET_BIND_SERVICE
networks:
tailscale-net:
external: trueTailscale-Konfiguration
Installation
# Tailscale installieren
curl -fsSL https://tailscale.com/install.sh | sh
# Tailscale starten
sudo tailscale up
# Status überprüfen
tailscale statusACL für OpenClaw
{
"acls": [
{
"action": "accept",
"src": ["group:openclaw-agents"],
"dst": ["tag:openclaw-server:8080"]
},
{
"action": "deny",
"src": ["*"],
"dst": ["tag:openclaw-server:22"]
}
],
"tagOwners": {
"tag:openclaw-server": ["group:admins"]
}
}Best Practices
- Automatische Updates : Automatische Sicherheitsupdates aktivieren
- Überwachung : Container-Metriken überwachen
- Logs : Logs mit Fluentd zentralisieren
- Backups : Docker-Volumes regelmäßig sichern
ShipTasks-Integration
ShipTasks automatisiert diese Konfiguration:
# Automatisierte Bereitstellung mit Sandbox
shiptasks deploy --sandbox --tailscaleFazit
Die Kombination Docker + Tailscale bietet robuste Isolation für Ihre OpenClaw-Agenten in der Produktion.
