OpenClaw Beveiliging : Docker + Tailscale Sandbox
Creëer een veilige sandbox-omgeving voor je OpenClaw-agenten met Docker en Tailscale voor complete netwerkisolatie.
Waarom Docker + Tailscale?
- Procesisolatie : Elke agent in zijn eigen container
- Netwerkisolatie : Privénetwerk met Tailscale
- Eenvoudige implementatie : Reproduceerbare configuratie
- Verbeterde beveiliging : Extra beschermingslaag
Docker-configuratie
Dockerfile
FROM openclaw/runtime:2.4
# Beveiligingsconfiguratie
USER openclaw
WORKDIR /app
# Bronlimieten
ENV MAX_MEMORY=4G
ENV MAX_CPU=2
# Exposed poorten
EXPOSE 8080
CMD ["openclaw", "start"]Docker Compose
version: '3.8'
services:
openclaw-agent:
build: .
container_name: openclaw-sandbox
restart: unless-stopped
# Bronlimieten
deploy:
resources:
limits:
cpus: '2'
memory: 4G
# Geïsoleerd netwerk
networks:
- tailscale-net
# Veilige volumes
volumes:
- ./agent-data:/app/data:rw
- /var/log/openclaw:/app/logs:rw
# Beperkte capabilities
cap_drop:
- ALL
cap_add:
- NET_BIND_SERVICE
networks:
tailscale-net:
external: trueTailscale-configuratie
Installatie
# Tailscale installeren
curl -fsSL https://tailscale.com/install.sh | sh
# Tailscale starten
sudo tailscale up
# Status controleren
tailscale statusACL voor OpenClaw
{
"acls": [
{
"action": "accept",
"src": ["group:openclaw-agents"],
"dst": ["tag:openclaw-server:8080"]
},
{
"action": "deny",
"src": ["*"],
"dst": ["tag:openclaw-server:22"]
}
],
"tagOwners": {
"tag:openclaw-server": ["group:admins"]
}
}Best Practices
- Automatische updates : Automatische beveiligingsupdates inschakelen
- Monitoring : Container-metrics monitoren
- Logs : Logs centraliseren met Fluentd
- Backups : Docker-volumes regelmatig back-uppen
ShipTasks-integratie
ShipTasks automatiseert deze configuratie:
# Geautomatiseerde implementatie met sandbox
shiptasks deploy --sandbox --tailscaleConclusie
De combinatie Docker + Tailscale biedt robuuste isolatie voor je OpenClaw-agenten in productie.
