Saltar a contenido

Implementation Plan

Objetivo

Convertir la futura instalacion de OpenClaw en una ejecucion controlada, reproducible y reversible sobre un VPS Docker compartido, sin improvisacion y sin romper los stacks existentes.

Decision de arquitectura ya tomada

  • OpenClaw convivira en el mismo VPS inicialmente.
  • La convivencia solo queda aprobada si OpenClaw se implementa como stack aislado.
  • La arquitectura Docker multi-app ya queda aprobada a nivel conceptual.
  • No se aprueba por ahora un despliegue con puertos publicos propios, redes compartidas amplias o volumenes mezclados con otras apps.
  • No se aprueba todavia el despliegue del compose real.
  • Ya puede existir compose conservador versionado solo como preparacion local.
  • No deben crearse todavia .env real, stack Portainer, redes Docker reales ni volumenes reales para OpenClaw.

Enfoque por fases

  1. Auditar sin modificar.
  2. Disenar arquitectura multi-app.
  3. Aprobar seguridad, red, secretos y backup.
  4. Ejecutar documentalmente la etapa VPS baseline hardening + preparacion operativa.
  5. Ejecutar realmente el saneamiento del VPS con el runbook aprobado.
  6. Revalidar GO/NO-GO del host.
  7. Recien despues preparar compose conservador de OpenClaw.
  8. Implementar con safe points.
  9. Validar operacion, proxy, persistencia y rollback.

Alcance futuro

  • Instalacion basada solo en fuentes oficiales de OpenClaw.
  • Despliegue con Docker Compose en carpeta propia.
  • Exposicion publica solo a traves de Nginx Proxy Manager.
  • Persistencia separada para configuracion, workspace y claves de auth profile.

Supuestos operativos

  • El VPS mantiene Docker, Portainer y Nginx Proxy Manager como componentes existentes.
  • OpenClaw se ejecutara inicialmente con proveedores LLM externos.
  • No se habilitaran modelos locales pesados ni navegadores multiples al inicio.
  • Si hicieran falta binarios para skills, se construira imagen derivada en vez de instalar paquetes adentro del contenedor en runtime.
  • OpenClaw debe comenzar con el perfil mas conservador posible.

Criterios de aprobacion antes de implementar

  • Arquitectura Docker multi-app aprobada
  • Naming de carpetas, redes y subdominios aprobado
  • Politica de secretos fuera de Git aprobada
  • Politica de backup y restore aprobada
  • Runbook de despliegue y rollback aprobado
  • Politica de exposicion via NPM aprobada
  • Riesgo de docker.sock evaluado y decidido
  • Etapa VPS baseline hardening + preparacion operativa cerrada con GO

Etapa obligatoria previa al deploy

  1. Ejecutar el plan docs/VPS-HARDENING-EXECUTION-PLAN.md.
  2. Confirmar snapshot y backups previos.
  3. Ejecutar updates aprobados en ventana controlada.
  4. Ejecutar reboot controlado.
  5. Revalidar Docker, Portainer, NPM, SSH, fail2ban, ufw, networking y puertos.
  6. Crear swap de 4 GiB con estrategia conservadora.
  7. Cerrar checklist final GO/NO-GO.

Fase futura de preparacion

  1. Tomar safe point local y remoto.
  2. Confirmar que el host quedo en GO despues del saneamiento.
  3. Relevar en solo lectura el stack actual para confirmar si la red compartida real seguira siendo proxy-network o si se migrara a la convencion proxy.
  4. Redactar compose conservador de OpenClaw basado en la version oficial vigente.
  5. Preparar .env.example local sin secretos.
  6. Preparar estructura de carpetas objetivo en VPS.
  7. Validar que NPM apunte al servicio correcto de OpenClaw por red Docker.
  8. Definir backup inicial antes del primer up -d.

Fase futura de implementacion

  1. Crear carpeta /opt/stacks/openclaw.
  2. Copiar compose y .env real.
  3. Crear persistencia separada para config, workspace y auth profile secrets.
  4. Crear o conectar redes segun la arquitectura aprobada.
  5. Construir o descargar la imagen aprobada.
  6. Levantar el stack.
  7. Validar salud, proxy, acceso, logs y persistencia.
  8. Registrar evidencia y safe point posterior.

Estado de esta fase al 2026-05-28

  • Safe point local confirmado antes de editar: e75972c78748381e072d15313264a52d2b1a9639
  • Red de proxy real confirmada por SSH en solo lectura: proxy-network
  • Compose conservador local preparado, sin despliegue
  • .env.example local preparado, sin secretos
  • Proximo gate: revision humana del compose antes de copiarlo al VPS

Criterios de rollback

  • Poder detener y retirar solo el stack OpenClaw sin afectar portainer ni nginx-proxy-manager.
  • Poder restaurar configuracion y workspace desde backup.
  • Poder revertir la version de imagen o compose sin tocar otras aplicaciones del VPS.
  • Poder volver a la exposicion previa de NPM sin dejar rutas huerfanas.