À quoi ressemblera chacune des cinq failles de couche lorsque OpenClaw Gateway sera exposée sur le réseau public en 2026 ?
La première couche estGroupes de sécurité des fournisseurs de cloud et listes de contrôle d'accès de limite: Vous voyez que la surveillance est normale à l'intérieur de la machine, mais vous ne pouvez pas entrer depuis l'entrée du réseau public. En règle générale, les règles entrantes n'ouvrent que 22 et 80, et 18789 ou les ports externes inversés ne sont pas écrits dans la liste autorisée. La deuxième couche estPare-feu hôte: L'ufw d'Ubuntu, le pare-feu de CentOS et la politique de suppression par défaut de certaines images bloqueront toujours le paquet derrière la carte réseau après que le groupe de sécurité l'ait libéré. La troisième couche estProxy inverse et WebSocket: Nginx ou Caddy si manquantUpgradeetConnectionPour une transmission transparente, le côté navigateur affichera un échec de prise de contact ou une reconnexion infinie, mais le processus Gateway lui-même est toujours sain.
La quatrième couche estLiaison de passerelle et authentification: Lorsque vous modifiez la surveillance du bouclage vers un réseau local ou une adresse personnalisée, le garde-fou officiel exigera un jeton ou une authentification équivalente ; s'il est manquant, il "refusera de se lier" ou "peut se lier mais le plan de contrôle ne peut pas terminer la détection RPC". Le cinquième étage estCanaux et stratégies: La limite de débit, l'état de couplage, la politique de groupe et la politique DM de n'importe quel côté de Telegram, Discord ou Webhook provoqueront l'apparition du phénomène « La passerelle est en ligne mais le côté entreprise n'est pas au courant » dans les journaux.
Après avoir séparé les cinq couches, vous n’aurez pas à le réinstaller pour chaque erreur ; le tableau de la section suivante est utilisé pour déterminer si vous résolvez le problème d'entrée réseau, le problème de configuration du plan de contrôle ou le problème de produit de canal.
Groupe de sécurité :Utilisez la plus petite sonde de l’adresse IP publique pour vérifier que le port est accessible, puis revenez à l’intranet pour comparaison.
Pare-feu hôte :Vérifiez avec les règles du groupe de sécurité pour éviter que « les deux couches pensent que l’autre va laisser tomber ».
Contre-génération :Confirmez que le point de terminaison TLS est cohérent avec le protocole en amont et que l'en-tête WebSocket est transmis sans modification.
Liaison et authentification :Vérifiergateway.mode,gateway.bindetgateway.authle même ensemble d’hypothèses.
allée:Paquetchannels status --probeAligné sur l'horodatage de la console du fournisseur.
Si vous avez déjà lu l'article « OpenClaw de l'installation à la connexion à la passerelle » sur le site, vous pouvez considérer cet article comme un « Chapitre spécial sur l'entrée du réseau public et la génération inverse » : cet article parle de l'installation et de l'acceptation du processus démon, et cet article parle des chemins de réseau externes et des détails de WebSocket. Après avoir superposé les deux articles puis lu « Fonctionnement stable par tous les temps et solution de nœud cloud », vous pouvez aligner la motivation, la ligne de commande et la couche réseau à la fois.
Comment comparer l'authentification et l'exposition lors de la surveillance et de la liaison du bouclage, du LAN et du tailnet
La liaison de bouclage est peu exposée et convient à l'utilisation du plan de contrôle uniquement sur la même machine ; une fois que vous souhaitez ouvrir le tableau de bord sur un autre ordinateur portable, vous serez obligé d'étendre la surveillance à une adresse sans bouclage. À l’heure actuelle, l’authentification n’est pas une option mais un garde-fou. La liaison LAN doit indiquer clairement quelles cartes réseau et quels segments de réseau sont dignes de confiance ; dans les scénarios de tailnet ou de tunnel zéro confiance, « qui compte comme réseau interne » doit être écrit comme un consensus d'équipe, sinon il passera à plusieurs reprises à la mauvaise couche pendant le débogage.
| Dimensions | Liaison de bouclage uniquement | Liaison sans boucle + proxy inverse |
|---|---|---|
| surface exposée | Le réseau externe minimum n'est pas accessible par défaut | Nécessite une gestion de groupe de sécurité, de pare-feu, de TLS et de combinaison de jetons |
| Expérience du tableau de bord | Nécessite un tunnel SSH ou un accès homologue | Noms de domaine et certificats disponibles, adaptés aux équipes pour partager des plans de contrôle |
| Ordre de dépannage | Donner la priorité à Gateway et au médecin | Examinons d'abord les ports et le proxy inverse, puis la passerelle et le médecin. |
| Risques courants | Erreur d'adresse de bouclage uniquement avec l'adresse disponible sur le réseau public | Mise à niveau anti-fuite ou sans bouclage sans jeton |
| Compatibilité avec les VPS | Convient aux tests temporaires | Il convient d'utiliser Gateway comme composant de plan de contrôle à long terme |
Le premier principe du dépannage des réseaux publics est le suivant : prouver d'abord que le paquet peut arriver, puis prouver que la poignée de main peut passer, et enfin prouver que la logique métier est en ligne.
Lorsque vous placez Gateway sur un VPS mais que vous empilez toujours la recompilation et le chargement de l'outil de navigateur sur la même machine, les conflits seront amplifiés en « malsain aléatoire » ; diviser le plan de contrôle et la charge lourde en différentes instances nues est souvent plus efficace que d'ajuster à plusieurs reprises les paramètres de style JVM. Lorsque vous devez combiner parallélisme et durée de location, vous pouvez vous référer à l'article « Mac mini M4 Acheter ou Louer TCO » publié le même jour pour relier le budget et les jalons pour examen.
WebSocket met à niveau le squelette de transmission transparent lorsque Nginx ou Caddy est utilisé pour inverser OpenClaw Gateway
Le squelette suivant ne conserve délibérément que les instructions clés liées à WebSocket : le noyau estproxy_http_version 1.1,UpgradeetConnectiontête. Lorsque TLS se termine dans le proxy inverse, l'amont peut utiliser le bouclage en texte brut ; si vous passez à TLS de bout en bout, vous devez écrire un autre ensemble de listes pour le protocole en amont et la vérification des certificats. Ne mélangez pas les deux ensembles d’hypothèses sur la même page du runbook.
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
server {
listen 443 ssl;
location / {
proxy_pass http://127.0.0.1:18789;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_set_header Host $host;
}
}
indice:Si vous avez mis en place des restrictions IP ou un blocage géographique sur la couche proxy inverse, n'oubliez pas de mettre sur liste blanche l'entrée de rappel du fournisseur de canal, sinon il y aura de faux positifs comme "le contrôle de santé est toujours vert et les vrais messages ne peuvent jamais arriver".
La route de Caddy est constituée de certificats automatiques et de fichiers de site plus courts, mais le principe de transmission transparente WebSocket reste inchangé : il s'agit toujours de la sémantique de mise à niveau HTTP/1.1 et correcte.HostTransmission transparente. Quel que soit l'ensemble de proxy inverse que vous choisissez, il est recommandé d'écrire « l'URL finale après proxy inverse » dans le document de l'équipe pour éviter que la moitié des collègues n'accèdent à l'ancienne IP et que l'autre moitié des collègues n'accèdent au nouveau nom de domaine, ce qui entraînerait une incohérence entre OAuth et le nom de domaine de rappel.
Six étapes pour faire converger « le réseau externe n'est pas connecté » de l'entrée à la couche canal
La séquence suivante place délibérément « local curl » en bas : les problèmes du réseau public sont d'abord vérifiés avec des sondes de réseau externes pour éviter d'être trompés par la perspective du réseau interne. Collez le résultat de chaque étape dans le bon de travail et le transfert sur appel sera beaucoup plus facile.
Geler l'URL cible :Notez le nom de domaine et le port auxquels Dashboard accède finalement et s'ils ont été inversés pour éviter des tests mixtes.
Depuis le port de sonde réseau externe :Vérifiez que 443 ou 18789 sont accessibles à l'aide d'un chemin réseau distinct, aligné sur la capture d'écran du groupe de sécurité.
Vérifiez le pare-feu de l'hôte :Répertoriez les règles ufw ou firewalld pour vérifier qu'aucun refus local ne remplace le pass global.
Vérifiez WebSocket :Utilisez le panneau réseau du navigateur ou curl pour mettre à niveau manuellement la demande afin de voir si elle est 101.
Retour à la passerelle :mettre en œuvreopenclaw gateway statusetopenclaw doctor, confirmez que les hypothèses de liaison et de jeton ne sont pas masquées par la couche proxy inverse.
Canal de vérification :mettre en œuvreopenclaw channels status --probe, enregistrez ensemble la limite de courant côté fournisseur et l'état d'appairage.
Lorsque 01 à 04 sont verts et 05 rouge, vous soupçonnez d'abord une dérive de configuration ou des changements de valeur par défaut après la mise à niveau ; lorsque 05 est vert et 06 rouge, ne vous précipitez pas pour redémarrer la passerelle, traitez d'abord le canal comme un sous-système indépendant.
Trois critères qui peuvent être inscrits dans la revue du changement et la division permanente du travail sur le cloud
Conformité des ports et du protocole :Si l'entrée du réseau public utilise 443 pour terminer TLS, tous les signets, rappels OAuth et URL Webhook doivent être réécrits simultanément dans le même espace de nom de domaine, sinon ils fluctueront entre « disponible localement » et « globalement indisponible ».
Détecter les superpositions :Divisez « port accessible », « HTTP 200 », « WebSocket 101 », « Gateway RPC ok » et « canal prêt » en cinq niveaux de signaux, et il est interdit d'utiliser un niveau pour remplacer la conclusion d'un autre niveau.
Le plan de contrôle est isolé du plan de puissance de calcul :Lorsque la même machine exécute également un IDE ou un simulateur parallèle très chargé, vous devez envisager de déplacer la passerelle vers un nœud Bare Metal indépendant pour réduire les conflits au lieu d'augmenter infiniment le swap.
Avis:Relier la passerelle directement au réseau public sans authentification constitue un mode à haut risque d'accidents de production ; assurez-vous de configurer l'authentification par jeton ou plan de contrôle équivalent conformément aux garde-fous officiels et d'enregistrer les modifications dans le journal d'audit.
Relier la passerelle à un ordinateur portable qui peut être fermé à tout moment liera TLS, les noms de domaine de rappel et les actualisations de jetons à des habitudes personnelles non vérifiables ; lier de lourdes charges et des chaînes d'outils de navigateur au même VPS mélangera « le réseau semble bien » et « la gigue aléatoire du processus » dans la même boîte noire. En comparaison,Location Mac Mini Cloud Bare Metal par MESHLAUNCHIl fournit du silicium Apple exclusif, une commande flexible et une commutation multirégionale sur une base quotidienne, hebdomadaire et mensuelle, et est plus adapté au fonctionnement à long terme de la surface de contrôle OpenClaw en tant que composant de production. Vous pouvez d'abord l'ouvrirPage de prix de locationSélectionnez un niveau chacun pour la surface de contrôle et la surface de construction, puisCentre d'aideVérifiez les exigences SSH et réseau ; la motivation et le contexte peuvent être combinésSolution de nœud cloud toutes saisonsetInstallation et dépannage avec un médecinLes deux articles seront examinés ensemble.
Oui, un conflit typique est l'occupation du port et deux ensembles de répertoires racine de configuration. Il est recommandé de conserver un seul ensemble de plans de contrôle sur le même hôte, ou d'indiquer clairement l'isolation des ports et du répertoire de données dans la documentation. Rendez-vous à l'entrée des commandesPage de prix de location.
Alignez d'abord les configurations locales et démon selon les instructions officielles de migration, puis redémarrez le service ; pour une chaîne de commande plus complète, voirInstallation et dépannage avec un médecin.
Veuillez rechercherCentre d'aideLes instructions réseau et SSH, la vérification des ports et des groupes de sécurité sont écrites sur la même page du runbook.