OPENCLAW_HOME, binds loopback dans le conteneur qui trompent sur l’atteignabilité, openclaw doctor vert sur le Mac de développement mais incomplet dans une image slim, choc sur 18789 avec des sidecars, et passerelle placée loin des opérateurs à Singapour ou Séoul malgré un CPU pourtant au repos. Ce guide aligne les deux voies, explique comment pérenniser jetons et état, publier les ports et documenter les URL wss, puis conclut avec le placement métro pour Singapour, Tokyo, Séoul, Hong Kong, US East et US West.
Pourquoi les installations d'OpenClaw Docker semblent hantées même lorsque les images sont créées proprement
La passerelle d'OpenClaw est un plan de contrôle de longue durée : WebSockets, CLI RPC, sessions et adaptateurs partagent un seul écouteur, par défaut 18789. Docker excelle dans l'envoi de couches immuables, mais le plan de contrôle est intrinsèquement dynamique. Lorsque les opérateurs traitent les conteneurs comme du bétail mais omettent les montages de volume explicites pour OPENCLAW_HOME, les caches de canaux s'évaporent lors de la recréation, les clients distants observent des déconnexions fantômes et les nouvelles tentatives d'automatisation s'amplifient jusqu'à ce que les fournisseurs vous limitent. Les portées de liaison ajoutent un deuxième mirage : la liaison 127.0.0.1 à l'intérieur d'un espace de noms réseau n'est pas la même chose que la publication sur le réseau local hôte auquel vos coéquipiers s'attendent, de sorte que les CLI et les proxys inverses semblent « presque accessibles » tandis que la passerelle n'expose jamais réellement l'interface que vous avez testée sur du métal nu.
Le troisième mirage est diagnostique :openclaw doctor pourrait transmettre l'hyperviseur car les capacités de la libc et du noyau diffèrent du moteur d'exécution mince extrait de votre fichier de composition. Quatrièmement, les jetons et le matériel d'actualisation stockés uniquement dans la couche inscriptible semblent corrects jusqu'à ce que Kubernetes ou Compose recrée la tâche ; du coup, chaque canal doit être réautorisé pendant une fenêtre de pointe. Cinquièmement, des équipes multirégionales garent accidentellement la passerelle dans un VPS bon marché pendant que les opérateurs humains discutent depuis Tokyo ou Séoul, ce qui rend les interactions CLI occasionnelles lentes même si les cartes CPU semblent inactives. Ensemble, ces pièges poussent les équipes vers des installations sans système d'exploitation renforcées avec install.sh ou vers Docker, mais seulement après avoir appris à associer des volumes, à publier des cartes et des URL WebSocket explicites avec leur automatisation.
Les installations sans système d'exploitation remplacent l'immuabilité des couches par un comportement plus proche du métal : les unités LaunchDaemon ou systemd redémarrent comme n'importe quel autre service, les postes de travail peuvent héberger des assistants adjacents à Safari ou Xcode sans problème de virtualisation imbriquée, et l'observabilité s'aligne sur vos agents hôtes existants. Le coût est la discipline (mises à niveau du système d'exploitation, dérive Xcode CLT et variation de la flotte), là où Docker souhaitait que tout reste uniforme. La décision est donc opérationnelle : optimisez-vous pour des images identiques circulant via CI, ou pour des flux de travail Apple interactifs situés à côté du plan de contrôle ? La plupart des flottes réglementées fonctionnent finalement à la fois : Docker pour les applications de révision jetables, bare metal pour les passerelles de production qui ne doivent jamais perdre de jetons en silence.
Répertoires personnels éphémères :Les volumes anonymes ou les montages de liaison manquants OPENCLAW_HOME disparaître entre les déploiements, effaçant ainsi la progression de la vérification des canaux.
Liaisons de bouclage uniquement :Les écouteurs Gateway WebSocket restent inaccessibles depuis les proxys inverses ou les CLI distants, à moins que les modes de publication et de liaison ne correspondent à la limite de l'espace de noms.
Inadéquation des médecins :Les chaînes d'outils à l'intérieur de l'image ne disposent pas de détecteurs facultatifs qui existent sur un hôte macOS complet, ce qui produit une fausse confiance avant le trafic de production.
Collisions du port 18789 :Les side-cars, les anciens agents ou un deuxième essai de passerelle réutilisent le triple et le déclencheur d'écoute par défaut EADDRINUSE avec des bûches opaques.
Avions de contrôle régionalement éloignés :Une passerelle hébergée loin du métro et possédant des sessions interactives ajoute du RTT à chaque invocation manuelle de CLI, exagérant ainsi la lenteur perçue.
L'automatisation lourde du navigateur, les téléchargements manuels TestFlight ou les sessions de partage d'écran de bureau penchent toujours vers les hôtes macOS nus, car la virtualisation imbriquée et le transfert GPU restent gênants dans les conteneurs sur les hôtes Apple. Si vos agents doivent occasionnellement « piloter » des consoles Web authentifiées, l’hébergement en parallèle d’une session de bureau complète réduit davantage les frictions que le transfert X11 via des sauts supplémentaires. À l’inverse, si votre empreinte OpenClaw est constituée uniquement de trafic API et WebSocket sans interface graphique, l’isolation Docker peut réduire le rayon d’explosion, à condition que la persistance, les jetons et les ports publiés soient intentionnels plutôt qu’accidentels.
Traitez chaque chemin d'installation comme une histoire de cycle de vie : provisionnement, fusion/redémarrage, rotation des jetons, mise à niveau et reprise après sinistre. Capturez des captures d'écran ou des notes structurées pour les différences entre Singapour et l'Est des États-Unis en termes de latence et de peering ; les opérateurs déboguant à 2 heures du matin oublient les conseils abstraits mais se souviennent des chiffres concrets liés aux villes qu'ils reconnaissent.
Enfin, impliquez la sécurité dès le début lorsque l'exposition de la passerelle quitte le bouclage : tout chemin qui élargit la portée de WebSocket doit être associé aux ACL réseau, à l'authentification par proxy inverse et aux secrets scellés. Le débat conteneur/bare metal ne supprime jamais ces obligations ; cela ne change que là où vous les implémentez : à l'intérieur d'un réseau superposé ou sur le pare-feu hôte.
Matrice de décision pour l'isolation Docker par rapport aux démons install.sh sur le cloud Mac
Utilisez la matrice comme un accélérateur de conversation avec les ingénieurs de plateforme et les propriétaires d’applications, et non comme une loi. Les équipes à la recherche d'artefacts CI reproductibles s'ancrent fréquemment sur Docker, tandis que les équipes associant OpenClaw à des utilitaires macOS natifs ou favorisant fréquemment la contiguïté de l'interface graphique.install.sh plus un démon supervisé par launchd. Le coût n’est pas seulement de dollars par mois ; ce sont les heures d'incident où les jetons disparaissent ou lorsqu'une carte de publication de conteneur n'est pas d'accord avec la documentée wss point final. Validez toujours les deux chemins dans une métropole intermédiaire avant de déclarer un défaut de production, car la vitesse antérieure à la version 1.0 modifie toujours le comportement d'un mois à l'autre.
| Dimension | Docker isolé | install.sh métal nu |
|---|---|---|
| Persistance de l'État | Nécessite des volumes explicites pour OPENCLAW_HOME, journaux et secrets ; facile à mal configurer | Écrit sur les chemins d'hôte par défaut ; outils de sauvegarde et d'instantanés déjà familiers aux administrateurs Mac |
| Vitesse de mise à niveau | Favorise les balises immuables via les registres ; les restaurations échangent rapidement les images | Dépend des broches du package et des rétrogradations scriptées ; plus proche de la gestion de flotte classique |
| Le processus redémarre | Le redémarrage d'Orchestrator remplace le conteneur ; les séances sont interrompues à moins qu'elles ne soient conçues pour être drainées | Le rebond du démon se comporte comme n'importe quel service ; Politiques LaunchDaemon ou systemd que vous avez déjà exécutées |
| Publication de l'écouteur de passerelle | Doit cartographier 18789(ou personnalisé) via un pont ou un réseau hôte ; les drapeaux de liaison interagissent avec les espaces de noms | Différencié OPENCLAW_GATEWAY_PORT par instance avec la sémantique du réseau hôte, vous pouvez sonder directement |
| Flux de travail gourmands en ressources de bureau | Souvent gênant pour les agents adjacents à l'interface graphique ; plus de pièces mobiles | Outils Native Metal, Safari, Xcode sans couches de virtualisation supplémentaires |
| Télémétrie et médecine légale | Nécessite des side-cars ou des draveurs ; parfois plus difficile de corréler les ID d'hôte et de conteneur | Les agents hôtes, la journalisation unifiée et les rapports d'erreur s'alignent sur les pratiques Mac existantes |
Les conteneurs modifient la façon dont vous redémarrez, peu importe si les WebSockets, les jetons ou les étendues de liaison sont toujours importants.
Couches de planification régionale au sommet : placer une passerelle à Hong Kong alors que la plupart des opérateurs de chaînes sont basés à Los Angeles crée une asymétrie : les automatisations fonctionnent toujours, mais les humains ressentent une latence à chaque intervention manuelle. La colocalisation avec le métro interactif dominant est généralement gagnante, le prix étant échangé uniquement après avoir mesuré les allers-retours réels de la CLI et du tableau de bord plutôt que les seuls pings synthétiques.
Là où Docker brille véritablement, ce sont les environnements éphémères : des piles jetables pour reproduire les bugs des clients sans contaminer les maisons de production. Associez ce modèle à des jetons TTL courts afin qu'un conteneur mis au rebut ne devienne jamais un entrepôt secret oublié. Là où le bare metal brille, c'est la stabilité à long terme avec des besoins occasionnels en interface graphique et des outils locaux prévisibles.
Documentez les décisions matricielles dans votre wiki interne avec les propriétaires et les dates ; À l'avenir, vous devriez savoir si Singapour a été choisie pour la proximité en matière de conformité, la proximité des opérateurs ou le peering des fournisseurs, et non parce que quelqu'un a aimé le nom de la ville.
Composition du squelette pour les volumes, la publication de port et la liaison Gateway WebSocket
Le squelette ci-dessous est délibérément de type YAML, et non un contrat spécifique à un fournisseur : adaptez les étiquettes, les réseaux et les montages secrets à votre orchestrateur. L'objectif est d'afficher les blocs d'environnement parallèles que vous pouvez différencier lors de l'examen (Docker ou Bare Metal) afin que les équipes remarquent quand OPENCLAW_HOME n'a pas de chemin d'accès hôte ou quand 18789 n'atteint jamais le proxy de périphérie. Mettez en miroir les mêmes variables sur une installation de démon cloud Mac afin de plonger la mise en scène et la production uniquement par métro et secrets, et non par des fautes d'orthographe dans les noms de variables.
service: openclaw-gateway image: your.registry/openclaw:pin-by-digest ports: - "18789:18789" environment: OPENCLAW_GATEWAY_PORT: "18789" OPENCLAW_HOME: /var/lib/openclaw GATEWAY_BIND_MODE: lan-or-loopback-review-me volumes: - /srv/openclaw-prod:/var/lib/openclaw - /srv/openclaw-logs:/var/log/openclaw secrets: - openclaw_tokens_readonly Bare-metal cloud Mac counterpart: export OPENCLAW_GATEWAY_PORT=18789 export OPENCLAW_HOME=/usr/local/var/openclaw launchctl bootstrap system /Library/LaunchDaemons/org.openclaw.gateway.plist
Après avoir modifié les valeurs du squelette, réexécutez openclaw doctor dans le même contexte d'exécution que votre orchestration utilise, pas seulement sur un ordinateur portable d'ingénieur. les écarts entre les shells des développeurs et les images créées par CI masquent régulièrement les fonctionnalités manquantes jusqu'à la première page d'appel. Pour les URL WebSocket, écrivez trois chaînes explicites dans votre runbook : interne en amont, publique wss URL du client et vérification de l'état curl cible; l'ambiguïté produit des tableaux de bord verts avec des expériences utilisateur rouges.
Lorsque vous exécutez plusieurs passerelles pour des essais bleu-vert, isolez les ports et les foyers exactement comme vous le feriez sur du métal nu : chevauchement OPENCLAW_HOME les arbres corrompent les caches tout aussi rapidement à l’intérieur des conteneurs. Étiquetez les journaux par environnement afin que le personnel d'assistance ne devine jamais quel stderr appartient à la production.
Note: Traitez les fichiers de jetons montés dans des conteneurs en lecture seule ; effectuez une rotation après avoir étendu la portée de la liaison ou modifié l'authentification du proxy inverse, et évitez de valider des chemins vers des référentiels publics.
Runbook de déploiement en six étapes pour Docker ou install.sh avant d'accepter le trafic
Choisissez explicitement le chemin :Enregistrez si ce métro utilise l'isolation Docker ou le bare metal install.sh, à qui appartiennent les mises à niveau et où se trouvent les volumes ou les logements sur le disque.
Persistance de la carte :Montage lié OPENCLAW_HOME, les journaux et le matériel de jeton vers des chemins d'hôte durables ; vérifiez que les autorisations survivent aux redémarrages de l'orchestrateur.
Publier 18789 intentionnellement:Alignez les cartes des ports de conteneurs avec les pare-feu et les équilibreurs de charge ; sur bare metal, confirmez qu'un seul auditeur possède le triple choisi.
Verrouiller la stratégie de liaison WebSocket :Choisissez le bouclage uniquement par rapport à l'exposition LAN, associez-le à l'authentification proxy et documentez le public wss URL que vos CLI doivent utiliser.
Courir openclaw doctor sur place :Exécuter dans le contexte du conteneur ou du démon que la production utilisera ; capturer les avertissements liés aux versions publiées.
Canaux de sonde hors pointe :Envoyez des messages de test contrôlés, validez les lectures CLI à distance par rapport aux mêmes opérateurs d'URL que les opérateurs colleront et les configurations d'instantanés pour la restauration.
Annotez chaque étape avec les rôles d'astreinte responsables de l'annulation d'une mauvaise carte de publication par rapport à la rotation des jetons : la confusion pendant la vingtième minute d'un incident coûte plus cher que n'importe quel port mal saisi. Répétez le runbook tous les trimestres, en particulier après des mises à niveau majeures de macOS ou de la base d'images, car les lacunes en matière de fonctionnalités réapparaissent subtilement.
Conservez la version des artefacts de restauration épinglée : un résumé de conteneur fonctionnel ou une archive tar de package doit se trouver à côté du plan avancé afin que vous ne recherchiez pas les artefacts pendant que les clients attendent.
Garde-corps citables et placement de métro sur Mac cloud multirégional
Unicité de l'auditeur :Une seule passerelle saine devrait posséder 18789 sur un hôte, sauf si vous compensez délibérément OPENCLAW_GATEWAY_PORT et séparé OPENCLAW_HOME des arbres pour la mise en scène.
Classe de durabilité du jeton :Les secrets doivent survivre aux événements de recréation du conteneur ; s’ils ne le peuvent pas, vous exploitez un laboratoire jetable, et non une infrastructure de production.
Heuristique d’affinité Metro :Garez les passerelles dans la même région que la majorité des opérateurs interactifs (Singapour, Tokyo, Séoul, Hong Kong, USA Est ou USA Ouest), et pas seulement là où le calcul était le moins cher cette semaine.
Avertissement:N'étendez pas l'exposition de WebSocket aux interfaces publiques tant que l'authentification par proxy inverse, les ACL et les exercices de rotation ne sont pas terminés.
Le glamour des conteneurs s'estompe lorsque les incidents remontent à des volumes anonymes ou à des publications de port manquantes ; La simplicité du bare metal s'estompe lorsque les flottes divergent silencieusement sans images pour concilier la dérive. Le modèle durable est une persistance disciplinée, une mise en réseau explicite et un hébergement compatible avec la métropole qui respecte la manière dont les humains et les automatisations touchent réellement la passerelle au quotidien. Pour les équipes qui ont besoin de l'exclusivité Apple Silicon, d'une puissance résiliente et de baux flexibles à Singapour, Tokyo, Séoul, Hong Kong, USA Est et USA Ouest,MESHLAUNCH La location de Mac mini cloud est généralement la meilleure solution opérationnellecar ils conservent macOS natif à côté de votre plan de contrôle pendant que vous choisissez toujours Docker ou install.sh selon vos propres conditions.
Les examinateurs financiers doivent s'opposer aux dépenses inutiles liées à une abstraction erronée : si les journaux montrent des échecs de persistance plutôt qu'une pénurie de processeur, l'achat de machines virtuelles plus grandes ne sera d'aucune utilité : corrigez les montages et publiez d'abord les cartes, puis revoyez le dimensionnement avec des preuves.
Les opérateurs couvrant l'ouest des États-Unis et Tokyo peuvent gérer des passerelles jumelées avec une politique synchronisée mais des secrets distincts ; documenter pourquoi la redondance existe afin que les coupes futures ne suppriment pas le seul nœud qui respectait les attentes en matière de résidence des données.
Oui. Les frontières merge contre redémarrage du guide Gateway hot reload restent valables pour les conteneurs comme pour launchd dès que sockets, TLS ou binds bougent.
Orthogonalement : formalisez openclaw update comme dans le guide canaux et rollback et comparez les offres sur la grille tarifaire avant d’agrandir la flotte.
Suivez d’abord l’échelle Linux VPS contre cloud Mac, joignez ports, cartes de publication et noms de variables jeton au centre d’aide.