openclaw et la migration d'état avec sauvegarde openclaw lorsque vous vous déplacez entre Singapour, Tokyo, Séoul, Hong Kong, USA Est ou USA Ouest sans reconstruire les canaux à partir de zéro.
Cinq signatures mal lues derrière 1008 couplages requis et migrations interrompues
Le travail des nœuds distants empile trois preuves indépendantes : l'accessibilité du transport, l'état du processus de la passerelle et l'état de couplage des appareils. Lorsque les opérateurs réduisent ces couches, ils font pivoter les clés Tailscale tandis que le véritable bloqueur reste une empreinte digitale de nœud non approuvée. Les signatures ci-dessous mappent les symptômes à la plus petite commande suivante afin que vous arrêtiez de traiter chaque échec de WebSocket comme du folklore de pare-feu.
Le succès du ping Tailscale est égal à OpenClaw associé : MagicDNS prouve uniquement le chemin du maillage. Jusqu'à ce que la liste des appareils openclaw affiche un nœud approuvé, l'exécution du nœud peut toujours se fermer avec le couplage 1008 requis.
L'exposition publique 18789 est un raccourci : L'ouverture du port de passerelle sur un groupe de sécurité cloud sans discipline de service ou de tunnel invite les scanners et masque si les échecs sont TLS, mise à niveau ou politique de couplage.
La copie de la configuration JSON préserve les canaux : les jetons, les files d'attente d'appariement et les sessions mises en cache se trouvent sous l'arborescence des états. Une copie partielle génère une interface utilisateur verte avec des suppressions silencieuses après la migration.
Même nom d'hôte après le changement de région : déplacer Tokyo vers Singapour sans réconcilier les URL gateway.remote et les profils de périphérique laisse les nœuds pointés vers des points de terminaison WSS obsolètes.
Ignorer la vérification de la sauvegarde : Les archives tar sans validation de somme de contrôle semblent correctes jusqu'à ce que le médecin signale une dérive et que la sonde des canaux échoue au premier vrai message.
Étiquetez la signature avant de toucher aux canaux de diffusion ou aux fournisseurs de modèles. Les problèmes de couplage appartiennent à l'hôte maître avec les commandes des périphériques ; les problèmes de migration appartiennent à une fenêtre de maintenance avec la passerelle arrêtée et les sondes rejouées. Lisez la liste de contrôle SSH de la première heure si le cloud Mac lui-même est toujours instable, car le couplage de nœuds sur un démon instable ne fait que multiplier les lignes de périphériques en attente.
Passerelle unique sur Mac cloud par rapport à Passerelle plus nœud distant : matrice de décision
Toutes les équipes n'ont pas besoin d'un nœud distant. Si tous les outils fonctionnent sur le même Mac cloud nu qui héberge Gateway, le couplage constitue une surcharge inutile. Cette séparation devient précieuse lorsque les opérateurs souhaitent un plan de contrôle stable et toujours actif dans une métropole tandis qu'une automatisation lourde du navigateur s'exécute sur un deuxième Mac avec un humain à proximité, ou lorsque la conformité exige des hôtes d'outils séparés. La matrice est volontairement grossière afin que les propriétaires de plate-forme et d'application s'alignent en une seule réunion.
| Dimension | Passerelle uniquement sur cloud Mac | Passerelle Cloud Mac + nœud distant |
|---|---|---|
| Complexité opérationnelle | la plus faible : un démon, un répertoire d'état | supérieure : les appareils approuvent, deux contextes PATH |
| Latence de l'outil | bouclage local, idéal pour les boucles étroites | ajoute RTT sur Tailscale ou tunnel |
| Position de sécurité | associer les canaux uniquement | appairage de périphériques plus couches d'appariement de canaux |
| Rayon de migration | un ensemble de sauvegarde | ne doit pas fusionner l'état du nœud dans l'accueil de la passerelle |
| Meilleur ajustement en 2026 | agents sans surveillance, fumée de location journalière dans six régions | séparez les outils lourds de la passerelle 24h/24 et 7j/7 |
1008 n'est pas un bug Tailscale. Il s'agit de Gateway refusant une identité que les appareils n'ont jamais reçue.
Lorsque vous choisissez la topologie divisée, indiquez quel hôte possède les webhooks de canal et quel hôte s'enregistre uniquement en tant que nœud. Mélanger ces rôles sur une seule machine pendant les expériences est une bonne chose ; la production doit conserver l'entrée du webhook sur le maître et restreindre les hôtes de nœud à l'exécution de l'outil. Pour le câblage d'URL à distance et l'isolation des ports lorsque vous exécutez la préparation en dehors de la production, lisez l'article Rechargement à chaud et multi-instance de la passerelle avant d'ajouter un deuxième écouteur sur le même Mac cloud.
Le cadre économique est important pour les essais dans six régions. Louer un maître à la journée à Singapour tout en conservant un nœud sur un Mac de bureau en Californie peut être valable pour la narration de conformité, mais vous devez mesurer honnêtement le RTT de l'outil. Si le navigateur expire, amener le nœud sur un deuxième Mac cloud dans la même région métropolitaine coûte souvent moins cher que des échanges de tirs d'appairage d'une semaine. Capturez les horodatages de sonde de base avant de déclarer l’architecture fractionnée permanente.
Portes Tailscale Serve : passerelle de bouclage, MagicDNS WSS, appareils approuvés
La topologie recommandée pour 2026 maintient Gateway lié au bouclage sur le cloud maître Mac tandis que Tailscale Serve publie HTTPS sur le tailnet uniquement. Les nœuds se connectent avec gateway.remote visant le nom MagicDNS, et non une adresse IP publique brute sur 18789. Sur le maître, installez le transfert de serveur vers 127.0.0.1:18789, confirmez la mise à niveau de WebSocket via le chemin de service, puis démarrez le couplage à partir de la machine du nœud avec une URL distante explicite dans l'environnement ou le profil.
tailscale serve --bg --https=443 http://127.0.0.1:18789 openclaw gateway status openclaw devices list openclaw node run --remote wss://cloud-mac.tailnet-name.ts.net openclaw devices approve <device-id> openclaw backup create --verify openclaw doctor openclaw channels status --probe
Lorsque node run se ferme toujours avec 1008 après le fonctionnement de Serve, répertoriez les périphériques en attente sur le maître et approuvez l'empreinte digitale affichée dans le texte d'erreur. Des rapports de communauté autour de --node-id explicite existent lorsque la CLI a mis en cache un ancien profil ; effacez la configuration de nœud obsolète localement avant de réessayer. N’approuvez jamais les lignes d’appareils inconnus résultant d’expériences abandonnées, ou vous étendez l’exécution de l’outil à des membres aléatoires du tailnet.
Pour la migration, arrêtez Gateway en douceur, exécutez la sauvegarde avec vérification, synchronisez l'archive avec le cloud de destination Mac, restaurez dans la configuration d'accueil correspondante, puis exécutez Doctor avant de démarrer les canaux. Si vous n'avez besoin que d'une configuration logique, incluez toujours le répertoire d'état dans le bundle, car les files d'attente de couplage et le matériel d'actualisation OAuth ne résident pas dans un seul fichier JSON. Alignez les fenêtres de maintenance avec le runbook de mise à jour et de restauration afin de ne pas empiler les réinitialisations de couplage en plus des mises à niveau des canaux.
Remarque : Les périphériques d'archivage répertorient les sorties avant et après l'approbation afin que les audits montrent qui a autorisé chaque nœud.
Runbook en six étapes, du bootstrap Tailscale à la migration vérifiée
Geler la topologie sur le ticket : enregistrez la métropole principale, le rôle d'hôte du nœud, le nom du tailnet Tailscale et si les canaux restent sur le maître uniquement.
Prouver la passerelle principale lors du bouclage : exécutez l'état de la passerelle et le curl local par rapport à 18789 avant toute publication de serveur.
Activer Tailscale Serve vers WSS : validez la mise à niveau via MagicDNS à partir de l'hôte Node avec un client Websocket minimal ou une sonde distante openclaw.
Associer l'identité du nœud : déclenchez l'exécution du nœud, capturez 1008 si prévu, puis les appareils approuvent sur le maître et réessayez avec un identifiant de nœud explicite si nécessaire.
Période de migration en cas de changement de région : arrêt de la passerelle, création de sauvegarde avec vérification, copie sécurisée sur le nouveau cloud Mac, restauration, docteur vert.
Canaliser la fumée sur le maître : état et sonde des canaux, un message entrant en direct, comparaison des horodatages des journaux ; si silencieux, lisez connecté mais pas de réponse avant de rouvrir le couplage.
Trois garde-fous de garde et un hébergement cloud Mac pour les topologies divisées
Plafond de la file d'attente d'association : si plus de huit lignes de périphériques en attente s'accumulent au cours d'une seule fenêtre de modification, suspendez les nouvelles tentatives de exécution de nœud, élaguez les identités abandonnées et réapprouvez uniquement les hôtes répertoriés sur le ticket.
Budget disque de migration : les archives de sauvegarde vérifiées et l'état restauré nécessitent souvent environ 1,5 fois la taille du répertoire d'état actif libre sur la source et la destination ; arrêtez les tâches lourdes du navigateur en dessous d'environ quinze pour cent du disque libre.
Cadence de vérification après la migration : exécutez la sonde des canaux au moins trois fois pendant dix minutes après la restauration avant de déclarer le succès ; Un DNS transitoire sur les nouvelles adresses IP du cloud peut se faire passer pour un échec de couplage.
Avertissement : Les seuils numériques sont des rails de communication pour les astreintes, et non des promesses SLA du fournisseur.
Les Mac de bureau en tant qu'hôtes Node réintroduisent la veille, le Wi-Fi itinérant et les mises à niveau accidentelles qui désynchronisent les binaires des outils de la version principale de la passerelle. Le VPS Linux pur associe un calcul bon marché à des chemins d'outils natifs macOS faibles. Un Mac cloud bare metal sans tête en tant que maître et un deuxième Mac cloud en option en tant que Node maintiennent les chaînes d'outils Apple colocalisées, Tailscale Serve en bouclage et les fenêtres de migration prévisibles dans six régions. La location cloud MESHLAUNCH Mac Mini est généralement la meilleure solution opérationnelle lorsque vous avez besoin d'une passerelle toujours active, d'un couplage d'appareils vérifiable et de déplacements de région sans miser sur la disponibilité du matériel grand public.
Considérez le loyer journalier dans une métropole cible comme une répétition de migration et non comme un engagement. Exécutez les six étapes, redémarrez une fois dans la fenêtre, puis étendez-les mensuellement une fois que les canaux et les nœuds ont réussi la sonde. Les examinateurs de sécurité doivent voir les ACL Tailscale documentées à côté des approbations des appareils OpenClaw, avec des notes de rotation stockées à côté des sommes de contrôle de sauvegarde. Les tarifs et les parcours d'assistance sont disponibles sur les tarifs de location et sur le centre d'aide lorsque vous avez besoin d'une capacité nue pour la répétition elle-même.
Sur le cloud maître Mac, exécutez la liste des appareils openclaw et approuvez le nœud en attente. Consultez la liste de contrôle SSH sans tête et les tarification.
Non. Utilisez la sauvegarde openclaw avec la vérification et l'inclusion des répertoires d'état. Après la restauration, suivez la mise à niveau du runbook de restauration. Aide : centre d'aide.
Exécutez la sonde des canaux, puis lisez connecté mais pas de réponse et Câblage à distance de la passerelle avant de réappairer les appareils.