install.sh로 베어메탈 launchd·systemd 상주를 택할지로 갈립니다. README 이전의 마찰은 이렇습니다. 익명 볼륨이 OPENCLAW_HOME 을 지우고, 컨테이너 내부 127.0.0.1 바인딩이 엣지 도달을 가장하며, openclaw doctor 가 개발 맥에서는 녹색인데 슬림 이미지에선 누락을 못 잡으며, 18789 가 사이드카와 충돌하고, 싱가포르에서 일하는 운영자 두고 게이트웨이만 저가 리전에 두는 지리 불일치입니다. 본문은 상태·시크릿 보존, 공개 wss 기술, 싱가포르·도쿄·서울·홍콩·미동·미서 메트로 배치를 두 경로로 정렬합니다.
이미지는 녹색인데 OpenClaw Gateway가 밤마다 불안정해 보이는 이유
Gateway는 WebSocket·CLI RPC·세션·어댑터가 기본 18789 에 얹히는 장수명 제어평면입니다. Docker는 불변 레이어 배포에 강하지만 제어평면은 본질적으로 상태를 가집니다. OPENCLAW_HOME 을 호스트 경로에 바인드하지 않으면 채널 캐시는 롤아웃 때 증발하고 원격은 끊김·재연결을 반복하며 자동 재시도가 업스트림 한도에 걸립니다. 네임스페이스 안의 127.0.0.1 바인딩은 동료 CLI와 Nginx가 기대하는 도달과 다를 수 있어 로그는 근접해 보이나 트래픽은 못 들어옵니다. 세 번째는 openclaw doctor 가 개발 맥에선 녹색이나 슬림 이미지에선 라이브러리·권한 빠짐을 못 봅니다. 네 번째는 토큰이 쓰기 레이어만 쓰다가 Compose·Kubernetes 재생성 때 피크에 재승인 폭탄이 터집니다. 다섯 번째는 지리인데 도쿄·서울 운영자가 주력인데 게이트웨이만 저가 리전에 있으면 CPU는 한가해도 CLI 체감 RTT는 올라갑니다.
install.sh 베어메탈은 launchd·systemd 재시작이 일반 서비스와 같다는 근접을 돌려줍니다. Safari·Xcode CLI·화면 공유 동반 워크로드는 중첩 가상화를 덜 쌓습니다. 대신 OS·툴체인 드리프트를 직접 관리합니다. 규제 환경에선 리뷰용 Docker, 생산 Gateway는 볼륨·키를 고정한 베어메탈 이중이 현실적입니다.
브라우저 자동화·수동 TestFlight·무거운 데스크톱 동행이면 베어메탈 macOS가 유리한 경우가 많고 API·WebSocket만이면 볼륨·네트워크 계약을 빡세게 한 Docker가 범위를 줄입니다. 설치마다 프로비저닝·핫 머지 대 강제 재시작·토큰 회전·업그레이드·재해 복구를 한 서사로 적습니다. 싱가포르와 미동의 RTT·헬스 URL을 인쇄물로 남기면 야근 담당은 추상보다 도시 이름을 잘 기억합니다.
익명 볼륨:OPENCLAW_HOME 이 호스트에 없어 배포마다 교정이 사라집니다.
루프백 덫:Gateway WS가 netns 안에만 보여 프록시·원격 CLI가 본 소켓에 못 닿습니다.
doctor 위음성:이미지가 너무 슬림해 노트북과 본선 진단이 어긋납니다.
18789 충돌:사이드카나 둘째 시험 게이트웨이가 기본 삼항을 빼앗아 EADDRINUSE 를 냅니다.
지리 불일치:상호작용 아시아인데 제어평면만 미국에 있습니다.
루프백을 벗어나기 전에 보안이 참여하고 WebSocket 확장은 리버스 프록시 인증·ACL·밀봉 시크릿을 같은 박자로 굴립니다. 컨테이너와 베어메탈은 구현 위치만 바꿀 뿐 책임을 없애지 않습니다. 러너를 여섯 도시에 흩으면 빌더와 제어평면 역할을 섞지 말고 손이 많이 가는 메트로에 붙입니다.
포트 공개와 wss 기술이 맞기 전까지 CPU 확장은 미루고 마운트·매핑을 먼저 확정합니다. 순서가 틀리면 유휴 코어만 삽니다. 로그에 개인정보가 섞일 수 있으면 보존 기간·목적을 문서로 쪼개 접근을 고정합니다.
클라우드 Mac에서 Docker 격리와 install.sh 데몬을 가르는 표
표는 법이 아니라 합의 가속기입니다. digest를 맞추려는 팀은 Docker에, GUI 동행이 잦은 팀은 install.sh·launchd에 머뭅니다. 비용엔 월비만이 아니라 토큰 소실·공개 표 오기의 인시던트 공수가 들어갑니다. 스테이징을 싱가포르나 도쿄에서 한 번씩 통과시키고 기록한 뒤 생산 기본을 정합니다.
| 차원 | Docker 격리 | install.sh 베어메탈 |
|---|---|---|
| 영속성 | OPENCLAW_HOME·로그·키에 명시 볼륨 필요 | 기본이 호스트 경로, 스냅샷·익숙한 Mac 절차 |
| 업그레이드 | 레지스트리 digest로 빠른 승강 | 패키지 핀·스크립트 클래식 운용 |
| 재시작 | 오케스트레이터가 컨테이너 교체, 드레인 없으면 끊김 | 데몬 바운스는 표준 런북 |
| 리스너 공개 | 18789 를 bridge/host에 맞춤, bind가 netns와 연동 | OPENCLAW_GATEWAY_PORT 로 다인스턴스 직관 점검 |
| 데스크톱 부하 | GUI·Metal 동행은 무겁기 쉬움 | Safari·Xcode 경로 최단 |
| 가시성 | 컨테이너 ID·호스트 로그를 묶는 추가 작업 | 통합 로그·크래시 리포트 정렬 |
재시작 방식은 달라도 WebSocket·토큰·바인드 삼각은 남습니다.
홍콩 게이트웨이에 LA 중심 운영자면 자동화는 되어도 수작업은 더뎌지니 상호작용 밀도 높은 메트로로 옮깁니다.
소모성 재현은 Docker가 강하고 짧은 TTL 토큰으로 버려진 컨테이너를 키 무덤으로 만들지 않습니다. 7x24·GUI 공존은 베어메탈 쪽이 마찰이 적을 때가 많습니다.
도시 선택 이유를 컴플라이언스·피어링·운영자 근접 중 하나에 묶어 내년의 나에게 이름만으로 결정하지 않게 합니다.
볼륨, 18789 공개, Gateway WS 바인드를 묶는 Compose 뼈대
YAML 풍 스니펫은 리뷰에서 의도 diff를 맞추려는 것으로 벤더 고정이 아닙니다. OPENCLAW_HOME·로그·시크릿을 한 화면에 두어 README·Compose·Nginx 삼분열을 막습니다. 베어메탈은 같은 env로 철자만 갈아끼웁니다.
service: openclaw-gateway image: registry.example/openclaw@sha256:... ports: - "18789:18789" environment: OPENCLAW_GATEWAY_PORT: "18789" OPENCLAW_HOME: /var/lib/openclaw GATEWAY_BIND_MODE: loopback-or-lan-review volumes: - /srv/oc-prod:/var/lib/openclaw - /srv/oc-logs:/var/log/openclaw secrets: - openclaw_tokens_ro 클라우드 Mac 베어메탈: export OPENCLAW_GATEWAY_PORT=18789 export OPENCLAW_HOME=/usr/local/var/openclaw launchctl bootstrap system /Library/LaunchDaemons/org.openclaw.gateway.plist
변경 뒤 생산과 같은 실행 맥락에서 openclaw doctor 를 돌리고 개발 노트 단독 녹색은 참고만 합니다. 내부 upstream·공개 wss·헬스 curl 셋 URL을 운영서에 고정해 대시는 녹색인데 CLI만 실패하는 분열을 막습니다. 블루그린 이중 게이트웨이면 포트와 OPENCLAW_HOME 을 쌍으로 나누고 컨테이너와 베어메탈을 가리지 않습니다.
글로벌 다중 존이면 NAT 출구·allowlist·중간 필터가 WebSocket 킵얼라이브를 깎는 조건을 적습니다. 유지보수 창에 세션이 순단하 SLA에 맞춰 드레인·저부하 프로브를 앞에 둡니다.
안내:마운트 토큰은 읽기 전용으로 두고 바인드·인가 정책 변경 뒤에는 회전시킵니다. 공개 저장소에 실경로를 붙이지 마십시오.
트래픽 받기 전 여섯 단계(Docker·install.sh 공통)
경로 확정:해당 메트로에서 Docker인지 베어메탈인지, 업그레이드 오너, 디스크 절대 경로를 기록합니다.
영속 매핑:OPENCLAW_HOME·로그·토큰을 바인드하고 오케스트레이터 재시작 뒤 권한을 봅니다.
18789 공개:bridge/host와 SG를 맞추고 베어메탈은 ss로 단일 리스너를 확인합니다.
WS 바인드 정책:루프백 한정 vs LAN을 정하고 공개 wss 를 문서화합니다.
현장 doctor:컨테이너나 데몬과 같은 셸에서 실행하고 경고를 버전에 묶습니다.
저부하 프로브:테스트 메시지를 보내 운영이 붙여 넣는 URL로 원격 CLI를 재확인하고 구성 스냅샷을 냅니다.
단계마다 롤을 적어 포트 되돌림과 키 회전 책임을 나눕니다. 인시던트 20분에 오너가 흐리면 오타보다 비쌉니다. 대형 macOS·베이스 이미지 업 뒤에는 드라이런을 돌립니다.
롤백 산출물은 전진 변경 옆에 두고 digest나 tarball을 즉시 집습니다.
인용 가능한 가드레일과 싱가포르·도쿄·서울·홍콩·미동·미서 호스트 기하
리스너 단일성:한 호스트에서 건강한 Gateway 하나만 기본 포트에 두고 스테이징은 포트·OPENCLAW_HOME 을 분리합니다.
토큰 내구 클래스:컨테이너 재생성 뒤에도 복호 가능한 시크릿이 아니면 본선이 아닙니다.
메트로 친화:상호작용 운영자 중심 도시로 제어평면을 옮기고 여섯 도시 결정은 RPO/RTO와 같이 씁니다.
경고:리버스 프록시 인증·ACL·회전 훈련이 끝나기 전 공중 인터페이스에 Gateway WebSocket을 노출하지 마십시오.
익명 볼륨이나 공개 표 빠짐인데 CPU를 사는 것은 순서가 틀린 것이고, 규율 있는 영속화·네트워크 경계·메트로 인식 호스팅이 먼저입니다. 싱가포르·도쿄·서울·홍콩·미동·미서에서 Apple Silicon 전용·전원 회복력·유연 임대를 원하면 MESHLAUNCH 클라우드 Mac mini 가 실무적으로 더 낫습니다. Docker와 install.sh 는 그 위에서 고릅니다.
재무는 잘못된 추상에서 온 수직 스케일을 의심하고 로그가 영속 결함을 가리키면 인스턴스 비대화보다 매핑 수선을 우선합니다.
미서와 도쿄 이중이면 정책은 맞추고 키는 분리하며 중복 이유를 문서화해 내년 비용 절감 때 지우지 않게 합니다.
예.Gateway 핫 리로드·원격 다인스턴스 에서 소켓·TLS·바인드 변경은 컨테이너든 데몬이든 프로세스 재시작이 필요한 경우로 동일합니다.
직교합니다.업데이트 채널·롤백 가이드 를 런북에 넣고 확장 전 가격 페이지 로 티어를 맞춥니다.
먼저 Linux VPS 대 클라우드 Mac 문제 해결 사다리 를 밟고 포트·wss·토큰 변수명을 첨부해 고객 센터 로 올립니다.