устройства openclaw одобряют сопряжение и миграцию состояния с резервным копированием openclaw при перемещении между Сингапуром, Токио, Сеулом, Гонконгом, Востоком США или Западом США без перестройки каналов с нуля.
Пять неправильно прочитанных подписей за требуемым сопряжением 1008 и неработающими миграциями
Работа удаленного узла включает в себя три независимых доказательства: доступность транспорта, работоспособность процесса шлюза и состояние сопряжения устройств. Когда операторы сворачивают эти слои, они меняют ключи Tailscale, в то время как реальным блокировщиком остается неутвержденный отпечаток узла. Сигнатуры ниже сопоставляют симптомы с наименьшей следующей командой, поэтому вы перестанете воспринимать каждый сбой WebSocket как фольклор брандмауэра.
Успешный пинг Tailscale равен паре OpenClaw: MagicDNS только подтверждает путь сетки. Пока в списке устройств openclaw не будет показан утвержденный узел, запуск узла все равно может закрыться с требованием сопряжения 1008.
Публикация 18789 — это ярлык: открытие порта шлюза в группе безопасности облака без дисциплины обслуживания или туннеля приглашает сканеры и скрывает, являются ли сбои TLS, обновлением или политикой сопряжения.
Копирование конфигурации JSON сохраняет каналы: токены, очереди сопряжения и кэшированные сеансы находятся в дереве состояний. Частичная копия дает зеленый пользовательский интерфейс с автоматическим удалением после миграции.
То же имя хоста после смены региона: перемещение Токио в Сингапур без согласования URL-адресов gateway.remote и профилей устройств приводит к тому, что узлы указывают на устаревшие конечные точки WSS.
Пропуск резервной проверки: Архивы tar без проверки контрольной суммы выглядят нормально, пока доктор не сообщит о дрейфе и проверка каналов не даст сбой при первом реальном сообщении.
Пометьте подпись, прежде чем касаться каналов выпуска или поставщиков моделей. Проблемы с сопряжением возникают на главном хосте с командами устройств; Проблемы миграции относятся к периоду обслуживания, когда шлюз остановлен и зонды воспроизводятся повторно. Прочтите контрольный список SSH для первого часа, если сам облачный Mac все еще нестабильен, поскольку сопряжение узлов с нестабильным демоном только умножает количество ожидающих строк устройств.
Один шлюз на облачном Mac в сравнении со шлюзом и удаленным узлом: матрица решений
Не каждой команде нужен удаленный Node. Если все инструменты работают на одном облачном Mac с «голым железом», на котором размещен Gateway, сопряжение не требует дополнительных затрат. Такое разделение становится ценным, когда операторам нужна стабильная и постоянно доступная плоскость управления в одном метро, в то время как на втором Mac работает тяжелая автоматизация браузера, а рядом находится человек, или когда соответствие требованиям требует разделения хостов инструментов. Матрица намеренно грубая, чтобы владельцы платформ и приложений могли прийти к единому мнению на одной встрече.
| Dimension | Только шлюз на облачном Mac | Облачный шлюз Mac + удаленный узел |
|---|---|---|
| Эксплуатационная сложность | самая низкая: один демон, один каталог состояний | выше: устройства одобряют, два контекста PATH |
| Задержка инструмента | локальная обратная связь, лучше всего подходит для узких циклов | добавляет RTT поверх Tailscale или туннеля |
| Положение безопасности | только сопряжение каналов | сопряжение устройств плюс уровни сопряжения каналов |
| Радиус переноса | один пакет резервных копий | не должен объединять состояние узла с домашним шлюзом |
| Наилучший вариант в 2026 году | агенты без присмотра, дым посуточной аренды в шести регионах | отделение тяжелых инструментов от круглосуточного шлюза 7 дней в неделю |
1008 не является ошибкой Tailscale. Это шлюз, отказывающийся от идентификации, которую никогда не одобряли устройства.
Когда вы выбираете разделенную топологию, запишите, какой хост владеет веб-перехватчиками каналов, а какой хост регистрируется только как Node. Смешивать эти роли на одной машине во время экспериментов — это нормально; производство должно сохранять запись веб-перехватчика на ведущем устройстве и ограничивать хосты Node выполнением инструментов. Чтобы узнать об удаленном подключении URL-адресов и изоляции портов при запуске промежуточной среды помимо рабочей, прочтите статью Горячая перезагрузка шлюза и многоэкземплярность, прежде чем добавлять второй прослушиватель на том же облачном Mac.
Экономическое обоснование имеет значение для испытаний в шести регионах. Аренда мастера в Сингапуре на один день с сохранением узла на столе Mac в Калифорнии может быть оправдана для рассказывания историй о соблюдении требований, но вы должны честно измерять RTT инструмента. Если время ожидания браузера истекает, перенос Node на второй облачный Mac в том же метро часто обходится дешевле, чем недельные перестрелки в паре. Прежде чем объявлять разделенную архитектуру постоянной, записывайте временные метки базовых тестов.
Шлюзы обслуживания Tailscale: шлюз обратной связи, MagicDNS WSS, одобрение устройств
Топология, рекомендованная 2026, позволяет шлюзу использовать петлю на главном облаке Mac, в то время как Tailscale Serve публикует HTTPS только в хвостовой сети. Узлы подключаются с помощью gateway.remote, нацеленного на имя MagicDNS, а не на необработанный общедоступный IP-адрес на 18789. На ведущем устройстве установите пересылку обслуживания на 127.0.0.1:18789, подтвердите обновление WebSocket через путь обслуживания, затем начните сопряжение с узла узла с явным удаленным URL-адресом в среде или профиле.
tailscale serve --bg --https=443 http://127.0.0.1:18789 openclaw gateway status openclaw devices list openclaw node run --remote wss://cloud-mac.tailnet-name.ts.net openclaw devices approve <device-id> openclaw backup create --verify openclaw doctor openclaw channels status --probe
Если node run по-прежнему закрывается с кодом 1008 после работы Serve, перечислите ожидающие устройства на главном устройстве и подтвердите отпечаток пальца, показанный в тексте ошибки. Отчеты сообщества о явном --node-id существуют, когда CLI кэширует старый профиль; перед повторной попыткой очистите устаревшую конфигурацию узла локально. Никогда не одобряйте неизвестные строки устройств, оставшиеся после прерванных экспериментов, и не распространяйте выполнение инструмента на случайных участников хвостовой сети.
Для миграции корректно остановите Gateway, запустите резервное копирование с помощью проверки, выполните синхронизацию архива с целевым облачным Mac, восстановите соответствующий домашний макет, а затем запустите Doctor перед запуском каналов. Если вам нужна только логическая конфигурация, все равно включите каталог состояния в пакет, поскольку очереди сопряжения и материал обновления OAuth не находятся в одном файле JSON. Согласуйте периоды обслуживания с runbook обновления и отката, чтобы не накладывать сброс сопряжения поверх обновления канала.
Примечание. Архивируйте выходные данные списка устройств до и после утверждения, чтобы аудиты показывали, кто авторизовал каждый узел.
Шестишаговый Runbook от начальной загрузки Tailscale до проверенной миграции
Заморозить топологию заявки: главный метролог записи, роль хоста узла, имя хвостовой сети Tailscale и остаются ли каналы только на ведущем устройстве.
Проверить главный шлюз на шлейфе: перед публикацией Serve запустите статус шлюза и локальный завиток для 18789.
Включить обслуживание Tailscale в WSS: подтвердите обновление через MagicDNS с хоста Node с помощью минимального клиента веб-сокета или удаленного зонда openclaw.
Идентификация парного узла: инициируйте запуск узла, захватите 1008, если ожидается, затем устройства одобряют на ведущем устройстве и повторите попытку с явным идентификатором узла, если необходимо.
Окно миграции при смене региона: остановка шлюза, создание резервной копии с проверкой, безопасное копирование на новый облачный Mac, восстановление, доктор Грин.
Направить дым на мастера: статус и проверка каналов, одно живое входящее сообщение, сравнение временных меток журнала; если молчат, прочитайте подключено, но нет ответа, прежде чем повторно открывать сопряжение.
Три ограждения по вызову плюс облачный хостинг Mac для разделенных топологий
Потолок очереди на сопряжение: Если в течение одного окна изменений накапливается более восьми строк ожидающих устройств, приостанавливайте новые попытки запуска узла, удаляйте заброшенные идентификаторы и повторно одобряйте только хосты, перечисленные в заявке.
Бюджет диска для миграции: для проверенных архивов резервных копий и восстановленного состояния часто требуется примерно в 1,5 раза больший размер свободного каталога с действующим состоянием как в источнике, так и в пункте назначения; остановить загруженные браузером задачи при наличии примерно пятнадцати процентов свободного места на диске.
Частота проверки после миграции: запустите проверку каналов не менее трех раз в течение десяти минут после восстановления, прежде чем объявить об успехе; временный DNS на новых облачных IP-адресах может маскироваться под сбой сопряжения.
Внимание! Числовые пороговые значения — это коммуникационные рельсы для дежурства, а не обещания поставщика услуг SLA.
На настольных компьютерах Mac в качестве хостов Node вновь вводятся спящий режим, роуминг Wi-Fi и случайные обновления, которые десинхронизируют двоичные файлы инструментов с версией главного шлюза. Pure Linux VPS сочетает дешевые вычисления со слабыми инструментами, встроенными в macOS. Безголовый облачный Mac с голым железом в качестве главного плюс дополнительный второй облачный Mac в качестве узла обеспечивает совместное размещение цепочек инструментов Apple, Tailscale Serve в режиме обратной связи и прогнозируемые окна миграции в шести регионах. Облачная аренда MESHLAUNCH Mac Mini обычно является более подходящим вариантом, когда вам нужен постоянно включенный шлюз, проверяемое сопряжение устройств и перемещение регионов без необходимости увеличивать время безотказной работы потребительского оборудования.
Относитесь к посуточной аренде в выбранном метро как к репетиции миграции, а не как к обязательству. Выполните шесть шагов, перезагрузитесь один раз в окне и только затем продлите его до ежемесячного после того, как каналы и узлы пройдут проверку. Эксперты по безопасности должны видеть списки ACL Tailscale, задокументированные рядом с утверждениями устройств OpenClaw, с примечаниями о ротации, хранящимися рядом с контрольными суммами резервных копий. Цены и способы поддержки доступны в ценах на аренду и в справочном центре, когда вам нужны физические возможности для самой репетиции.
На главном облаке Mac запустите список устройств openclaw и одобрите ожидающий Node. См. контрольный список безголового SSH и цены.
Нет. Используйте openclaw backup с проверкой и включением каталогов состояний. После восстановления выполните обновление Runbook отката. Справка: Справочный центр.
Запустите проверку каналов, затем прочитайте подключено, но нет ответа и Удаленное подключение шлюза перед повторным сопряжением устройств.