← Retour au blog des développeurs OpenClaw

Passerelle OpenClaw 2026 : accès distant et périmètre de sécurité — Tailscale Serve face au transfert local SSH et à l'écoute loopback, openclaw doctor et split-brain, liste de sondes de canaux, FAQ Mac mini M4 cloud multi-régions pour le plan de contrôle

📅 28 avril 2026 · 8 min · confiance zéro, loopback, dérive de versions, sondes et latence par région

Dès qu'unepasserelle OpenClawquitte votre portable, chaque chemin distant devient une décision depérimètre de sécurité : qui peut joindre le port 18789, si le trafic emprunte un maillage VPN ou un tunnel SSH, et quelle latence vous acceptez entre opérateurs etplan de contrôle. Cette FAQ compareTailscale Serveautransfert de port local SSH, explique pourquoi l'écoute surloopbackdoit rester la posture par défaut sur un hôte partagé, montre commentopenclaw doctorrévèle un split-brain de versions, puis propose uneliste de sondes de canauxet une FAQ métier sur lesMac mini M4 cloud multi-régionslorsque l'objectif est de réduire l'RTT du plan de contrôle — pas seulement d'embellir un tableau de bord.

Éclairage type salle serveur évoquant l'accès distant sécurisé à une passerelle
Schéma : une équipe ou une CI se connecte en SSH à un Mac mini dédié dans un centre de données, avec accès VNC optionnel.
Les opérateurs joignent une passerelle de prod comme un hôte de build : SSH d'abord, bordure maillée ensuite — pas l'inverse sans décision écrite

Tailscale Serve, transfert SSH local et écoute loopback

Tailscale Servetermine HTTPS (ou les motifs TCP que vous activez explicitement) sur l'identité tailnet du Mac. C'est pertinent quand plusieurs admins sont déjà sur le même tailnet et que vous voulez une confiance proche dumutual TLSsans percer des trous publics dans le cloud. Le coût est opérationnel : revue des ACL, posture des appareils et nœuds de sortie entrent dans le runbook de la passerelle — ce n'est plus du « polissage » optionnel.

Letransfert de port local SSH(ssh -L 18789:127.0.0.1:18789 utilisateur@passerelle) garde l'écoute sur le poste opérateur sauf inversion volontaire. C'est sobre, auditable dans les journaux bastion existants, et se couple bien auxMac cloud bastion. Cela n'ajoute pas de chiffrement là où il n'y en avait pas : il déplace le point d'attache.

L'écoute loopbacksignifie que la passerelle n'écoute que sur127.0.0.1, afin qu'aucun invité LAN, portail captif ou Wi‑Fi mal cadré ne tombe sur le démon par hasard. Si vous devez sortir du loopback, associez la modification à des règles pare-feu hôte et à une référence de ticket — traitez « bind 0.0.0.0 pour déboguer » comme uneouverture d'urgencetemporaire, pas comme défaut. Sur macOS bare metal, gardez la même discipline pour l'identité launchd, les sondes TCP 18789 et la dérive des jetons après upgrade que dans les autres runbooks OpenClaw du blog. Pour le déploiement npm et les canaux d'installation, voir aussi OpenClaw Gateway en 2026 : acheter un Mac ou louer des Mac cloud multi-régions ? — script officiel, déploiement npm, erreurs typiques et FAQ métier.

openclaw doctor et split-brain de versions

Le split-brain apparaît quand laCLIdu dépôt provient d'un arbre npm, alors que leprocessus passerellea été amorcé il y a des mois depuis un autre préfixe global — ou qu'un LaunchAgent pointe encore vers un ancien cheminnode_modules/.binaprès déplacement du workspace. Les symptômes ressemblent à un léger décalage de protocole : drapeaux acceptés d'un côté rejetés de l'autre, ou des contrôles doctor qui passent en local mais échouent en RPC.

Lancezopenclaw doctorsous la même identité utilisateur que le démon, après avoir sourcé le même fichier d'environnement que votre plist. Comparez les lignes semver pour la CLI, la passerelle et les greffons de canaux ; si elles divergent, alignez les canaux d'installation (installateur curl vs npm global vs devDependency épinglée) et redémarrez le processus supervisé une seule fois — pas deux terminaux en course. Joignez la sortie doctor au ticket d'incident pour que l'astreinte suivante voie l'écart exact plutôt que refaire des hypothèses.

Lorsque doctor signale « plusieurs passerelles » ou des drapeaux de fonctionnalité incohérents, cherchez des LaunchAgents en double, un conteneur Docker oublié qui publie encore l'ancien port, ou un développeur qui n'a exportéOPENCLAW_GATEWAY_PORTque dans son shell interactif. Le correctif est presque toujoursun chemin d'installation canonique par hôteversionné dans git, plus une validation à froid qui prouve quel binaire launchd a réellement exécuté (launchctl print sur l'étiquette de l'agent).

Santé des canaux : liste de sondes avant d'accuser « le réseau »

Les plaintes de latence visent souvent la mauche couche. Parcourez cette liste de haut en bas sur l'hôte qui exécute réellement la passerelle :

  • Écoute TCP :nc -vz 127.0.0.1 18789en tant qu'utilisateur du démon ; confirmez l'absence de concurrents aveclsof -nP -iTCP:18789 -sTCP:LISTEN.
  • Bordure TLS ou auth :si Serve ou un reverse proxy termine le TLS, sondez loopback et l'URL de bordure utilisée par les clients — les health checks doivent suivre le même chemin qu'en production.
  • Identifiants de canaux :faites tourner des jetons de test d'abord sur un tailnet de staging ; vérifiez que webhooks ou bots répondent 2xx avec des charges minimales.
  • Dérive d'horloge :la dérive NTP casse les requêtes signées discrètement ; comparezdate -uaux budgets de votre IdP ou API cloud.
  • Dépendances sortantes :DNS, miroirs de paquets et endpoints modèle — journalisez les codes de sortie depuis le même shell sandboxé que la passerelle.

Lorsque la passerelle côtoie la CI, appliquez la même rigueur que pour les runners auto-hébergés — voir la FAQ GitHub Actions 2026, runner macOS auto-hébergé : Git et magasins d'artefacts — six régions pour des schémas primaire/suiveur qui évitent de mélanger le trafic de contrôle avec des liens d'artefacts saturés.

Mac mini M4 cloud multi-régions : réduire la latence du plan de contrôle (FAQ)

Que change l'ajout de Tokyo ?L'RTT entre l'humain ou l'automate et le processus passerelle, pas le temps de compilation Xcode. Placez la passerelle dans la même agglomération que la majorité des sessions interactives ou du bot qui signe le plus souvent.

Faut-il deux passerelles ?Seulement si le trafic est réellement partitionné ; sinon vous payez deux fois la dérive de configuration. Préférez une passerelle logique par environnement avec un secours chaud dans une autre région, répété au moins trimestriellement.

Combien de RAM pour le plan de contrôle ?Le trafic de contrôle est léger ; la pression mémoire apparaît quand vous co-localisez de gros caches ou tampons de journaux sur le même Mac — dimensionnez NVMe et RAM comme un petit nœud CI, pas comme une station d'accueil. Pour latence sur six métropoles, paliers et location, lisez la FAQ Mac cloud 2026 : six régions vs Mac mini M4 — latence, stockage et location.

Schéma : régions disponibles dont Singapour, Tokyo, Séoul, Hong Kong, US Ouest et US Est, avec repères de choix par latence et bande passante.
Choisissez les régions avec un RTT mesuré vers votre passerelle — pas selon l'esthétique de la carte

Sur le cloud vpszap, tout cela tient sur du vrai M4 et un choix de région

Les schémas ci-dessus supposent uneApple Silicon dédiée, un SSD prévisible, et un accèsSSH + VNCqui se comporte comme en production — pas un voisin VM bruyant. vpszap propose unMac mini M4 physiqueavec l'intégralité CPU, RAM et NVMe pour votre instance, activé en environcinq minutes, facturé aujour, semaine, mois ou trimestre, sansengagement long, surplusieurs régions à faible latenceafin de coller la passerelle à l'équipe qui la pilote réellement.

Si vous voulez cette liste de contrôle sur du matériel aligné avec la façon dont vous exploitez OpenClaw en prod, le Mac mini cloud vpszap reste le point de départ le plus direct.

vpszap

Activez un Mac dans le cloud en ~5 minutes

Location à la journée, sans engagement long. Retour à l'Accueil pour le produit et OpenClaw.

Retour à l'Accueil →