OpenClaw 게이트웨이를 노트북 밖으로 옮기면, 모든 원격 경로가 곧 보안 경계 결정이 됩니다. 누가 TCP 18789에 닿을 수 있는지, 메시 VPN 위로 갈지 SSH 터널 위로 갈지, 운영자·봇과 제어 플레인 사이에 얼마나 많은 RTT를 감수할지가 한꺼번에 묶입니다. 이 FAQ는 Tailscale Serve와 전통적인 SSH 로컬 포워딩을 나란히 놓고, 공유 호스트에서는 왜 루프백(127.0.0.1) 바인딩이 기본 자세인지 설명합니다. 이어서 openclaw doctor로 split-brain식 버전 불일치를 잡는 법, 「네트워크 때문」이라고 하기 전에 돌려야 할 채널 헬스 프로브 체크리스트, 그리고 다지역 Mac mini M4 클라우드 Mac으로 제어 플레인 지연을 낮출 때 운영·FinOps가 같이 보는 질문을 정리합니다. 상주 설치·npm 경로는 2026년 OpenClaw Gateway 상주: Mac 구매와 다지역 클라우드 Mac 임대, 공식 설치 스크립트·npm 배포, 전형적 오류 및 업무 적용 FAQ와 함께 읽으면 맥락이 맞습니다.
Tailscale Serve, SSH 로컬 포워딩, 루프백 바인딩
Tailscale Serve는 Mac의 tailnet 정체성 위에서 명시적으로 켠 HTTPS(또는 허용한 TCP 퍼널 패턴)를 종단합니다. 이미 같은 tailnet에 있는 관리자가 여럿일 때, 공용 클라우드에 구멍을 뚫지 않고도 상호 TLS에 가까운 신뢰를 얻기 좋습니다. 대신 운영 범위가 넓어집니다: ACL 검토, 디바이스 자세(posture), 이그 노드 선택이 게이트웨이 런북의 일부가 되며 「나중에 다듬을 옵션」이 아닙니다.
SSH 로컬 포워딩(ssh -L 18789:127.0.0.1:18789 user@gateway)은 의도하지 않는 한 리스너를 운영자 워크스테이션 쪽에 둡니다. 지루하지만 기존 베스천 로그로 감사하기 쉽고, 클라우드 Mac 점프 호스트와 자연스럽게 짝을 이룹니다. 채널이 이미 갖고 있던 암호화 위에 마법처럼 또 한 겹을 얹지는 않으며, 붙는 지점만 옮깁니다.
루프백 바인딩은 게이트웨이가 127.0.0.1에서만 듣게 해 LAN 손님, 캡티브 포털, 범위가 어긋난 Wi‑Fi가 데몬에 우연히 닿는 일을 줄입니다. 루프백 밖으로 노출해야 한다면 호스트 방화벽 규칙과 티켓 번호를 짝지으십시오. 「디버깅용으로 0.0.0.0에 바인딩」은 임시 break-glass이지 기본값이 아닙니다. 베어 메탈 macOS에서는 launchd 정체성, TCP 18789 헬스 프로브, 업그레이드 직후 토큰 드리프트까지 이 블로그의 다른 OpenClaw 게이트웨이 런북과 같은 규율을 유지하는 것이 안전합니다.
openclaw doctor와 split-brain 버전 불일치
split-brain은 저장소에서 치는 CLI가 한 npm 트리로 설치됐는데, 게이트웨이 프로세스는 수개월 전 다른 전역 prefix에서 부팅됐을 때, 혹은 워크스페이스 이동 뒤에도 LaunchAgent가 옛 node_modules/.bin 그림자 경로를 가리킬 때 드러납니다. 증상은 미묘한 프로토콜 어긋남입니다: 한쪽에서 받는 플래그가 다른 쪽에서 거절되거나, 로컬에선 doctor가 통과하는데 RPC 너머에서는 실패합니다.
데몬을 소유한 동일 사용자로, plist가 읽는 env 파일을 source한 뒤 openclaw doctor를 실행하십시오. CLI·게이트웨이·채널 플러그인에 찍힌 semver 줄을 비교하고, 어긋나면 설치 채널(curl 설치 스크립트 vs npm 전역 vs 고정 devDependency)을 하나로 맞춘 뒤 감독 프로세스를 한 번만 재시작하십시오. 터미널 두 개에서 경쟁 재시작하지 마십시오. doctor 출력은 인시던트 티켓에 붙여 두어 다음 당직자가 추측 대신 동일한 불일치를 보게 하십시오.
doctor가 「여러 게이트웨이」나 기능 플래그 불일치를 지적하면, 중복 LaunchAgent, 잊혀진 Docker 사이드카가 옛 포트를 여전히 열고 있는 경우, 대화형 셸에만 OPENCLAW_GATEWAY_PORT를 export한 개발자 등을 의심하십시오. 수정은 거의 항상 호스트당 하나의 정식 설치 경로를 git에 고정하고, launchctl print로 launchd가 실제로 실행한 바이너리를 증명하는 콜드 부트 검증입니다. 인스턴스·스토리지·SSH/VNC 관측은 vpszap 클라우드에서 OpenClaw 실행하기: 인스턴스, 스토리지, SSH/VNC 및 관측 가능성을 참고하십시오.
채널 헬스: 「네트워크 때문」이라고 하기 전 체크리스트
지연 불만이 잘못된 층을 쫓는 경우가 많습니다. 게이트웨이가 실제로 도는 호스트에서 위에서 아래로 확인하십시오.
- TCP 리스너: 데몬 사용자로
nc -vz 127.0.0.1 18789;lsof -nP -iTCP:18789 -sTCP:LISTEN으로 경쟁 리스너가 없는지 확인합니다. - TLS·인증 가장자리: Serve나 리버스 프록시가 TLS를 종단하면 루프백과 클라이언트가 쓰는 엣지 URL을 동일하게 검사합니다. 헬스 체크는 프로덕션 경로와 같아야 합니다.
- 채널 자격 증명: 스테이징 tailnet에서 테스트 토큰을 먼저 교체하고, 웹훅·봇 엔드포인트가 샘플 페이로드로 2xx를 반환하는지 봅니다.
- 시계 어긋남: NTP 드리프트는 서명 요청을 조용히 깨뜨립니다.
date -u를 IdP나 클라우드 API의 허용 오차와 비교합니다. - 아웃바운드 의존성: DNS, 패키지 미러, 모델 API——게이트웨이가 쓰는 샌드박스 셸과 동일한 환경에서 종료 코드를 로그합니다.
게이트웨이가 CI 옆에 있을 때는 셀프 호스팅 Runner와 같은 규율을 미러링하십시오. 제어 트래픽을 과부하된 아티팩트 링크에서 떼어 두려면 2026년 GitHub Actions 자체 호스팅 macOS Runner에 Git·제품(아티팩트) 저장소를 붙이는 법: 싱가포르·일본·한국·홍콩·미동·미서 여섯 지역 클라우드 Mac 노드 주종(Primary/Follower) 역할 분담, Mac mini M4 16GB/256GB·24GB/512GB, 1TB/2TB 확장과 병렬 Runner 단기·중기 임대 비용 결정 매트릭스 FAQ의 Primary/Follower 리전 패턴을 함께 보십시오.
다지역 Mac mini M4 클라우드 Mac: 제어 플레인 지연을 낮추는 FAQ
「도쿄를 추가하면」무엇이 움직입니까? Xcode 컴파일 시간이 아니라, 사람 또는 자동화 Runner와 게이트웨이 프로세스 사이의 RTT입니다. 대화형 세션이나 서명 요청을 가장 많이 보내는 봇과 같은 메트로에 게이트웨이를 두십시오.
게이트웨이를 두 대 둘까요? 트래픽을 진짜로 쪼개지 않는 한 설정 드리프트 비용만 이중으로 듭니다. 환경당 하나의 논리 게이트웨이와 다른 리전의 핫 스탠바이, 분기마다 리허설을 권합니다.
제어 플레인에 RAM이 얼마나 필요합니까? 제어 트래픽 자체는 가볍습니다. 압박은 같은 Mac에 무거운 캐시·로그 버퍼를 같이 올릴 때 드러납니다. 작은 CI 노드처럼 NVMe와 RAM을 잡으십시오. 여섯 메트로의 지연·티어·임대 주기 트레이드오프는 2026년 클라우드 Mac 여섯 리전과 Mac mini M4 선택: 일·한·항·싱가포르·미서·미동 지연 비교, 16GB/256GB 대비 24GB/512GB·1TB/2TB 확장·병렬 자원의 단기·중기 임대 비용 FAQ에서 한 표로 논의할 수 있습니다.
vpszap에서는 게이트웨이가 리전을 고를 수 있는 실제 M4 메탈 위에 있습니다
위 패턴은 전용 Apple Silicon, 예측 가능한 SSD, 프로덕션과 같은 행동을 하는 SSH+VNC 접속을 전제로 합니다——시끄러운 이웃 VM이 아닙니다. vpszap은 인스턴스 전체에 CPU·RAM·NVMe를 쓰는 물리 M4 Mac mini를 제공하며, 약 5분 안에 개통하고 일·주·월·분기 단위로 청구하며 장기 약정 없이, 실제로 게이트웨이를 움직이는 팀 옆에 둘 수 있도록 다중 저지연 리전을 제공합니다.
이 체크리스트를 프로덕션과 같은 하드웨어에서 돌리고 싶다면 vpszap 클라우드 Mac mini가 가장 직선적인 시작점입니다.
