install.sh et npm, openclaw onboard --install-daemon, service launchd, conflit sur le port 18789, interprétation de openclaw gateway status, interdiction d’héberger l’état sur un disque suivi, choix d’une région proche de Git et des registres, intérêt du M4 Pro 64 Go pour l’hôte d’exécution, et ordre de triage quand ça fume. Pour l’exécution 24/7, heartbeats, pm2, lisez Faire fonctionner OpenClaw 24h/24 en 2026 dans le même répertoire.Six manières courantes d’exécuter une installation « presque juste »
Un Mac loué n’est pas votre MacBook personnel. L’image est sèche, les sessions durent peu, le durcissement d’entrée n’est pas vôtre. Si vous pensez qu’un curl suivi d’un npm -g suffit, vous oubliez la plist que openclaw onboard --install-daemon écrit pour launchd, avec un Label, un répertoire de travail, un stdout, un environnement. Première faute: dérive de version, impossibilité d’expliquer pourquoi la machine d’Alice n’est pas celle de Bob. Deuxième faute: 18789 déjà pris, vous diagnostiquez une API lente alors qu’un autre binaire de santé règne en maître sur le port. Troisième faute: l’état de l’application synchronisé via iCloud, Dropbox, ou un lecteur d’entreprise, ce qui tue le sqlite au fil des verrous. Quatrième faute: mauvaise région, latence intercontinentale, installateur npm qui sature en milliers de petits allers retours, vous croyez à un binaire cassé. Cinquième faute: 16 Go mal dimensionnés pour un gateway plus plusieurs skills lourds. Sixième faute: tri aléatoire, configuration avant openclaw gateway status, heures perdues. Le guide résident, lui, s’intéresse à maintenir le processus vivant quand l’install est saine, voir l’article 24/7 pour l’alignement exact.
Côté organisation, si des journaux d’exécution contiennent des jetons, traitez leur conservation comme un enjeu de responsabilité des données: durée, visibilité, chiffrement en transit, et qui peut ouvrir un export complet. C’est plus propre que d’improviser un zip partagé le vendredi 22 h.
Conserver seulement le copier coller de documentation sans pinner le tag de release et la version de Node. La reproductibilité, c’est la même feuille de build pour toute l’équipe.
Ignorer le daemon installé par onboard ou ne jamais recharger la plist. Vous aurez des processus orphelins à chaque coupure de session VNC, pas des incidents sur le modèle.
Ne pas gérer 18789 comme ressource nommée. Faites lsof -i :18789, comparez le nom de process au champ retourné par openclaw gateway status.
Placer l’état sur un disque suivi en deux sens. Utilisez des instantanés vers l’object storage, pas l’iCloud. Les journaux de debug avec secrets: diffusion minimale.
Choisir une région loin de vos artefacts binaires. Même si l’onboarding semble bancal, c’est d’abord le réseau. Relisez le guide multirégion du blog avant d’enchaîner.
Mélanger tickets « npm échoue » et « processus tue OOM ». Pistes différentes. L’article sur la stabilité couvre le redémarrage, pm2, et ce qui reste quand l’exécutable tient: lien 24/7.
Ces thèmes se cumulent: il faut un exécutable unique, un launchd sain, un plan de ports, un dossier d’état local, un RTT sain, assez de mémoire unifiée, et une feuille de tri. Les grilles suivantes aident l’intégration budgétaire.
Dans le flux créatif, ne sous estimez pas l’ouverture simultanée de sessions Safari ou Chrome d’essai pour l’outillage: elles s’additionnent au processus d’orchestration et gonfleront la pression sur la mémoire macOS sans jamais apparaître dans le ticket comme « faute d’OpenClaw ». Isolez l’hôte, ou baissez la charge, ou montez d’un palier, mais ne confondez pas test UI et banc de prod.
Chemins d’install, 18789, et état: champs d’alignement
L’install.sh sert d’onboarding fédéral: tout le monde touche le même binaire, la même télémétrie minimale, la même attente. Le npm global sert d’onboarding ciblé: vous rapprochez la chaîne d’outils d’un monorepo déjà fixé, mais l’environnement launchd n’hérite pas automatiquement de votre ~/.zshrc. Prouvez le chemin de openclaw en shell interactif et dans un launchctl print ou équivalent. openclaw gateway status n’est fiable qu’en cohérence de chemin, sinon vous réparez un fantôme. Ne gardez qu’un chemin de prod, même si les développeurs bricolent autre chose en local. Si vous avez un proxy d’inspection SSL, pensez au pin des certificats et aux exceptions pour les miroirs internes, ou npm échouera aléatoirement, ce qui n’a rien à voir avec la puissance de la puce M4. Certains outils d’EPI tournent en continu: leur charge CPU peut empêcher d’entendre la fan tourner, mais le SSD reste sollicité autant, à ajouter sur la fiche d’hôte. Si l’hôte sert en plus de runner Xcode pour l’iOS, séparez les volumes pour les dérivés, sinon les caches consomment le disque d’une autre manière qu’OpenClaw et brouillent l’analyse. Apple Silicon: la mémoire unifiée regroupe toutes les pressions, le swap devient le signal d’achat, pas l’idée d’acheter le meilleur cœur GPU.
| Entrée | Quand c’est le bon outil | Onboard |
|---|---|---|
| install.sh / one-liner | Machine blanche, besoin d’avoir le même scénario en moins de 30 minutes | openclaw onboard --install-daemon pour inscrire le service utilisateur |
| npm global | Node géré, miroir interne, politique d’artefacts unique | Chemin absolu vers le binaire Node dans la plist, pas de shim caché |
Le port 18789 est associé à la surface locale, pas à vos appels sortants vers l’API modèle. Documentez 127.0.0.1 vs 0.0.0.0: les sondes et tunnels SSH n’entendent pas la même musique. Un changement de port devient un changement partagé, pas un réglage solitaire. Si les symptômes sont erratiques et que l’état se trouve sur un partage, stoppez la sync d’abord, réessayez, puis reconfigurez. Mélangez cela à des captures d’écran prouvant la présence d’un jeton dans un canevas interne, et vous aurez en plus un incident d’exfiltration accidentelle, ce qui pire qu’un bogue. Si vous avez un pare feu d’hôte, ajoutez la règle d’ouverture en même temps que le port applicatif, sinon la maintenance suivante ouvrira 0.0.0.0 sur Internet sans le vouloir, ce qui n’est pas l’histoire que vous voulez raconter au RSSI.
| Élément | Par défaut | Contrôles prioritaires |
|---|---|---|
| Tableau de bord local | 18789 ou votre valeur | lsof, statut, bind, pare feu, boucle vs publique |
| Dossier d’état | rapide, non synchronisé | sync, antivirus, time machine, NAS, quotas |
| Région | proche de Git, reg, CI | RTT, listes d’exclusion de proxy, DNS |
Le script fixe l’exécutable, le status fixe l’exécution, l’annuaire d’état local fixe la réalité disque, la région fixe l’histoire réseau.
M4 Pro 64 Go: argument hardware quand l’hôte sert d’orchestrateur, de sandbox navigateur, et d’hôte de rappels. Pas de miracle sur la latence. NVMe: journaliser, snapshotter, purger, sans confondre RAM et IOPS, sinon les finances achètent de la puce tandis qu’un simple déplacement d’artefact résoudrait 80% du ressenti.
Règles: statut, configuration, et seulement ensuite reinstalle
D’abord, openclaw gateway status et launchd: même label, même préfixe. Deuxièmement, 18789 est un actif: propriétaire, observateurs, sondes. Troisièmement, l’article résident 24/7 reste l’endroit des heartbeats et pm2 pour ne pas se contredire. Enfin, toute fuite de clé sur Slack ou S3 mal ACL est un sujet d’équipe, pas un aphorisme, documentez l’extraction minimale. Les journaux complets, ce n’est pas le premier artefact d’un ticket de niveau 1, c’est l’extraction filtrée par incident ID.
1) openclaw gateway status 2) lsof sur 18789 ou le port modifié 3) cohérence launchctl, plist, préfixe d’installation 4) chemin d’état: local, pas de partage, pas d’I/O réseau bloquant 5) Node, which openclaw: shell de login et launchd 6) TLS et proxy: Git, registry, API modèle, horloge, CA
Conseil: changez le port, le chemin d’état, et le saut de version Node dans la même fenêtre, puis exigez un statut vert.
Six étapes: Mac cloud vierge vers une acceptation qui survit au reboot
Ces six étapes produisent des artefacts nommables: version, label launchd, écoute, preuve d’un redémarrage. Si le budget d’hôte est flou, pilotez une semaine, mesurez swap et RTT, puis validez 64 Go si les pics sont réels, pas théoriques. Commandez sur la page de commande de référence pour tracer la capacité, pas seulement par message instantané. Le reboot final est incontournable, sinon l’hôte n’est qu’un studio branché, pas un nœud. L’article 24/7, lui, rappellera de brancher le superviseur attendu, pm2, ou ce que le runbook y décrit, pour éviter l’enfer des doubles chefs d’orchestre.
Verrouillez Node et l’histoire d’outillage. 20+ Node, choix de install.sh vs npm, tag visible dans l’espace d’équipe.
Installez le CLI, imprimez la version. Alignez le changelog. Avec npm global, script d’environnement pour launchd.
Exécutez openclaw onboard --install-daemon et lisez la plist. Label, chemins, launchctl list, ne touchez pas 18789 sans conflit prouvé.
Exécutez openclaw gateway status pour valider l’audite, le parent, l’adresse, et que la session interactive n’ancre rien. Ajoutez un tunnel, pas 0.0.0.0 public sans ACL.
Placez l’état sur un disque local et les journaux en rotation. Snapshots programmés, seuils d’espace, 64 Go si l’I/O et le swap souffrent d’agilités multiples.
Reboot, statut, petite charge, lien croisé vers l’histoire résidente pour l’orchestrateur de longue durée.
Trois métriques dures pour le budget ou l’audit interne
Reproductible veut dire mesurable: seconde machine, même tag, même Node, même étapes, même openclaw gateway status après reboot.
Le port 18789 est gouvernance: toute marge change les favoris, les Healthchecks, et la doc SecOps, dans la même opération, pas seulement un ticket caché.
Région, RAM, disque, trois comptes: le RTT n’achète pas de gigaoctets, et la puce haut de gamme ne raccourcit pas l’océan.
Attention: un processus tenu seulement parce que la VNC n’a pas fermé la session, ce n’est pas du service, c’est du théâtre, et ça mène souvent à blâmer l’hébergeur de modèle par défaut.
Contre l’assemblage de portables hétérogènes, les paliers M4 / M4 Pro loués dans le cloud avec une région choisie aident à figer opex, script d’onboarding, et règles de ports. Pour les équipes qui voudraient versionner l’hôte, son réseau, et son rythme de renouvellement en une même feuille de route, KVMNODE offre multi régions, multi offres, et un chemin d’achat tracé: tarifs, pilote, validation launchd, statut, puis 64 Go seulement si le swap a parlé, et commande propre, pas d’astronautique achat d’urgence faute d’inventaire la veille d’une release, tout en sachant que l’histoire 24/7 couvre l’arrière plan résident dès qu’l’exécutable est sain, ce qui n’est pas négociable en prod.