gateway.mode=remote против одной зафиксированной gateway.remote.url и согласованной аутентификации. Текст разграничивает роли сервера и клиента, задаёт минимальный порядок миграции с пометкой, где нужен перезапуск супервизора, и помогает при сочетании Runtime: running с провалом проб из‑за расхождения URL или профилей. Дополняем материалы о круглосуточной резиденции, туннелях после апгрейда и дрейфе токенов и диагностической лестнице — здесь акцент на архитектурную цель, без повтора длинных листингов. Сеть и процедуры: центр помощи.Пять заблуждений: remote не сводится к «ещё CLI на каждой машине»
OpenClaw опирается на один согласованный контур управления. Перевод ноутбуков в remote без вывода локальных процессов Gateway ведёт к фантомным listeners, «осиротевшим» ключам plist и обзорам без имени авторитетного WebSocket. Выделенный облачный Mac mini KVMNODE даёт предсказуемость Apple Silicon и допущения аплинка ближе к договору: политику сна, egress, тепловой бюджет — то, что трудно доказать для дорожных ноутбуков за гостиничным Wi‑Fi. Remote окупается, когда в бюджете одна капитализируемая связка: канонический URL, владелец ротации токена и однозначный след launchd.
Без прохода контрольных точек ниже снова включится сценарий, где винят поставщика моделей, хотя цель пробы никогда не совпадала с supervised bind.
Сервер всё ещё local, клиенты уже remote: пробы попадают в пустоту, потому что никто не слушает там, где указано в учётной таблице.
URL с частным IP проверяют из публичного интернета: успех curl на бастионе не гарантирует успех на мобильном ноутбуке без того же тракта.
Токен только в bashrc: launchd его не видит; удалённое рукопожатие падает даже при «зелёных» ручных CLI.
Разные OPENCLAW_STATE_DIR или профили: doctor валидирует одно дерево, пробы читают другое.
Застывшая полумиграция: пользователи автоматизации держат локальные gateway ради удобства, и инциденты расползаются по разным фактам.
Завершите greenfield по чек-листу установки до remote-first политик; remote поверх сломанной локальной супервизии только множит двусмысленность.
Квартальные чекпоинты: число оставшихся локальных gateway на команду, дрейф между задокументированными WS URL и целями проб, среднее время ротации токена без «шторма пейджера», доля канальных сбоев из consumer NAT вместо uplink уровня KVM.
Публикация этих KPI убирает спор: миграция завершена или застряла в дружеских «карманах» оргструктуры.
Журналы handshake и криптографические подписи событий оформляйте с минимизацией персональных данных, политиками хранения и фиксированной целью обработки — это снижает регуляторную поверхность без лишней детализации содержимого.
Матрицы: все локально, облачный Gateway, гибрид под контролем
Документация для финансов задаёт три колонки: хост процесса, ответственность за секреты, внешне видимый URL. Без любой колонки закупке тяжело оправдать FTE или строку аренды. Туннели — SSH local forward, Tailscale serve, закалённый reverse proxy — зависят от постура, но любой вариант должен приводить к целям проб, совпадающим с URL в панелях.
Runbooks фиксируют, какая ACL или группа безопасности стоит перед websocket, кто владеет продлением, какой аккаунт может крутить токен Gateway. Вопрос аудитора «где терминируется трафик» проще ответить координатами POP KVMNODE, чем перечислением персональных хот-спотов макбуков. На разборе инцидента схема уже говорит: все CLI сходятся к одному supervised listener, а не спорят из-за split tunnel.
| Топология | Процесс Gateway | Типичные клиенты | Главный предел |
|---|---|---|---|
| Локально всё вместе | Тот же ноутбук что IDE | Соло-эксперименты | Сон и дрожание сети |
| Remote-клиенты | Арендованный Mac mini под контролем | Много CLI по VPN или zero trust | Симметрия URL и токена |
| Гибрид POC | Параллельные хосты | Часть пользователей remote | Изоляция профилей, без дубля на пользователя |
| Наблюдение | Приоритет гипотезы | Шаг |
|---|---|---|
| Сервер зелёный, клиентская проба красная | Сдвиг конечной точки | Сверить явные --url пробы с дашбордами |
| Doctor расходится между хостами | BINARY или PATH «split brain» | Выровнять ProgramArguments с openclaw --version |
| Каналы «дёргаются» ночью | Пики CPU в облаке на cron | Пройти канальные пробы по лестнице |
Remote-проекты покупают зафиксированный WebSocket endpoint по договору, а не охоту по ноутбукам.
Выбор Сингапура или US-метрополий для резиденции отражает горячие RTT и исходящие API, как в гайде по мультирегиональной аренде, только для управляющего трафика агента, не только git fetch.
Бюджет задержки включает разброс DNS и корпоративные прокси с расшифровкой TLS; проверка удалённого Gateway через те же промежуточные узлы исключает сюрпризы демо: прямой curl зелёный, а сценарии терпят неудачу на инспекции handshake. Для конфигураций и манифестов опирайтесь на термин репозиторий и управление доступом без метафор про «склад» запасов.
Минимальная последовательность миграции с обязательными перезапусками
Стабилизируйте облачный хост, пока он ещё в семантике локального Gateway; фиксируйте состояние в записях изменений; определите детерминированный URL; затем переводите ноутбуки. Обратный порядок обрезает половину установок от доступных точек входа и провоцирует дырки в firewall.
Снимите переменные окружения и аргументы plist до переключения режимов, чтобы diff показывал всё, что понимает launchd, а не только экспорты интерактивной оболочки.
openclaw config set gateway.mode local openclaw gateway status openclaw doctor openclaw config set gateway.mode remote openclaw config set gateway.remote.url "wss://your-edge.example/gateway" openclaw gateway restart
Заметка: Точные ключи меняются со схемой upstream; блок — порядок действий. После правок gateway обычно нужен перезапуск агента под supervision, а не только новая shell, чтобы launchd принял конфигурацию.
Для каждой роли укажите исполняемый файл: скрипты автоматизации не должны бесшумно обновлять глобальные npm-префиксы; версии фиксируются на время переходного окна и ослабляются после ночей успешных проб. Совпадение мажорной версии Node между облачным Gateway и ноутбуками убирает protobuf-рассогласование, похожее на отказ аутентификации. Детали туннелей — в материале про апгрейд и удалённый доступ.
Разницу конфигураций трактуйте как миграции БД: маркировки выкладок, скрипты отката, без массового включения режима remote перед заморозкой релизов без согласования очереди перезапуска супервизора. Контуры пилотов отключают split VPN и входят только через утверждённый маршрут — так же ведут себя руководители на демонстрации.
Шесть шагов от POC до удалённого режима по умолчанию
Подтвердить health на облаке эквивалентно local: runtime и пробы зелёные до экспорта WS.
Зафиксировать URL и владение TLS: renewals в том же тикете, что ротация токена gateway.
Секреты в supervised env или одобренном хранилище: без «только интерактивного» export.
Пилот одного remote ноутбука: каналы в паре до fleet-правок.
Зафиксировать владельцев токена: те же ITSM, что и админ-места SaaS.
Следить за handshake latency, не только ICMP: синтетика по тем же путям, что ежедневная работа.
Откат: снимок units plist, закрепление версии OpenClaw на неделю стабилизации, журнал каждого успешного handshake в наблюдаемости, чтобы регрессии сравнивались цифрой, а не байками.
Аргументы для разговоров рядом с финансами
Память unified tier: M4 Pro 64 ГБ часто несёт несколько ассистентов и sidecar: закладывайте запас на пик; графику Apple называйте API Metal без перевода.
Порог по RTT WebSocket: интерактив терпит меньший джиттер, чем ночные сводки.
Один контур управления в учёте: одна арендованная Gateway плюс явно учтённые удалённые оболочки; ноутбуки не «нулевой сервер».
Руководящим дашбордам редко нужны тонкие sysctl-параметры, но нужна математика SLA: надёжность WebSocket в проценты переводится только с разметкой причин — недоступный край сети, отказ handshake аутентификации, насыщение арендованного хоста, ограничение со стороны модельного поставщика после того, как логи Gateway показали здоровые сессии. Сопоставьте причины с выбором инфраструктуры: общий Wi‑Fi против волокна на стороне KVMNODE. Ежеквартальная сводка показывает, когда проще увеличить объём unified memory, чем поддерживать кластер ноутбуков в качестве подменной «инфраструктуры».
Предупреждение: выставление сокетов Gateway на открытый публичный интерфейс без согласованной аутентификации обычно противоречит типовым опросникам ИБ у поставщиков.
Бытовой канал связи, неуправляемый режим сна и вложенная виртуализация ослабляют гарантии супервизора, которые команды ждут от удалённой схемы OpenClaw. Аренда bare-metal Apple silicon рядом с тем же исходящим контуром, что уже обслуживает приватные реестры и корпоративный SaaS, выстраивает сеть, комплаенс и бюджет в одну строку. KVMNODE поставляет узлы в Сингапуре, Токио, Сеуле, Гонконге и прибрежных городах США с прозрачными SKU и сроками от коротких пилотов до много-квартальной аренды. Организации, не готовые ставить ночную устойчивость на дисциплину владельцев ноутбуков, обычно выбирают аренду Mac mini KVMNODE как более надёжную основу для упорядоченных топологий удалённого шлюза: не из-за «экзотического железа» для агентов, а потому что контрольные плоскости заслуживают договора, а не только неформальной договорённости.
Откат к ноутбукам после неудачного облака возможен при версионировании конфигураций; каждый rollback удаляет remote URL из общих документов, чтобы поздние пользователи не цеплялись к выведенным хостам. Телеметрия помечает профилями события — проще отличить реальные сбои от тестов со stale .env. В сумме режим становится скучным, а скучная инфраструктура — то, что нужно под «громкие» чат-ассистенты. Оформление: Mac mini M4, справка: центр помощи.