2026 远程 Mac:
OpenClaw Gateway 可托管实战
把 OpenClaw Gateway 从「登录一次跑起来」升级为可托管形态,关键是进程随系统自启、网络走可控隧道、18789 等端口可观测、多网关互不污染。下文整理 launchd、SSH/VPN、鉴权排障、双实例隔离,并衔接 nuzcloud 美东/亚太 M4 与低价 SSD 扩容。
排障对照配置与防火墙
断线重登不影响网关常驻
目录、端口、令牌完全隔离
一launchd:把网关做成系统级常驻
可托管的第一步,是让网关在无人 GUI 会话时仍能启动、崩溃后自动拉起。用 launchd 的 plist 指定 WorkingDirectory、环境变量与日志路径,比「终端里 nohup」可靠。为专用系统用户建组与家目录,避免高权限令牌混在日常账户;可用 ThrottleInterval 防止异常重启打爆上游。
二SSH 隧道与 VPN:不要裸绑公网
内网监听加 ssh -R 反向转发,或 WireGuard / Tailscale,能把控制面收敛到已认证对等体。SSH 场景请对齐 GatewayPorts、ClientAliveInterval 与跳板机 AllowTcpForwarding,避免「本机能 curl、同事不通」。VPN 更适合多客户端长期在线。
了解更多:OpenClaw 与远程 Mac 的 SSH/VNC 全流程与 FAQ
三18789:端口、防火墙与鉴权排障顺序
许多兼容网关默认监听 18789。建议顺序:① lsof -iTCP:18789 -sTCP:LISTEN;② 是否仅绑 127.0.0.1 致隧道连错;③ macOS 防火墙与安全组;④ Bearer / mTLS 与客户端时间、代理剥头。健康检查写成脚本由 launchd 定时跑,省人工。
更完整的节点与存储规划见 OpenClaw 网关实战(节点与存储)。
四双网关隔离:生产与实验不要共用工作区
同一 Mac 跑两套网关时,用不同用户或不同家目录前缀拆数据面:独立日志、缓存与 OPENCLAW_* 令牌。端口错开(如 18789 / 18790),反向代理或 Tailscale ACL 按标签分流,避免沙箱工具误写生产审计库。
五nuzcloud 美东 / 亚太:M4 档位与低价 SSD
网关与 CI 同机时,磁盘常先于 CPU 成为瓶颈:统一内存缓解并发,日志与制品仍吃 NVMe。轻量编排选基础 M4;多 Agent 或本地侧车优先更高档 M4 与更大入门档 SSD(按 TB 单价往往比反复清缓存划算)。美东近北美控制面,亚太(新日韩港)利东南亚与大陆侧握手;同一镜像双区各跑一周,对比 mtr 与 P99。
延伸阅读:三档 M4、1TB/2TB 扩容与 Runner 并联决策
六上线前自检清单
- →plist
RunAtLoad与崩溃重启策略已测过至少一次冷启动。 - →18789(或自定义端口)在隧道两端与防火墙规则中一致。
- →生产与沙箱令牌、目录、端口三重隔离已写入运维文档。
- ①用 launchd 固定用户、目录与环境,避免依赖图形会话
- ②优先 VPN 或 SSH 隧道,公网仅暴露必要端口并配鉴权
- ③18789 排障按监听地址 → 防火墙 → 令牌顺序缩小范围
- ④双网关用用户/端口/数据目录硬隔离,再谈区域与 SSD 档位
七在 Mac mini 上,托管网关更省心
上述流程在 macOS 原生落地:launchd 与钥匙串、防火墙同属系统一等公民,SSH 与 Homebrew 无需兼容层。M4 静音低功耗适合 7×24,待机约 4W;Unix + Xcode 同机缩短排障。Gatekeeper、SIP、FileVault 便于收敛公网隧道攻击面。
若希望网关与 CI 长期同跑、又不愿扛机房噪声与电费,Mac mini M4 是性价比很高的起点。现在即可入手托管级 Mac mini,把网关跑成「无人值守也能自愈」的基础设施。