PICK다섯 리전, 같은 보안·같은 프록시 지도
원격 Mac마다 DM을 열면 인바운드 표면이 넓어집니다. v2026.5.7에서는 pairing으로 1회 신뢰를 만들고, allowFrom에는 고정 ID·IP 대역·관리형 게이트웨이 egress만 남기세요.
게이트웨이·Node·루프백 순서는 v2026.5.x 런북과 동일하게 맞추면 다섯 좌석이 같은 doctor 출력을 공유합니다.
더 읽기: install-cli·Node·doctor·Gateway SSH
매트릭스pairing vs allowFrom 결정표
아래는 고객지원·외주가 섞일 때 흔한 조합입니다. 셀 내용은 “기본 권장”이며 컴플라이언스에 맞게 조정하세요.
| 시나리오 | pairing | allowFrom |
메모 |
|---|---|---|---|
| 내부 엔지니어링만 | 1회·오프라인 코드 | 사내 SSO egress IP | 가장 단순 |
| 외주 1곳 고정 | 전용 채널 재발급 | 외주 VPN 고정 대역 | 계약서에 대역 명시 |
| CS 야간 당번 로테 | 교대마다 짧은 코드 | 관리형 게이트웨이만 | 개인 단말 IP 금지 |
외주에게 VNC 혼합을 허용할지 SSH만 둘지에 따라 DM 노출 폭이 달라집니다. 비용·표면 비교는 별도 글의 매트릭스를 참고하세요. 더 읽기: SSH 무헤드 vs VNC·M4·1TB/2TB 분기
프록시멀티 라우팅과 model failover
리전별로 기본 모델·폴백·레이트리밋을 프록시에서 나누면 한 리전 장애가 전역 DM을 죽이지 않습니다. OpenClaw는 짧은 타임아웃·지수 백오프와 동일 프롬프트 해시 dedup으로 비용 폭주를 줄이세요.
Docker샌드박스로 실행면 줄이기
스킬 실행을 컨테이너·읽기 전용 루트로 묶으면 외주 스크립트 사고가 한 격실에서 멈춥니다. 레이어 캐시는 1TB+ 볼륨에 두고 부트 SSD는 가볍게 유지하세요.
doctorL1~L3 분급
L1: doctor 요약·루프백·프록시 헬스—출력을 티켓에 그대로 붙이면 5리전이 같은 언어로 대화합니다. L2: Node·OpenClaw 핀 diff·네이티브 모듈 재빌드. L3: OS·정책 충돌—스냅샷 롤백 또는 좌석 교체를 검토합니다.
5리전은 “같은 doctor 한 줄”이 합격 기준
출력이 다르면 프록시·allowFrom·Docker 볼륨 중 하나가 어긋난 것입니다.
TCO저사양 M4+1TB vs M4 Pro+2TB
CS 당번은 로그가 빨리 차므로 1TB를 최소선으로 두세요. 릴리즈 주간에 외주 업로드·Docker 레이어가 겹치면 M4 Pro+2TB가 IO 대기를 줄여 총비용에 유리한 경우가 많습니다. 같은 머신에서 DM·CI·샌드박스는 시간대 레인으로 나누면 저사양 한 대로도 야간 창을 방어할 수 있습니다.
하드웨어macOS·Mac mini가 이 스택에 맞는 이유
macOS는 Gatekeeper·SIP·FileVault로 무인 노드 표면을 줄이고, launchd로 OpenClaw·프록시 헬스를 안정적으로 붙일 수 있습니다. Apple Silicon Mac mini는 대기 전력이 낮아 DM을 24시간 켜두기 좋고, 통합 메모리는 failover 버스트를 완만하게 받아줍니다.
다섯 리전에서 동일 런북을 굴리려면 조용한 하드웨어가 필요합니다. 이 워크플로를 한 번에 올리고 싶다면 Mac mini M4가 2026년 현실적인 출발점이니, 지금 구성을 맞춰 외주·당번 교대를 가볍게 만드세요.
마무리한 줄 체크리스트
pairing → allowFrom 고정 → 프록시 failover → Docker 샌드박스 → doctor L1~L3 로그 순으로 문서화하면 SG·도쿄·서울·홍콩·미동부가 같은 장애를 같은 속도로 닫습니다. 디스크는 1TB/2TB를 일찍 붙여 로그 폭주를 막고, 코어는 겹치는 레인 수에 맞춰 M4 Pro로 올리세요.