一v2026.3.22 之後:邊界寫進 Compose
控制面與外掛黏在一起時,升級外掛會拖著 Gateway/全域 npm 晃。穩做法是守護與 Gateway 留裸機,重依賴進 Compose;獨立 bridge、具名 volume,勿把家目錄當 build context。
二Compose 隔離檢查表
.env 不入映像;.dockerignore 擋 node_modules 與大 artifact。健康檢查寫死;README 標宿主埠。低配先單 stack,再加服務。
三裸機 npm 與容器兩套怎麼切
裸機:鎖版 Node、全域只 CLI;Gateway/doctor 綁本機埠。容器:ClawHub 外掛走映像,lockfile 跑 npm ci。Runbook 寫宿主與 compose run 分界;exec 設目錄與逾時。
延伸:部署與擴容
四Gateway/exec 沙箱
Gateway 綁本機/內網,對外反代+mTLS。exec:命令白名單、預設唯讀、寫入獨立 volume;改檔/外連走審批。TMPDIR 指容器或擴容碟;多通道限佇列與暫存,日誌對帳 doctor。
五ClawHub 落地
staging 驗簽章;生產 digest pin,rollback 只退映像。二進位放進映像,裸機路徑保持乾淨。
六低配、M4 Pro 與 1TB/2TB 排障
低配常見 layer/cache 塞滿根卷 → Docker 資料根或 volume 指到 1TB,離峰 prune。M4 Pro+2TB 扛多服務與大 cache,日誌仍放擴容碟。五地先對 RTT/DNS,再查 I/O。 延伸:遠租與擴容
- 低配:健康檢查紅 → 資料根遷 1TB、日誌掛 volume。
- Pro+2TB:build 頂滿 CPU → 限併發或拆 compose project。
七常見問題
八在 Mac mini 上,隔離更順
macOS 與 Apple Silicon 跑 Docker、檔案與睡眠整合好,少踩權限坑。M4/M4 Pro 功耗低、併發餘裕大;Gatekeeper、SIP、FileVault 壓橫向風險。「裸機控制面+容器執行面」長開低噪音,Mac mini M4/M4 Pro 配 1TB/2TB是好起點;遠端試跑見 kvmmac 首頁。
Compose 隔外掛、裸機 npm 穩 Gateway/doctor,digest+exec 沙箱收斂風險;低配資料根上 1TB,Pro+2TB 扛快取,排障分網路與磁碟兩帳。