一v2026.3.22 之后:为什么先谈 Compose 边界
v2026.3.22 后守护与网关更严抓「可写目录」与「插件落盘卷」。若全局 npm 与容器 node_modules 混树,常见症状是进程已起、Gateway 却报插件哈希不一致。请用 Compose 收口:独立 project、专用网络、数据卷只挂配置与插件缓存,勿与 Homebrew 争路径。分阶段演练可与
OpenClaw 远程 Mac 上线运维(Gateway/exec)
对齐裸机基线,本篇补容器侧。
二Docker Compose 隔离:最小可运行集
Compose 里固定 UID/GID 与网络出口;宿主机只放行 Gateway 端口。镜像与宿主机 CLI 补丁号一致,否则 doctor 反复报版本漂移。升级先 pull 再 up -d,避免旧容器占卷锁。
/usr/local 直接 bind 进容器当可写层——SIP 与权限映射会让 ClawHub 解压出的脚本属主错乱,exec 沙箱一启用就批量拒绝。
三裸机 npm 与容器:两套路径怎么分工
| 路径 | 适用 | 注意 |
|---|---|---|
| 裸机 npm | Gateway 本机绑定、硬件直通、调试 doctor | 钉死 Node 22.x 与全局前缀;与 launchd 日志同卷监控磁盘 |
| 容器内 CLI | 多租户隔离、插件试验、回滚快照 | 卷与 UID/GID 与 compose 声明一致;避免与宿主机争用端口 |
推荐「宿主机 Gateway + 容器 worker」:127.0.0.1 监听、docker 网络回连。多通道低配机先保盘与日志卷,再谈 CPU,顺序见
五地远程 Mac 与 M4/M4 Pro 选型。
四ClawHub 插件落地:卷、权限与版本冻结
插件解压进 named volume,manifest 锁版本;生产冻结后仅 patch。系统调用走 exec 白名单,忌沙箱全放行。拉取失败先查卷空间与 inode,再按五地择近镜像源。
五Gateway 与 exec 沙箱:排障顺序
渠道在线却不落地:查 Gateway 绑定范围、exec 令牌时效,再用只读沙箱验路径。双份配置时以 launchd 环境为准写入 compose env_file,防沙箱策略分裂。
六五地低配与 M4 Pro +1TB/2TB:工作流案例压缩
低配:Compose 单副本,插件与日志分卷;1TB 保构建缓存,2TB 扩多通道与日志窗。M4 Pro 并发 exec 更从容,仍建议大缓存单独卷、系统盘轻量。跨区先对齐租期、磁盘、并联三账再升档。
- A 拉包超时:近源 + 限并发 + 磁盘告警。
- B exec 全拒:白名单与容器 UID。
- C 哈希漂移:统一补丁号后重建卷。
七小结 checklist
上线前:project 隔离、Gateway 本机绑定、插件冻结、env 对齐。上线后:磁盘、卷锁、镜像补丁、渠道探针。
八远程 Mac 节点上,macOS 仍是最佳承载
双路径都依赖稳定 Unix 与磁盘;Apple Silicon 上 macOS 统一内存、待机约数瓦级,适合 7×24 跑 Gateway 与 sidecar。Gatekeeper、SIP、FileVault 加托管网络隔离,横向风险低于通用跳板。多通道与大缓存团队用 M4 Pro 配 1TB/2TB,可把重建缓存从周级压到小时级。
若要把隔离方案落在静音低功耗、栈一致的生产节点上,Mac mini M4 / M4 Pro 加远程托管是易落地、易排障的起点;请前往首页查看机型与五地配置。
Compose 收口依赖,裸机跑 Gateway、容器跑隔离任务;ClawHub 插件进命名卷并冻结版本;exec 沙箱与 env 以宿主机为准同步;低配先 1TB 保缓存、Pro 配 2TB 扛并发与日志窗。