一版本锚点与五地共同前提
先把运行库、Node 与 Gateway 绑定在 v2026.5.7,五地用同一配置漂移入库,避免「一地已升、另一地未升」导致 pairing 与会话分叉。DM 入站机与构建机建议分账户:前者轻量对话与审批,后者扛编译与沙箱,缩小误触半径。延伸阅读: OpenClaw 安装、doctor 与扩容实战。
二pairing 与 allowFrom:DM 入站决策矩阵
DM 直达用户但也怕伪造。pairing 管「首次是谁」,allowFrom 管「长期只信谁」。矩阵化比单一白名单更易审计与外包交接。
| 身份来源 | pairing | allowFrom | 推荐策略 |
|---|---|---|---|
| 内部值班 | 一次性短码 + 管理端二次确认 | 绑定工号主体 / 固定会话密钥 | 强配对 + 窄放行 |
| 外包客服 | 项目级子码,按合同周期滚动 | 仅允许外包租户 ID 段 | 周期轮换 + 独立租户 |
| 匿名 / 灰流量 | 默认拒绝或人机验证队列 | 不入 allowFrom,走工单转人工 | 只进不出白名单 |
矩阵行可按贵司 IAM 字段扩展;关键是 pairing 日志与 allowFrom 变更必须同事落审计。
三多代理路由与 model failover
为网关配多代理路由:按地域或队列选上游,主模型 429/5xx 时走model failover 备用链。客服会话可绑小模型降延迟,研发值守再用大上下文,避免一条路由烧配额。
四Docker 沙箱:把高风险 exec 收口
不可信脚本与外包工具优先进 Docker 沙箱:固定 digest、只读根、禁挂敏感卷;主进程只经受控 API 调沙箱。镜像与卷版本纳入与 v2026.5.7 同步的发布清单。
五doctor 分级排障(L1→L3)
把 openclaw doctor 分三级:L1 环境变量与端口;L2 依赖与原生模块重建;L3 路由、密钥与多代理。手册写明外包只做 L1。节点成本对照见
五地 M4 / M4 Pro 租用与扩容指南。
- L1:进程重启、清理临时目录、校验监听地址是否仅回环。
-
L2:
npm ci、重建原生依赖、核对 Node 小版本与 lockfile。 - L3:模型路由、密钥轮换、跨区 DNS 与 TLS 链,升级前做配置 diff。
六低配或 M4 Pro + 1TB/2TB:值守与外包协作
值守与外包读日志优先低配 M4 + 1TB;同机再叠多沙箱或重推理则上 M4 Pro + 2TB。外包子账号只读日志卷,合同结束即吊销 allowFrom 段。
七常见问题
八在 Mac mini 上,这套栈更稳、更省长期成本
DM 入站、多代理与 Docker 沙箱依赖长期无人值守下的安全与观测。macOS 上 SSH、Docker 工具链成熟;Gatekeeper、SIP、FileVault 叠加以降低公网恶意面;M4 / M4 Pro 统一内存利于模型与容器并存。
Mac mini M4 待机约 4W 量级,适合五地哨兵与日志机;峰值再上 M4 Pro 配 2TB 摊薄 TCO。若要把本文方案落在少折腾的硬件上,现在可从 Mac mini M4 起步,与下方入口衔接跑满 7×24。
pairing + allowFrom 矩阵拆清内部、外包与灰流量;多代理 + failover按地域与 SLA 分流;Docker 沙箱收口高风险 exec;doctor L1–L3把排障与权限写进值班手册;低配 1TB / Pro 2TB按日志与沙箱压力选型。