AI / 自动化 2026 年 4 月 22 日

OpenClaw 预发布与生产 launchd 配置隔离:2026 租用 Mac mini 手册(VmMac)

VmMac 工程团队 2026 年 4 月 22 日 约 21 分钟阅读

单台租用的 Apple Silicon Mac mini上交付 OpenClaw 的平台工程师迟早会遇到听起来很无聊、后果却很严重的危机:预发布实验污染生产网关——因为两个世界读取同一状态目录、共用 LaunchAgent 标签前缀,或绑定同一本地端口。这份 2026 手册说明如何让主机具备两种可审计人格:分离的 OpenClaw 主目录前缀、互不冲突的 plist 标签、明确的 LimitLoadToSessionType 选择,以及值班能用 grep 核对的环境变量优先级表。请与 密钥与 plist 安全无头与 GUI 会话指南网关恢复一起阅读,避免重启变成自我斩首的自动化循环。

VmMac 在香港、日本、韩国、新加坡与美国提供节点及 SSH 与可选 VNC配置隔离仍是你的契约。

单机上的两种人格,避免共享式失忆

把预发布与生产视为两支碰巧共享电源与 NVMe 的舰队:需要分离的配置根日志路径API 密钥——绝不是“同一密钥换模型”。若用符号链接把预发布目录指到生产,你会复现共享构建代理最糟的部分:不稳定队列、无法解释的频率限制,以及无人信任的午夜 diff。把命名方案写成疲惫人类也能执行:OPENCLAW_HOME_STGOPENCLAW_HOME_PRD 仅出现在 LaunchAgent plist 的 EnvironmentVariables 字典里,而不是可能被交互式 SSH 会话改写的 shell profile。

  • 数值护栏:两个网关同时运行时 NVMe 至少保留 40 GB 空闲;SQLite 队列与本地模型缓存争用同一块磁盘预算。
  • 数值护栏:除非已测量余量,否则合并进行中的出站 webhook 扇出客户端上限为 30;突发流量会“礼貌地”让预发布拖垮生产。
  • 数值护栏:即便供应商不要求,也每 14 天轮换预发布令牌;陈旧凭据会变成复制粘贴事故源。

目录布局:状态、日志与“绝不同步此处”纪律

将两套根放在 /usr/local/var/openclaw-* 等运维拥有前缀下——不要放桌面,也不要靠近 iCloud 路径。在香港、日本、韩国、新加坡、美国保持相同布局,让基于 rsync 的诊断脚本行为一致。本节请与 结构化日志与轮转 配对,避免预发布在长周末把磁盘写满并挤掉生产日志。

磁盘卫生:若预发布 JSONL 在没有保留作业的情况下每天增长超过 2 GB,在修复轮转前阻止任何配置晋升——静默丢日志比响亮丢队列更糟。

LaunchAgent 标签、ThrottleInterval 与 LimitLoadToSessionType

使用不同的反向 DNS 标签,例如 com.yourorg.openclaw.gateway.stgcom.yourorg.openclaw.gateway.prd;绝不要仅大小写不同。将 ThrottleInterval网关恢复 中的最坏重启时间对齐,避免 launchd 在生产仍在排空套接字时反复拉起损坏的预发布 plist。若预发布需要 GUI 辅助调试,仅对该 plist 将 LimitLoadToSessionType 设为包含 Aqua;生产保持无头以降低 TCC 暴露面。

端口、回环绑定与 StandardOutPath 卫生

默认将预发布绑定到 127.0.0.1:18789,生产绑定到 127.0.0.1:18790——若内部标准已占用这些端口可调整,但保持奇偶拆分便于值班记忆。确保两个代理的 StandardOutPathStandardErrorPath 永不指向同一文件;交织日志会在 webhook 去重调查中摧毁因果链。

环境变量优先级矩阵(值班速查)

来源 预发布优先级 生产优先级 事故提示
LaunchAgent plist EnvironmentVariables 守护进程场景胜过 shell 守护进程场景胜过 shell 始终用 launchctl print gui/$(id -u)/com...stg 打印核对
SSH 会话的 ~/.zshenv 仅适用于人类 不得覆盖 plist 从 shell 移除密钥
状态目录内的 .env 允许应用本地默认值 严格白名单 绝不要在 stg/prd 间做符号链接
黄金法则:launchctl print 无法证明哪条环境变量获胜,值班就会猜——而猜测正是生产密钥流入预发布 Slack 机器人的方式。

当工程师要求“只换 API 密钥复用生产 plist”时,用差异优先策略反击:每个预发布 plist 至少要在个可见键上与生产不同——端口、标签、日志路径、状态根与节流旋钮——这样意外的 cp 会在代码评审中立即暴露,而不是客户演示现场。

晋升前七步冒烟与回滚手册

  1. 卸载预发布 plist;用 lsof 确认端口已关闭。
  2. 导出预发布状态 tarball 供取证——勿在生产复用。
  3. 用金丝雀令牌对预发布监听器运行合成 webhook。
  4. 跨区域 diff plist;除主机名外差异应为零。
  5. 加载生产 plist;确认健康端点在 12 秒内返回 200
  6. 回放生产队列深度基线;若高于基线 3 倍则告警。
  7. 记录回滚:卸载 prd,从 git 标签恢复上一版 plist。

社区报告指出,在代理会话内部调用网关重启会在某些 launchd 配置下导致进程退出却无干净重拉——请把晋升设计为工作时间由人类先重启网关。将运行手册绑定到 安装与部署指南,使“重装服务”步骤版本固定,而非部落知识。

双配置文件的五地域一致性检查

每周在每个 VmMac 区域重复相同的七步晋升演练。分歧通常意味着路径拼写错误区域特定 plist 编码,而不是神秘的云行为。保持 帮助中心 示例与仓库中实际 plist 键一致。

常见问题:单台 Mac mini 上的预发布与生产 OpenClaw

能共享一个 Node 二进制吗?可以——全局固定版本;绝不共享状态目录。

预发布应调用真实供应商 API 吗?优先沙箱;若不可能,请限速并显式标记流量。

谁拥有回滚?你的平台团队;VmMac 不会回退 plist。

为何 2026 年 Mac mini M4 仍适合双网关裸金属

Apple Silicon Mac mini 为两个网关进程、本地 SQLite 队列与后台模型助手提供可预测的单租户吞吐,且没有吵闹的邻居。按区域租用可把预发布贴近开发者,同时让生产贴近上游 SaaS 出口——无需为每位工程师买两张物理桌。VmMac 的 SSH 优先工作流让你能像应用代码一样通过同一 git 流水线强制 plist 变更,并在香港、日本、韩国、新加坡与美国一致验证。把 launchd 隔离当作产品质量而非管道琐事——OpenClaw 才会从演示变成基础设施。

先在备用区域演练双 plist

定价 页在区域内再加一台 Mac mini,练习晋升而不危及主网关。