您已將 Gateway 穩定跑在 VPS 或雲端 Mac,卻在本機執行 openclaw 時看到「連得上但工具不可用」或 RPC 探針失敗,而伺服端日誌安靜得像假陽性。本文給要把 OpenClaw 當生產閘道器 的團隊:先用七條清單拆穿 gateway.mode=remote 與 Tailscale 暴露、SSH 埠轉發 的常見混淆,再用一張四列對照表收斂「程序在哪、用戶端指哪、TLS 與權杖誰校驗」,接著給出六步可交接 Runbook(遠端 URL、wss、雙端 gateway status、gateway install --force、doctor、健康探針),並連到站內 Tailscale 私網暴露、全平台安裝排錯、gateway closed(1000) 的分工閱讀。
官方 FAQ 把 local/remote 寫得很短,但生產裡耗時間的,往往是探針 URL 與實際監聽位址不一致以及systemd 使用者服務與互動式 shell 的設定分叉。下列七條用於把爭論從「我 ping 通了」收斂成「可簽字的驗收表」。
把遠端模式當成 SSH 埠轉發別名:SSH -L 只解決「瀏覽器到 UI」的路徑;遠端模式改變的是 CLI 預設探針目標,兩者可疊加但語意不同。
把 Tailscale Serve 當成 remote mode:Tailscale 讓本機 Gateway在 tailnet 可達;remote mode 讓筆電 CLI去連另一台機器上的 Gateway;請讀 Tailscale 篇 的邊界表。
只改 gateway.remote.url 卻忘了 gateway.mode:mode 仍為 local 時,CLI 可能繼續探本機空埠,表現為「神秘逾時」。
混用 http 與 wss:反向代理若終止 TLS,用戶端 URL 與 trusted-proxy 聲明不一致時會出現 401/重連風暴;應與安全加固清單一起審查。
忽略 Config (cli)/Config (service) 雙行:升級後常見:您在 root 下改了檔案,服務卻跑在 --profile dev 的另一份 state 目錄。
權杖只寫在一端:Gateway 已輪換 gateway.auth.token,筆電 Control UI 仍快取舊值;與 gateway closed(1000) 的 Token 表一起讀。
沒有「最小遠端驗收用例」:只測聊天不測工具鏈時,會在模型升級後才發現 RPC scope 漂移;應固定一條唯讀指令做金絲雀。
這些假設的共同根因,是把 OpenClaw 當成單體 Web 服務,而不是帶本機監督程序與遠端工作階段路由的雙端系統。平台工程需要像管理 kubeconfig 內容一樣,為每台開發機維護profile、state 目錄、遠端 URL 與輪換時間的可稽核紀錄。
與 全平台安裝排錯 聯動:首次安裝若未跑通 openclaw doctor,不要急於切 remote;否則排障會同時夾雜「裝壞了」與「指錯實例」兩類變因。
若組織在 2026 年推行「Gateway 上雲、IDE 在本機」的分層,應把遠端模式的斷網降級策略寫清:CLI 是否允許唯讀回退、是否禁止隱式切換 mode 以免誤連生產。
與獨佔遠端 Mac 組合時,常見拓撲是 Gateway 跑在 Linux VPS、工具執行在租用的 macOS 節點:此時 remote URL 仍指向 VPS,不要把 SSH 到 Mac 的位址誤寫成 Gateway 位址,除非您真的在 Mac 上起了第二套 Gateway。
最後,企業代理對 WebSocket 的長連線閒置斷開會放大「偶發掉線」:應在 Runbook 裡寫明心跳、重連與用戶端快取清理策略,而不是讓業務以為模型「變笨了」。
審查時用「程序在哪」與「用戶端預設連哪」兩軸切分,能快速對齊安全與維運責任。
| 模式 | Gateway 程序位置 | 典型用戶端 | 主要風險 |
|---|---|---|---|
| local(預設) | 本機 | 本機 CLI/UI | 本機埠、權杖、個人工作階段糾纏 |
| remote | 遠端主機 | 本機 CLI/UI 指 wss://… | URL 漂移、雙設定、代理斷連 |
| Tailscale/隧道暴露 | 仍在目標機本機回環或繫結 | tailnet 或隧道後的瀏覽器/CLI | ACL、MagicDNS、權杖與 bind 組合 |
| SSH 本機轉發 | 目標機 | 把遠端埠映射到筆電 127.0.0.1 | 工作階段存活、跳板權限、與 remote URL 的拼接錯誤 |
「遠端模式」解決的是控制平面指向:讓同一套 CLI 在筆電上穩定對話另一台機器上的監督者與工具登錄檔,而不是替代 TLS 或權杖模型本身。
當您需要同時滿足「Gateway 必須 7×24 在機房/VPS」與「工程師只想裝輕量 CLI」時,remote 是合理預設;若還需要零信任內網存取 UI,再在遠端機上疊 Tailscale Serve,而不是把兩件事混成一個開關。
與 RPC/1000 排錯篇 聯動:遠端模式下除錯時,務必先確認「目前 CLI 工作階段到底連哪台 Gateway」,再討論 scope 與工具白名單,否則會反覆修改錯誤實例上的設定。
下列順序強調「先確認遠端健康,再改用戶端 mode,最後做金絲雀指令」;與上游 troubleshooting 文件的建議順序一致。
在遠端機以目標使用者執行:openclaw gateway status,確認 Runtime: running 與 RPC 探針 OK。
記錄遠端 WebSocket URL 與 TLS 終止點:若經反向代理,寫明路徑前綴與健康檢查 URL,避免手寫錯一層 path。
在筆電備份目前 profile:匯出 openclaw.json 或等價 state 路徑,便於一鍵回滾 local。
設定 gateway.mode=remote 與 gateway.remote.url:使用官方 openclaw config set 或受控範本,禁止手改散落多份。
執行 openclaw status/openclaw health:核對輸出中的探針目標與延遲;若顯示雙設定不一致,執行下一步。
在與服務相同內容下執行 openclaw gateway install --force 後 openclaw gateway restart:僅當您確實在維護「本機服務」時執行;純遠端用戶端可略過 install,改以 doctor 清 drift。
openclaw config set gateway.mode remote openclaw config set gateway.remote.url "wss://gateway.example.internal/v1/ws" openclaw config get gateway.mode openclaw config get gateway.remote.url openclaw status openclaw doctor
提示:若遠端同時啟用 Tailscale Serve,請閱讀 Tailscale 私網暴露 的 ACL 與權杖段落,確認 wss 終端與內網 DNS 一致。
回滾點應寫進變更單:保留舊 local 設定快照與切換時間窗;重大版本升級日先凍結 remote URL,待遠端金絲雀通過後再批次推送用戶端設定。
若團隊使用多套 profile(staging/prod),建議在 shell 啟動指令稿印出目前 OPENCLAW_PROFILE,避免「以為連 staging 其實在 prod」的人因事故。
把現象映射到「用戶端/閘道器/代理」三層,能顯著減少無效重啟。
401/unauthorized:優先核對 Control UI 與 CLI 的權杖是否同源;遠端模式下常見是筆電側快取了舊裝置權杖,需依官方裝置清單流程輪換或重新授權。
Runtime running 但 RPC probe failed:先對照 gateway closed(1000):區分「連錯實例」與「連對實例但 scope 不足」;再用 openclaw logs --follow 在遠端機抓取同一時間窗。
注意:不要在未確認遠端監聽位址前,在筆電上反覆 gateway restart:那只會折騰本機空轉程序,污染排障日誌。
升級後「昨天還能用」:檢查 release note 是否收緊預設 auth 或修改 WebSocket path;把遠端與近端版本號與 digest 一併記入工單,避免只升級一端。
與頻道類「無訊息」問題相比,遠端模式更偏連線與工作階段層:若懷疑訊息流,應轉讀 channels 探針專文,而不是在 remote URL 上反覆試錯。
對 7×24 生產團隊,建議把「探針失敗率」與「重連間隔」接入現有監控堆疊:即便 OpenClaw 自身健康,企業網路抖動也應可觀測。
下列條目用於內部對齊;閾值以您們使用者規模與區域為準。
wss 端點的交握失敗應能在 60 秒內用分層 ping(DNS/TCP/TLS/WSS)定位到哪一跳。Config (cli)/Config (service) 不一致時,預設執行路徑為 同使用者 install --force → restart → doctor,並記錄 state 目錄。純本機筆電跑 Gateway 常受睡眠與會議軟體搶占埠影響;純遠端 CLI 若沒有穩定可達的遠端平面,又會在 VPN 抖動時集體失聯。把 Gateway 落在獨佔、長期在線、可 SSH 維運的雲端 Mac 或 VPS,再把工程師終端統一成 remote 用戶端,是 2026 年團隊最常見的折衷。相較在不穩定容器或黑盒虛擬化裡硬跑監督程序,NodeMini 的 Mac Mini 雲端租賃在固定 SSH、清晰資源檔位與可複製的節點畫像上更利於把 OpenClaw 當生產元件治理;需要比對規格與價格時,可先閱讀 租賃價格說明,再結合 說明中心 完成接入。OpenClaw 相關文章可按 OpenClaw 分類 系統閱讀。
落地時建議把本 Runbook 與內部「環境等級」綁定:開發、預發、生產對應不同遠端 URL 與權杖輪換節奏,禁止手抄生產 URL 到個人設定。
遠端模式讓本機 CLI 連到另一台機器上的 Gateway;Tailscale 多解決「如何把已在本機監聽的 Gateway 安全暴露到 tailnet」。可組合使用。更多 OpenClaw 主題見 部落格 OpenClaw 篩選。
在與服務相同使用者與 state 目錄下執行 openclaw gateway install --force 與 restart,再以 openclaw doctor 校驗。節點與帳單問題也可查看 說明中心。
檢查環境變數覆寫、shell profile 殘留,以及 gateway.mode 是否仍為 local。需要算力把 Gateway 常駐在雲端時,可先對照 租賃價格說明。