2026 OpenClaw headless Linux Docker: onboard hängt, pending.json und dashboard --no-open Verifikations-Runbook

ca. 16 Min. Lesezeit · MACCOME

Wenn Sie OpenClaw auf einem headless Linux VPS nur mit Docker betreiben—ohne Desktop, ohne Browser—und auf Wizard oder onboard im Pending-Zustand, Logs, die einen lokalen Browser verlangen, oder ein dashboard, das ohne DISPLAY scheitert, stoßen, liefert dieser Text eine ticketfertige headless-Abnahmeleiter: einen Compose-Pfad und eine TOKEN-Wahrheit einfrieren, dann „Control UI gesehen“ durch dashboard --no-open, gateway status/probe und strukturierte Logs ersetzen. Er ergänzt den Installationsleitfaden für drei Betriebssysteme, die Windows-Docker-Triage, Linux systemd+Tunnel ohne Docker und Compose-Pairing 1006/1008; Produktionsanker koppeln Sie mit dem SSH-weitergeleiteten dedizierten Gateway.

Sechs Scheinfehler unter headless Linux Docker für OpenClaw

  1. „Browser öffnen“ als Abnahmekriterium: Auf headless Hosts ist oft das Testskript falsch, nicht das Gateway—CLI-Verträge verwenden.
  2. Doppelspur onboard plus Compose: Zwei Einstiege schreiben pending.json und Umgebungsvariablen halb mit—zufälliges Pending oder TOKEN-Drift (gleiche Ursache wie im Compose-Pairing-Artikel).
  3. Fehlende silent/headless-Schalter: Der Wizard wartet auf Interaktion, während Healthchecks noch „grün“ wirken.
  4. cgroup, Graph-Treiber und Standard-ulimits: Kleine VPS-Pläne triggern OOM oder FD-Erschöpfung—fälschlich als WebSocket 1006 gelesen.
  5. Unternehmens-MITM oder transparente Proxys: Image-Pulls gelingen, WebSocket-Handshakes brechen—TLS-Erwartungen und Trust Stores prüfen.
  6. Windows-Hausaufgaben nach Linux kopieren: WSL2- und Docker-Desktop-Voraussetzungen differieren vom Linux-Engine—die Reihenfolge „Engine vor Business“ aus der Post-install-doctor-Triage einhalten.

Der Wert von headless ist kleinere Angriffsfläche und stärkere Automatisierung; hängt die Abnahme weiter am Browserklick, haben Sie Desktop-Chaos nur in SSH-Sitzungen verschoben. Beim Docker-Produktions-Runbook bleiben Image-Tag, Compose-Hash und TOKEN-Injektion auf demselben Ticket.

Pflegt das Team systemd Bare Metal und Docker parallel, dokumentieren Sie die Standard-Wahrheit: welcher Pfad CI-Image-Integration und welcher Produktion ist—gemischte Hosts sind die schwierigste Fehlerklasse.

Dimension Headless Docker (dieser Artikel) Linux systemd + Tunnel (ohne Container)
Repro & Upgrades Image-Tags und Compose-Dateien versionieren schnell, Rollback ist einfach Hängt von Distro-Paketen und Unit-Files ab; tieferes Tuning, schwächere Image-Geschichte
Headless-Abnahme Natürliche Kombination mit --no-open und Container-Log-Treibern journald plus curl-Probes; andere Pfade als unter Docker
Netzwerk-Namespaces 1006/1008 oft an Bridge-/Publish-Kombinationen gekoppelt Host-Stack; Themen landen oft bei Tunnel und Bind
Mit dediziertem Remote-Mac Gateway kann auf einen dedizierten Host wandern; Laptop bleibt CLI-only Gleiche Schlussfolgerung; Ops-Gewohnheiten unterscheiden sich
Häufiger Missbrauch CI- und Prod-Compose-Gabeln ohne Labels Tunnel-Gateway und Docker-Gateway gedanklich dual auf einer Kiste betreiben
info

Hinweis: Community-Ratschläge, silent in pending.json auf true zu setzen, um blockierende Wizard-Schritte zu überspringen, müssen gegen die aktuelle OpenClaw-Dokumentation geprüft werden, bevor Sie sie in Pipelines verfestigen; nach Upgrades Regression erneut laufen lassen, damit silent nicht zur stillen Hänger wird.

Sechsstufiges headless-Runbook: von „Images pullbar“ bis „gateway probe grün“

  1. Einen einzigen Einstiegspfad einfrieren: nur Compose oder nur offizielles docker-setup; den anderen Pfad nur als Referenz.
  2. Engine und Platte validieren: docker info, freier Speicher am Docker-Datenroot, ulimit -n; winzige VPS-Pläne sollten vor Features Swap oder begrenzte Parallelität setzen.
  3. Onboard / pending behandeln: dokumentierte headless-Schalter anwenden; danach Hashes der Pending-Dateien in CI-Logs ausgeben—hilfreich für Nachvollziehbarkeit bei Audit und DSGVO-Dokumentation, ohne zusätzliche personenbezogene Daten zu erheben.
  4. Gateway starten und nur per CLI verifizieren: openclaw gateway statusopenclaw gateway probe (falls vorhanden) → openclaw dashboard --no-open; „nur im Browser gesehen“ als einziges Pass-Signal verbieten.
  5. doctor ausführen und Ausnahmen registrieren: Felder mit der Post-install-doctor-Triage angleichen; jede Ausnahme braucht Owner und Ablaufdatum.
  6. Regression ergänzen: Nach Container-Rebuild muss dasselbe Skript innerhalb von 10 Minuten grün sein; sonst Incident mit Compose-Hash und Image-Digest eröffnen.
bash
# Beispiel: Nur-CLI-Checks (Compose-Service-Namen anpassen)
docker compose ps
docker compose logs -f --tail=200 openclaw-gateway

openclaw gateway status || true
openclaw dashboard --no-open || true
openclaw doctor --yes || true

Drei Kennzahlen für SLOs oder On-Call-Notizen (an Ihre SKUs anpassen)

  • Cold Start bis erster erfolgreicher Probe (G2P): Median-Minuten von compose up -d bis erster erfolgreicher gateway probe; steigt wöchentlich >40% bei unveränderten Image-Tags, prüfen Sie Platte und FDs bevor Sie Modelle beschuldigen.
  • Browserabhängige Schritte auf headless Hosts: Ziel null; jeder neue Schritt mit DISPLAY gehört in Produktisierung oder ein dev-only-Compose-Profil.
  • Dual-Gateway-Ereignisse: Doppelbindungen auf 18789 oder TOKEN-Zwei-Quellen-Alarme zählen; >0 zwei Wochen lang sollte gemäß dem TOKEN-Zwei-Quellen-Artikel eine Architekturreview auslösen.

Warum „leichten Desktop + VNC installieren“ oder „onboard bis zum Glück wiederholen“ ein schlechter Trade für 2026 ist

Leichte Desktops verbreitern Patchfläche und Kosten für Session-Auditing; öffentliches VNC bleibt ein klassisches Hochrisikomuster. Endlose onboard-Wiederholungen verbergen Feld-Drift in manueller Routine statt in Automatisierung.

Brauchen Sie ein 7×24 auditierbares Gateway im Einklang mit CI, während headless Linux für Randversuche oder kurze PoCs passt, gewinnt die Platzierung des maßgeblichen Gateway auf einem dedizierten Apple-Silicon-Remote-Mac mit dokumentiertem SSH-Forward oder Tailnet-Policy meist gegenüber cgroup-Grenzen kleiner VPS—MACCOME bietet Mac mini (M4 / M4 Pro) in sechs Regionen mit flexiblen Laufzeiten; dimensionieren Sie die Topologie mit dem öffentlichen Node- und Lease-Leitfaden, bevor Sie festlegen.

Schluss: headless-Abnahme gehört in DOCKER_GATEWAY.md, nicht in Chat-Folklore

Liefern Sie: Compose-Version, Image-Digest, silent/pending-Politik, Beispiel-CLI-Ausgaben, explizite Aussage „kein Browser nötig“. Jeder Schritt, der auf einem zweiten headless Kasten nicht reproduzierbar ist, ist unvollständige Dokumentation.

Im Vergleich zur Windows-Docker-Triage: gleiche Leiter, anderer Host und Engine; Docker-Desktop-Logpfade nicht mit Linux-Engine-Pfaden mischen.

FAQ

Onboard bleibt auf einem headless Server pending—brauche ich einen Desktop?

Meist nein: headless-Schalter und CLI-Abnahme nutzen; pending.json-Felder mit der Doku abgleichen. Für Produktions-Gateway auf dedizierten Knoten siehe Mietpreise Mac mini und Mac mini bestellen.

Können Linux Docker und systemd+Tunnel eine Maschine teilen?

Technisch ja, aber ohne getrennte Umgebungen ist doppeltes Gateway / doppelte TOKEN-Wahrheit häufig. Dokumentieren Sie den Standard. Siehe Tunnel-Runbook und den Compose-Pairing-Artikel.