В продакшене OpenClaw — Docker или локальный npm?

Docker Compose, если нужны воспроизводимые рантаймы и изоляция в команде; локальный npm или установщики — для быстрой отладки на уровне исходников. Часто разработка локально, а Gateway в контейнере в проде.

Gateway не стартует — с чего начать?

Конфликты портов, пути health check, исходящий HTTPS из контейнера к поставщикам моделей, права томов состояния. Сверьте значения по умолчанию с документацией зафиксированного тега образа.

Как откатиться после неудачного обновления?

Зафиксировать digest образа и ревизию compose, остановить Gateway, восстановить снимки томов, поднять стек с предыдущим тегом. В проде избегайте анонимных pull latest.

OpenClaw 2026: продакшен Docker, постоянный Gateway, отладка и откат

Около 16 минут чтения · MACCOME

Поставить OpenClaw на каждую ОС — ещё не продакшен: нужен Gateway 24/7, аккуратные Docker-тома и обновления без потери состояния. Руководство для команд, которые хотят агентов как «контрактный сервис»: предпроверки, Docker против npm, шаблоны Compose для постоянных процессов, таблица симптомов и порядок токенов, логов, бэкапов и отката. Читайте вместе с гайдом по Windows/macOS/Linux; для стабильного egress — слой удалённого Mac ниже.

Шесть ловушек на пути от «запускается» к «на дежурстве»

Только ноутбук разработчика как Gateway: сон, обновления и GUI-диалоги рвут сессии; инцидент часто дороже выделенного узла.
Анонимно тянуть latest: апстрим может сменить порты или схему конфигурации за ночь — CI pull превращается в бесшумный релиз.
Борьба UID на томах: root против пользователя контейнера в каталогах состояния даёт размытые ошибки SQLite/I/O.
Egress не совпадает с вендорами моделей: корпоративный прокси или регион чаще дают таймауты, а не явный 403.
Токены Gateway в Git открытым текстом: смешение секретов CI и ноутбука усиливает риски увольнений и форков.
Нет отката кроме «переустановить»: нечего назвать RTO и не воспроизвести восстановление.

Если пути Windows/macOS/Linux ещё не ясны, сначала установка OpenClaw и выбор платформы, затем возвращайтесь к контейнеризации.

Предпроверка: Node, память, ключи, egress (15 минут)

Сообщественные установщики и образы Docker меняются; ниже порядок величин — сверяйте с зафиксированным релизом.

Рантайм: многие доки 2026 года опираются на Node 20 LTS или 22; образы часто несут проверенный рантайм, хосту нужны актуальные Docker Engine и плагин Compose.
Память: для лёгкого Gateway заложите лимит контейнера 2–4 ГБ; добавьте запас при параллельных каналах или локальных моделях.
Секреты: раздельные ключи минимальных прав для вендоров и аутентификации gateway; ротируйте секрет оркестрации и смонтированные файлы вместе.
Egress: проверяйте API вендоров с того же сетевого пути, что и Gateway; валидируйте корпоративные корни MITM и прокси.

Измерение	Docker Compose (прод)	Локальный npm / установщик (итерации)
Воспроизводимость	Высокая: образ фиксирует зависимости	Средняя: глобальный дрейф Node/OS
Изоляция / несколько экземпляров	Проще: сети, тома, лимиты	Сложнее: конфликты портов и конфигов
Темп обновлений	Контролируемо: тег или digest	Быстрее: следовать upstream main
Отладка	`exec` или bind-mount исходников	Прямые отладчики и брейкпоинты
Операционные затраты	Pulls, бэкапы томов, гигиена compose	Загрязнение хоста, согласованность демонов

bash

# Пример потока — имена сервисов по доке зафиксированного релиза
git clone https://github.com/openclaw/openclaw.git && cd openclaw
# если есть: bash docker-setup.sh
# docker compose pull
# docker compose run --rm <cli-service> onboard
# docker compose up -d <gateway-service>
# docker compose ps
# curl -fsS http://127.0.0.1:<health-port>/health || echo "см. документацию"

warning

Внимание: имена сервисов, переменные окружения и пути health меняются между релизами — сниппеты это шаблоны; проверяйте по зафиксированному тегу.

Шесть шагов, чтобы Gateway постоянно жил на Compose

Зафиксируйте версии: теги или digest в compose; запретите анонимный дрейф в проде.
Разделите тома: конфиг, состояние, логи; RPO бэкапа по классу тома.
Зависимости и restart: restart: unless-stopped лечит краши, не ошибки конфигурации — добавьте health checks.
Health checks: официальные HTTP/TCP-пробы; согласуйте с LB или watchdog.
Наблюдаемость: хотя бы один индексируемый лог (stdout или файл) для алертов.
Управление изменениями: каждое изменение порта/тома/env с diff и тегом отката — без «устной инфраструктуры».

Симптом	Вероятная причина	Действия
Gateway сразу выходит	Нет env, смена entrypoint	Логи compose; сверить обязательные ключи с release notes
Порт занят	Старый процесс или конфликт хоста	`ss -lntp`; переназначить или остановить владельца
Таймауты модели	Egress, прокси, DNS, регион	curl из контейнера; сертификаты/прокси
SQLite / блокировки	Двойные писатели, несовпадение UID	Один основной писатель; права на томе

Укрепление продакшена: токены, экспозиция, бэкапы, порядок отката

Токены Gateway вносите через secrets — не в слоях образа. Публичный HTTP требует TLS-терминации и rate limit спереди; даже внутренние слушатели должны учитывать горизонтальное перемещение.

Порядок отката: ① зафиксировать digest и ревизию compose ② остановить Gateway ③ восстановить снимок тома ④ docker compose up -d с предыдущим тегом ⑤ health checks и одна сквозная проба.

Три измеримых критерия для ops-ревью

Холодный старт до healthy: P95 от compose up до успешной пробы; при скачке смотрите pulls и I/O томов раньше, чем покупать CPU.
Смесь ошибок и задержка: отделяйте 4xx/5xx от TCP-таймаутов, чтобы не принять throttling за мёртвый Gateway.
Учения восстановления: ежеквартально восстанавливайте тома на изолированном хосте и поднимайте Gateway — публикуйте RTO цифрами.

Когда размещать Gateway на постоянно доступном удалённом Mac

Команды, совмещающие Apple toolchain (Xcode, Simulator, подпись) с агентами, выигрывают от переноса Gateway с личных ноутбуков на выделенный оплачиваемый Mac 24/7. Для демонов и логов по умолчанию SSH, VNC только для GUI-разбора — см. гайд SSH vs VNC.

Почему один только ноутбук редко тянет продакшен-Gateway

Политики сна, несогласованные обновления ОС и открытые порты при отладке вдвоём бьют по ноутбучным пилотам. Контейнеры без зафиксированного digest прячут дрейф хоста за иллюзией воспроизводимости.

Живой паттерн — рантаймы, зафиксированные Compose на выделенных удалённых Mac (или эквивалентном bare metal) как плоскость исполнения. Облачные Mac MACCOME дают мультирегионный Apple Silicon и прозрачные условия аренды — удобно, если OpenClaw делит хост с автоматизацией iOS/macOS. Сравните регионы с мультирегионным гайдом и тарифами, затем оформите Сингапур, Токио, Сеул, Гонконг, восток США или запад США.

Помощь по сессиям: центр помощи.

Вопросы

Docker или npm в продакшене?

Compose для воспроизводимости; локальный npm для глубокой отладки. Начните с установки и выбора платформы.

Gateway недоступен — что проверить?

Порты, пути health, egress контейнера, права томов. Центр помощи по SSH/VNC и подключению.

Как сочетается с удалённым Mac?

Сначала SSH, VNC по необходимости — гайд SSH/VNC для Mac.

Где сравнить регионы и цены?

Таблица мультирегиона и тарифы.