OpenClaw onboard et install-daemon sur Mac cloud sans affichage 2026 : mise en place SSH d’abord pour passerelles Apple Silicon MacLogin
La plupart des clients MacLogin ne se rendent jamais au datacenter—ils provisionnent des mini Apple Silicon à Hong Kong, Tokyo, Séoul, Singapour ou aux États-Unis et se connectent tout de suite en SSH pour installer des piles d’automatisation. Le flux d’onboarding OpenClaw 2026 suppose un runtime Node moderne, des autorisations macOS GUI facultatives pour certains canaux, et une passerelle LaunchAgent qui survit à la déconnexion ; ce guide montre comment exécuter ces étapes entièrement sur SSH tout en produisant des artefacts auditables. Vous comparerez les chemins d’installation, apprendrez les hypothèses d’écoute TCP par défaut, suivrez un runbook sans affichage en six étapes et collecterez une sortie doctor utilisable par les comités de changement.
Lisez aussi script d’installation vs npm global, installation OpenClaw, Node et performances, dépannage du démon passerelle et diagnostics doctor. L’onboarding lisible par l’humain reste dans l’aide ; choisissez les régions dans les tarifs ; validez plus tard les éléments dépendants du GUI via VNC.
Pourquoi l’onboarding sans affichage est la norme pour les passerelles Mac cloud
- Vélocité—les équipes veulent des passerelles actives quelques minutes après l’activation de la location, pas après l’arrivée d’un KVM par coursier.
- Répétabilité—des transcriptions SSH prêtes au copier-coller surpassent des enregistrements Screen Sharing ad hoc lorsque les auditeurs demandent ce qui s’est passé.
- Isolement—les nœuds MacLogin sont mono-locataire au niveau matériel mais profitent tout de même d’installations scriptées qui ne dépendent jamais d’un Apple ID personnel.
Prérequis de base, ports et cibles chiffrées
La documentation amont continue de recommander Node.js 22 ou plus récent ; épinglez au moins 22.14.0 dans vos runbooks internes pour que chaque région reconstruise le même ABI. Les passerelles écoutent souvent sur TCP 18789—documentez ce port à côté du 22 de sshd dans les tickets pare-feu. Allouez au moins 8 Go de RAM pour des charges légères et 16 Go lorsque les skills compilent des helpers natifs en parallèle.
Script curl d’installation vs npm global épinglé
L’installateur curl optimise la première réussite sur macOS tandis que npm global convient aux équipes qui miroitent déjà les tarballs en interne. Aucun chemin ne supprime le besoin de openclaw doctor ensuite—traitez doctor comme une porte de test fumée identique aux contrôles de bascule production décrits dans les runbooks de santé et rollback.
Invites d’onboarding et install-daemon via launchd
Utilisez ssh -t pour que les invites mot de passe et les étapes sensibles au TTY réussissent. Après l’onboarding, enregistrez le LaunchAgent avec le label documenté (souvent ai.openclaw.gateway dans la littérature communautaire) et vérifiez que launchctl kickstart -k gui/$(id -u)/ai.openclaw.gateway renvoie des codes propres avant de fermer la session SSH.
~/.openclaw décrites dans la passation du répertoire d’état avant d’activer les démons—le retour arrière est plus rapide si vous pouvez restaurer une archive en moins de 5 minutes.Matrice de vérification doctor
| Signal doctor | Attendu sain | Remédiation sans affichage | Propriétaire |
|---|---|---|---|
| Sonde HTTP passerelle | HTTP 200 depuis localhost:18789 | Ouvrir le pare-feu loopback + relancer l’agent | SRE principal |
| Auth fournisseur | Jetons et périmètres validés | Réexporter les variables d’environnement dans un profil shell compatible systemd | Sécurité plateforme |
| Droits disque | Chemins d’espace de travail inscriptibles | Corriger les ACL POSIX sans chmod 777 | Admin de location |
Runbook sans affichage en six étapes
- Prévol
node -vet espace disque libre > 30 Go pour les skills lourds en Xcode. - Installer la CLI selon le chemin approuvé (curl ou npm).
- Exporter les secrets vers un fichier root en mode 0600 hors dotfiles lisibles par le monde.
- Exécuter
openclaw onboardavec PTY et capturer les journaux. - Installer le démon et vérifier l’enregistrement launchd.
- Joindre la sortie JSON doctor au ticket de changement avant de déclarer le succès.
Modes d’échec lorsque personne ne peut toucher la console
L’absence de PTY provoque des blocages silencieux sur les invites fournisseur. Un mauvais $PATH dans les shells non login casse les npm globaux. Des LaunchAgents liés au mauvais UID après transfert admin créent des processus fantômes—vérifiez toujours que id -u correspond au compte propriétaire de ~/.openclaw.
FAQ
Puis-je tunneliser la passerelle via SSH ? Oui—suivez la configuration de tunnel SSH pour les modèles.
cron coexiste-t-il ? Planifiez l’automatisation seulement après avoir lu l’ordonnancement cron + launchd.
Et les webhooks ? La terminaison TLS appartient au guide proxy inverse.
Pourquoi le Mac mini M4 est l’hôte passerelle OpenClaw pragmatique
L’architecture mémoire unifiée du M4 garde Node et les chaînes d’outils natives dans la même enveloppe énergétique, ce qui compte lorsque les passerelles montent en charge pendant le fan-out multi-skill. Les locations bare metal MacLogin dans les métros HK, JP, KR, SG et US offrent un CPU déterministe contrairement aux VM sur-souscrites, donc les timings doctor restent comparables semaine après semaine—critique lorsque vous alertez sur une régression de latence dans les contrôles de santé automatisés.
Louer un mini supprime la friction CapEx tout en préservant les comportements réservés à macOS (Trousseau, codesign, CLI notarisées Apple) qui font que l’écosystème d’outils OpenClaw reste natif plutôt que tordu dans des conteneurs Linux.
Provisionnez un mini prêt passerelle dans votre région
Exécutez des installations OpenClaw sans affichage sur Apple Silicon MacLogin dans HK, JP, KR, SG et US.
