Automatisation IA 3 avril 2026

OpenClaw passerelle distante via tunnel SSH vers Mac cloud 2026 : plan de contrôle portable, démon serveur

MacLogin AI Automation Team 3 avril 2026 ~10 min de lecture

L’app macOS OpenClaw peut fonctionner en mode distant : la passerelle lourde reste sur un hôte toujours allumé pendant que le portable fournit l’UI et les intégrations locales. Pour beaucoup d’équipes, l’empreinte Apple Silicon toujours allumée la plus économique est un Mac cloud MacLogin à Hong Kong, Tokyo, Séoul, Singapour ou aux États-Unis. À retenir : lier la passerelle à loopback sur le serveur, forward un ou deux ports par SSH, et traiter le tunnel comme du câblage prod—timeouts, autossh, et procédure de récupération documentée quand launchd se bloque.

L’installation de base reste le guide installation et déploiement OpenClaw. Si la passerelle déraille, voir le dépannage du démon passerelle. Pour le HTTPS entrant des éditeurs SaaS, ajoutez un reverse proxy TLS plutôt que d’exposer des ports bruts.

Pourquoi le mode passerelle distant en 2026

  • Alimentation et réseau stables par rapport à fermer le capot du portable.
  • Latence réduite vers les API LLM cloud quand la passerelle est à côté des endpoints régionaux.
  • Séparation des rôles : les prestataires gardent des portables non gérés pendant que l’automatisation reste sur du matériel audité.

Architecture : ports et bindings

CoucheAdresse d’écouteNotes
Passerelle OpenClaw (exemple)127.0.0.1:REMOTENe pas binder 0.0.0.0 sur des hôtes loués partagés sans stratégie pare-feu.
SSH LocalForward127.0.0.1:LOCAL → loopback serveurPorts LOCAL distincts par ingénieur pour éviter les collisions.
Périphérie webhookPublic 443 → proxy → loopbackSuivre le guide TLS webhooks ; ne pas faire transiter le trafic éditeur par les portables personnels.

Côté serveur : installer la passerelle sur le Mac cloud

  1. Terminer l’install CLI selon le guide de déploiement ; vérifier que Node/runtime correspondent à la doc amont.
  2. Activer la passerelle via openclaw onboard --install-daemon ou équivalent ; confirmer le chargement du label launchd au boot.
  3. Configurer les répertoires d’état selon variables d’environnement et launchd—éviter les chemins synchronisés iCloud.
  4. Contrôle de santé depuis le shell serveur : curl -fsS http://127.0.0.1:REMOTE/health (adapter le chemin à votre build).

Runbook SSH LocalForward (portable → MacLogin)

Créez ~/.ssh/config sur le portable :

Host maclogin-openclaw
  HostName YOUR_NODE_HOST
  User YOUR_USER
  LocalForward 18765 127.0.0.1:18765
  ServerAliveInterval 60
  ServerAliveCountMax 3

Lancez ssh -N maclogin-openclaw dans un terminal dédié ou utilisez autossh pour le redémarrage auto. Dans l’app bureau OpenClaw, réglez « passerelle distante » sur 127.0.0.1:18765 côté portable.

Récupération quand gateway stop bloque launchd

Des fils d’incident communauté 2026 indiquent que openclaw gateway stop peut laisser le LaunchAgent dans un état où start ne rattache plus. Schéma de mitigation :

  • Décharger le label, vérifier l’absence de PID orphelins avec ps, puis openclaw gateway install pour réécrire le plist.
  • Collecter les prédicats log show pour openclaw et les joindre au ticket.
Sécurité : n’exposez pas le port passerelle sur l’interface publique du Mac cloud. Pour un accès hors portable sans SSH, utilisez un tunnel contrôlé ou un VPN, pas une règle pare-feu ouverte.

TLS en périphérie pour les webhooks (souvent nécessaire)

Les tunnels portables servent au pilotage opérateur. Les webhooks de prod doivent frapper Caddy/Nginx sur le serveur avec certificats ACME—voir l’article TLS webhooks. Besoin du GUI pour coller des secrets OAuth ? Utilisez VNC brièvement, puis revenez au SSH seul.

Connectivité ou régions : aide ; capacité : tarifs.

Hébergez la passerelle sur Apple Silicon dans la région

Louez un Mac cloud, gardez OpenClaw toujours actif et pilotez-le en sécurité depuis votre portable.