2026 Циклы падений OpenClaw Gateway под launchd: throttling, KeepAlive и восстановление watchdog для Apple Silicon MacLogin

Когда OpenClaw Gateway падает при загрузке плагина или согласовании модели, launchd усердно перезапускает его — иногда быстрее, чем вендор LLM выдаст новый HTTP 200. Ответ апреля 2026 для Apple Silicon у MacLogin в Гонконге, Токио, Сеуле, Сингапуре и США: трактуйте каденс рестартов как control plane, добавьте явные throttling, задокументируйте семантику SuccessfulExit и докажите восстановление слоями проб вместо одного curl. Статья сопоставляет сигналы падений с деньгами, даёт матрицу намерений, разбирает plist, перечисляет девять шагов выката, моделирует штормы рестартов против квот API, перечисляет сигналы наблюдаемости, ссылается на существующие cutover-руководства, отвечает на FAQ и завершает плотностью Mac mini M4 для always-on агентов.

Читайте также health-check прод cutover, kickstart reload launchd и усиление привязки к localhost. Закупки — на pricing, документация операторов — в help.

Смешивание эксперимента и продакшена на одном арендованном mini быстро показывает, что launchd усиливает прерывистые баги. Разделяйте среды по хосту или региону и клонируйте только проверенные дифы plist с задокументированного канареечного узла.

Сигналы падений, blast radius и почему наивный respawn вредит

Три симптома доминируют в каналах инцидентов апреля 2026: (1) шлюз завершается с кодом 0 после обслуживания — launchd всё равно рестартит, потому что plist считает любой выход ошибкой. (2) необработанные исключения плагинов при импорте гонят CPU до 100 % на десятки секунд и дают watchdog-kill, похожий на аппаратный сбой. (3) удалённые модельные endpoint возвращают HTTP 429, пока launchd мгновенно перезапускает, умножая throttling в атаку «denial of wallet» на API.

Документируйте для каждого инцидента, ожидался ли рестарт (деплой) или он симптоматичен (регрессия). Без этого data-команды ложно коррелируют латентность LLM с доступностью шлюза.

Матрица параметров launchd (намерение, компромисс, стартовое значение)

Ключ	Намерение	Компромисс	Старт
ThrottleInterval	Ограничить штормы рестартов	Медленнее recovery после реальных падений	30 с prod / 10 с lab
KeepAlive/Crashed	Рестарт при аварийном выходе	Может скрыть корневую ошибку	true с ограниченными retry
SuccessfulExit	Считать нулевые выходы здоровыми	Нужны честные exit code	false, пока шлюз не соблюдает семантику
ProcessType	Интерактив vs фон	Влияет на приоритет планировщика	Background для headless
SoftResourceLimits	Лимитировать FD	Skills могут голодать	Поднять до 4096 при тяжёлых watcher-ах

Финансы могут строить график стоимости рестартов: частота × средняя цена вызова модели на cold start — он ускоряет согласование более консервативного ThrottleInterval в проде.

Структура plist: ProgramArguments, WorkingDirectory, EnvironmentVariables

Большинство сбоев — не «сломанный OpenClaw», а дрейф путей: plist всё ещё указывает на /usr/local/bin, тогда как Homebrew на Apple Silicon переехал в /opt/homebrew/bin. Кодируйте полный путь к node и бинарнику шлюза, явно экспортируйте HOME для LaunchAgents без наследуемого домашнего каталога. WorkingDirectory должен совпадать с рабочим пространством, где живёт ~/.openclaw, чтобы относительные пути skills одинаково резолвились на клонах HK и US.

Добавляйте человекочитаемые XML-комментарии к чувствительным ключам; в ночном звонке лучше две строки контекста, чем угадывание, зачем неделю назад переключили SuccessfulExit.

Девять шагов выката (сначала SSH, безопасно для headless)

1. Снять baseline через launchctl print gui/$(id -u)/com.openclaw.gateway (подставьте label) и заархивировать JSON openclaw doctor.
2. Заморозить конфиг на 20 минут: без npm-апгрейдов и правок plist из второго терминала.
3. Сначала применить ThrottleInterval, один раз перезагрузить агент и убедиться по log show --predicate 'eventMessage CONTAINS "com.openclaw"' --last 15m, что интервалы рестартов не уже настроенных секунд.
4. Переключать SuccessfulExit только после проверки, что шлюз возвращает non-zero на реальные сбои — используйте staging в Сингапуре, чтобы не отравить прод-трафик Токио.
5. Пять health-curl с шагом 200 мс на 127.0.0.1:18789 после каждого рестарта, зеркаля фиксы allowlist моделей.
6. Проверить единственный PID слушателя в течение 120 секунд; при двух PID ищите дубликаты LaunchAgent.
7. Включить метрики: счётчик рестартов, последний exit code, гистограмма латентности upstream в TSDB — хотя бы cron с JSON раз в 60 секунд лучше слепого paging.
8. Задокументировать rollback-plist в git с ссылкой на тикет; checksum предыдущего plist для восстановления одной командой.
9. Сообщить chat-ops, что webhook-диспетчеры должны уважать backoff из runbook по rate limit в окне стабилизации.

Шаги 3–5 — тройной барьер против регрессий: throttle, семантика выхода, затем функциональное доказательство. Пропуск шага 5 оставляет команду думать, что launchd стабилен, пока клиенты всё ещё видят 502.

Штормы рестартов против бюджета upstream API (численный сценарий)

Пусть шлюз вызывает LLM на каждом cold start и вызов стоит 0,004 USD. При 6 неограниченных рестартах в минуту сжигается около 0,864 USD/час/хост — мало, пока не умножить на 22 хоста подрядчиков в Сеуле. ThrottleInterval 30 секунд ограничивает cold start до 120/час и экономит порядка 0,52 USD/час/хост ещё до улучшения поведения на 429.

Паттерн	Наблюдаемые рестарты / 10 мин	HTTP-микс LLM	Вероятный диагноз
«Белые костяшки» flapping	> 40	всплеск 401/403	Ротация учётных данных без reload plist
Громовое стадо	18–24	преобладает 429	Слишком низкий ThrottleInterval + общий API-ключ
Чистый отскок	1–2	стабильный 200	Плановое обслуживание или reload конфигурации
Zombie listener	0 рестартов, клиенты висят	n/a	Устаревший сокет; дубли агентов

Используйте паттерны в постмортемах, чтобы не спорить вслепую об «медленной API», когда доминирует каденс launchd.

Сигналы наблюдаемости для «дрожащих зелёных» шлюзов

• Разрыв UNIX-epoch между меткой готовности шлюза и первым успешным вызовом модели > 8 с — намёк на зависание плагинов.
• Счётчик файловых дескрипторов, растущий через рестарты, — утечки, замаскированные под цикл падений.
• Сообщения throttling launchd в едином журнале доказывают работу control plane; их отсутствие часто значит, что ключи plist не загрузились.

Сочетайте сигналы с региональной сетевой латентностью: mini MacLogin в Сингапуре покажет иные разрывы, чем US-East, у того же LLM-провайдера.

Перекрёстные ссылки на cutover (когда настройки watchdog мало)

Если healthcheck зелёный, а webhooks падают, разделите проблему: доверие TLS на reverse-proxy, хранилища дедупликации и HTTP шлюза — независимые поверхности. Следуйте дедупликации webhooks и ротации JSONL-логов, чтобы форензика пережила то же окно обслуживания, что и правки plist.

FAQ

Патчит ли MacLogin мой plist? Нет — содержимое LaunchAgent принадлежит клиенту; мы даём Mac и сетевой путь из help.

Запускать шлюз от root? Избегайте; LaunchAgents с минимальными привилегиями сужают blast radius при сбое skills.

Где безопасно тестировать? Поднимите изолированный mini через pricing до касания прод Токио.

Почему Mac mini M4 подходит для always-on OpenClaw и после настройки watchdog

Эффективность M4 не даёт штормам рестартов насыщать питание так, как старые Intel-mini, когда Node, ffmpeg-помощники и индексация Xcode сталкиваются. Unified memory позволяет кэшам моделей и буферам логов сосуществовать без душа SSD PCIe, поэтому окна throttling 30 секунд определяются сетевой задержкой, а не дисковыми паузами. Аренда по мегаполисам даёт US-канареечку с агрессивными throttling, пока APAC-прод осторожен, и клонирование только проверенных дифов plist после 72 часов ровных метрик.

Когда шлюзы переходят из лаборатории в выручку, добавляйте ёмкость регионами MacLogin вместо семи агентов на одном тепловом контуре — экономика ватта на Apple Silicon всё ещё выигрывает у таскания башен Mac Pro в колокацию для автоматизации 24/7.