2026-04-24 Chemin sortant OpenClaw : DNS, SNI TLS et résilience amont sur Mac cloud Apple Silicon loué sans interface graphique
La plupart des runbooks OpenClaw sur un Mac mini Apple Silicon loué (ou équivalent) s’arrêtent après que nginx termine le TLS pour les webhooks entrants. Ce n’est que la moitié du système : la passerelle, les invocations d’outils et les clients HTTP des fournisseurs LLM sortent vers un autre jeu de fronts anycast, chacun avec de nouveaux enregistrements DNS A/AAAA, le SNI TLS 1.2+ et les paramètres HTTP/2. Ce guide du 2026-04-24 n’est pas une répétition du plongeon reverse proxy ; il décrit le contrat sortant—fraîcheur DNS, validation des certificats, discipline d’horloge et comment corréler les échecs dans les journaux structurés lorsqu’une région HK / JP / KR / SG / US ne peut soudain plus joindre une API, alors que l’interface web du même produit fonctionne depuis un portable. Associez-le aux clés API stockées dans launchd pour ne jamais confondre un secret expiré avec un chemin réseau mort vers l’hôte qui émet le jeton OAuth.
La sortie n’est pas le miroir de l’entrée
Une livraison entrante de webhook réussie prouve que : (a) un écouteur est lié, (b) un certificat est approuvé côté client, et (c) le chemin TCP fournisseur → votre bord fonctionne. Les appels sortants prouvent autre chose : le magasin de confiance Node (ou autre runtime) utilisé par le processus passerelle, la résolution DNS sur le même hôte (pas le résolveur de votre portable), et si la route par défaut préfère IPv4 ou IPv6 quand le DNS du fournisseur annonce les deux. Un statut vert sur la préparation qui ne teste que 127.0.0.1:18789 ne valide pas la pile sortante—étendez les sondes avec un GET synthétique vers un point de terminaison statique connu ou une vérification de métadonnées de type RFC-8705 si vous opérez des flux OAuth multi-locataires, et journalisez le RTT p95 sur la même ligne que le reste de vos journaux JSON pour que le tableau de bord n’ait pas besoin de nouveaux parseurs.
Résolution DNS, TTL et résolveurs « bloqués » sur macOS
Les grands réseaux API et inférence déplacent les IP de bord sur des TTL courts. Sur des hôtes de production SSH uniquement de longue durée, surveillez : (1) une rafale d’ENOTFOUND après une reprise de maintenance où scutil --dns pointe encore vers un ancien nom split-horizon d’une semaine de test ; (2) du GeoDNS régional qui envoie votre machine Singapour vers un anycast différent de votre canari US Est, créant une latence asymétrique sans perte de paquets. Établissez une base avec un script dscacheutil -q host -a name api.target.example plus host -a dans votre checklist post-déploiement ; enregistrez le aller-retour vers chaque saut résolveur dans votre modèle de ticket pour que « le DNS marche dans le navigateur » (qui peut utiliser un trousseau ou un VPN différent) ne fasse pas capoter un bridge-call de minuit.
Chemins scindés d’entreprise ou mesh
Certaines équipes maillent une passerelle vers une API interne via Tailscale tandis que les notifications publiques passent encore en direct. Documentez quels noms d’hôte sont réservés au 100.x et lesquels sont publics—mélanger les deux dans un profil OpenClaw sans blocage de politique provoque des motifs intermittents 403/timeout que le dépannage générique de passerelle à lui seul ne permet pas de trancher, car l’échec est du routage, pas de la profondeur de file. En cas de doute, capturez un seul curl -v avec les mêmes EnvironmentVariables launchd que le démon hérite, pas un shell interactif ssh -t (qui peut prendre d’autres variables proxy).
TLS, SNI et validation de chaîne de certificats
Chaque client HTTPS de la pile d’outils doit prendre en charge le SNI vers le bon nom d’hôte ; les scripts anciens qui ciblent l’IP brute échouent devant les bords CDN. Le magasin de confiance Trust Store du runtime Node sur macOS est distinct du trousseau système que votre navigateur utilise pendant une session VNC : lorsque vous épinglez une AC interne personnalisée pour un lab, installez-la dans le bundle de confiance ou l’environnement que le démon lit, en suivant le runbook variables et secrets sur launchd, pas un export ponctuel dans un shell développeur. Un décalage d’horloge au-delà de quelques minutes casse TLS 1.3 et les fenêtres JWT signées—sntp -sS time.apple.com reste un invariant sur la machine, au pair avec les mêmes conseils NTP que vous utilisez pour les créneaux HMAC entrants.
IPv4 vs IPv6, Happy Eyeballs et proxies explicites
Lorsque le DNS d’un fournisseur renvoie à la fois des enregistrements AAAA et A, la stratégie de connexion de la bibliothèque cliente (souvent appelée « Happy Eyeballs ») peut choisir un chemin qu’un pare-feu de datacenter ou une liste blanche côté fournisseur n’a pas encore mise à jour. Une répartition pragmatique pour les flottes HK / JP / KR / SG / US : documentez quelles régions gardent IPv6 désactivé en périphérie, ajoutez curl -4 vs -6 au triage et, si un proxy HTTP d’entreprise est obligatoire, définissez HTTPS_PROXY dans le LaunchAgent que vous versionnez déjà avec les variables de clé API, et vérifiez que le proxy autorise les upgrades WebSocket si une fonction pont en dépend. Docker vs npm natif modifie aussi la propagation des variables proxy : les conteneurs en mode bridge peuvent ignorer entièrement le fichier launchd de l’hôte sauf si vous ajoutez un bloc env au niveau compose qui reflète le plist de production.
Table de triage symptôme / couche (sortie)
| Symptôme | Couche | Stabiliser |
|---|---|---|
| Alerte TLS unknown CA, code sortie 60 | Chaîne / confiance / MITM | Aligner la confiance système, éviter le TLS basé sur IP ; revoir le MITM proxy sur le port 443 |
| getaddrinfo ENOTFOUND (intermittent) | DNS / domaine de recherche | Vérifier les domaines de recherche dans scutil, vider le cache, re-comparer avec le portable |
| HTTP 403 du bord fournisseur uniquement sur le nœud SG | Géo / WAF + IP de sortie | Cartographier la sortie louée vers la liste blanche, envisager un second hôte régional |
Corrélation avec les journaux structurés de passerelle
Adoptez un identifiant unique de requête ou de trace dans les journaux OpenClaw et propagez-le dans les en-têtes HTTP sortants lorsque l’API du fournisseur prend en charge des clés d’idempotence ou des en-têtes de trace. Si vous ne pouvez pas injecter d’en-têtes, journalisez date, duration_ms et err.code sur une ligne JSON pour que l’expédition des journaux pivote d’un « 500 mystérieux » vers un pic DNS sans ouvrir la VNC—même si la VNC reste une voie de secours pour l’Assistant Certificat ou les correctifs interactifs du magasin de confiance que vous refusez de scripter. Après toute mise à jour npm et double redémarrage de passerelle, relancez une suite minimale sortante curl -sS -o /dev/null -w "%{time_connect}\n" contre la même liste que dans le runbook pré-mise à jour, afin qu’une régression des liaisons OpenSSL Node soit visible en chiffres, pas au ressenti.
Autres runbooks
Comparez avec launchd + cron pour des vérifications sortantes synthétiques planifiées, sous-agent pour les problèmes de canaux qui ne sont pas vraiment du réseau, et onboarding + démon lorsque vous n’êtes pas sûr qu’un mauvais PATH casse curl sous le compte de service.
FAQ : connectivité sortante en production
| Question | Réponse pratique |
|---|---|
| Le ping suffit-il ? | L’ICMP peut passer alors que le TCP 443 vers le même anycast est bloqué ; préférez des vérifications au niveau TLS. |
| Faut-il un dump des règles pare-feu sortant ? | Sur les Mac de datacenter loués, rare—mais gardez une doc de liste de ports autorisés dans votre modèle de ticket. |
| Quand ajouter un second nœud ? | Lorsque le GeoDNS et la politique d’IP de sortie forcent une région à porter plus de risque ; montez en charge via les tarifs. |
Pourquoi le Mac mini M4 convient encore à OpenClaw très sortant
L’automatisation très sortante récompense des horloges à faible gigue, des piles TCP prévisibles et assez de NVMe pour conserver des journaux JSON verbeux pour l’analyse forensique. La même flotte Mac mini M4 qui alimente vos hôtes CI peut aussi héberger des passerelles SSH d’abord HK · JP · KR · SG · US 24/7 avec 1 à 2 To pour les journaux structurés conservés, sans hyperviseur entre la NIC et le noyau. Si une région a besoin de sa propre réputation de sortie, colocalisez un nœud dédié via les offres MacXCode et apprenez à votre tableau de bord à scinder les graphiques de latence par étiquette de bail—une barrière peu coûteuse pour les piles multi-fournisseurs 2026.
Déployer OpenClaw sur une sortie propre
M4 · Multi-région · SSH et VNC optionnelle
