임대 클라우드 Mac에서 OpenClaw 게이트웨이를 Tailscale 메시로 (2026)
홍콩·일본·한국·싱가포르·미국에서 임대 Apple Silicon으로 OpenClaw를 24/7 운영하면 127.0.0.1:18789에 대한 안정적 경로가 핵심 과제가 됩니다. Tailscale 같은 메시 VPN은 100.x 주소, ACL로 검토되는 동서 트래픽, 감사 가능한 흐름을 제공합니다. 설치·배포, 환경 변수·API 키, 게이트웨이 문제 해결과 함께 읽으세요.
OpenClaw에 메시가 필요한 이유
- 이동 중 노트북도 호텔 NAT 뒤에서 동일한 클라우드 Mac에 일관되게 접속
- 역할 분리 —
tag:openclaw-operators등으로 운영자와 일반 VPN 사용자 구분 - 리전 간(예: JP 빌드 → SG 게이트웨이) 연결을 수동 SSH 터널 대신 예측 가능한 TCP로
- SSH는 셸 자동화용으로 유지 — 메시는 전송 계층이며
launchd위생을 대체하지 않습니다
클라우드 Mac 설치 체크리스트
- 호스트가 패치 완료이고 SSH는 도움말에 문서화된 방식만 노출
- 헤드리스에 맞는 무인 또는 auth-key 플로로 메시 클라이언트 설치
- 콘솔에서 머신 태그를 부여해 ACL에서
tag:macxcode-node등으로 명시 - 재부팅 후
launchctl로 메시 데몬과 OpenClaw LaunchAgent가 함께 기동되는지 확인
게이트웨이 바인딩과 포트 18789
건강한 구성은 OpenClaw를 루프백에 두고 선택적으로 포워딩합니다.
ssh -N -L 18789:127.0.0.1:18789 user@100.x.y.z
100.x.y.z는 임대 Mac의 메시 주소입니다. 대안: 메시 인터페이스에만 바인딩된 로컬 리버스 프록시에서 TLS 종료 — 한 가지 패턴을 정해 Docker와 npm 결정과 같은 README에 적습니다.
0.0.0.0:18789를 연다고 해도 방화벽 감사관을 놀라게 합니다. 기본 거부, 명시 허용이 안전합니다.
ACL·태그·최소 권한
| 정책 조각 | 대상 | 포트·경로 |
|---|---|---|
| 운영 | 온콜·시니어 IC | SSH + 노트북에서 포워딩된 18789 |
| CI 봇 | 서비스 계정 | 메시 UI 없음 — 루프백 API만 |
| 관찰자 | PM·지원 | 노출한 경우에만 상태 라우트 |
SSH만 vs 메시 우선
| 관심사 | SSH만 | 메시 우선 |
|---|---|---|
| 노트북→Mac 안정 경로 | NAT 변경 시 깨짐 | ✓ 100.x 유지 |
| 감사 | 호스트 로그 | ✓ tailnet 중앙 + 호스트 |
| 복잡도 | 초기 낮음 | 높음 — ACL 규율 필요 |
DNS와 모델 제공업체
OpenClaw는 OpenAI·Anthropic 또는 지역 미러를 안정적으로 resolve해야 합니다. MagicDNS가 회사 split-horizon을 덮어 SG 레지스트리를 망가뜨리지 않는지 확인하세요. «게이트웨이 불안정»으로 넘어가기 전에 구조화 로그에 실패한 조회 하나를 남기세요.
FAQ
| 질문 | 답 |
|---|---|
| SSH를 완전히 없앨 수 있나요? | macOS 운영에는 비현실적 — openclaw doctor와 디스크 조사에 셸이 필요합니다. |
| 메시가 LaunchAgent 중복을 고쳐 주나요? | 아니요 — 네트워크 변경 후에도 doctor를 실행하세요. |
| 데이터 상주·컴플라이언스? | 메시 컨트롤 플레인 위치 ≠ Mac 리전 — 먼저 하드웨어 리전을 고르고 VPN 정책을 얹으세요. |
MacXCode Mac mini M4
Mac mini M4 임대는 24/7 게이트웨이에 적합한 유휴 전력, 로그·워크스페이스용 NVMe, 메시 지연 계획에 맞춘 리전 선택을 제공합니다. 요금으로 디스크를 맞춘 뒤 런북에 메시+SSH 단계를 고정하세요.
요약: Tailscale(또는 동급 메시)은 전송 정책입니다. 로컬호스트 우선 게이트웨이, ACL, CI 시크릿과 같은 운영 규율과 짝을 이루어야 합니다.
