AI / 自動化
2026年4月11日
透過 Tailscale 網格安全存取租賃雲 Mac 上的 OpenClaw 閘道(2026)
MacXCode 技術團隊 · 約 15 分鐘閱讀
在 港 / 日 / 韓 / 新 / 美 以 Apple Silicon Mac mini 跑 OpenClaw 時,工程師需要穩定連到 127.0.0.1:18789,又不想把攻擊面鋪到公網。Tailscale 這類網格 VPN 提供 100.x 位址、可稽核 ACL,以及比臨時 SSH 隧道更可讀的團隊 onboarding。建議先讀 安裝與部署、環境變數與金鑰,出問題時對照 閘道排障。
為何網格 + OpenClaw
- 筆電漫遊時仍能連到同一台雲 Mac。
- 以標籤拆分「維運」與「一般 VPN 使用者」。
- 跨區(例如 JP 調 SG)走穩定 TCP,而非一次性隧道腳本。
- SSH 仍是自動化殼;網格是傳輸層策略。
說明:亦可對應到 WireGuard / 企業 ZTNA;不變量是認證網格 + 顯式 ACL。
雲 Mac 安裝清單
- 確認修補與 SSH 暴露策略與 說明中心 一致。
- 無頭安裝網格用戶端(預授權或金鑰流程)。
- 在控制台為機器打標籤,便於 ACL 引用。
- 重啟後確認與 OpenClaw LaunchAgent 一併恢復。
閘道綁定與 18789
常見做法:OpenClaw 監聽回環,透過 SSH 本機轉發暴露給授權筆電:
ssh -N -L 18789:127.0.0.1:18789 user@100.x.y.z
其中 100.x.y.z 為雲 Mac 的網格位址。也可在僅綁定 mesh 網卡的反向代理上終止 TLS,需與 Docker 與 npm 選型寫在同一 README。
安全:勿因「已上網格」就把
0.0.0.0:18789 敞開——預設拒絕、顯式允許。ACL 與最小權限
| 策略切片 | 對象 | 連接埠/路徑 |
|---|---|---|
| 維運 | 值班與資深 IC | SSH + 轉發的 18789 |
| CI 機器人 | 服務帳戶 | 僅回環 API |
| 唯讀觀察 | 支援/PM | 若暴露則僅狀態路由 |
純 SSH 與網格優先
| 關注點 | 僅 SSH | 網格優先 |
|---|---|---|
| 穩定路徑 | NAT 變更易斷 | ✓ 100.x 穩定 |
| 稽核 | 主機日誌 | ✓ 控制平面 + 主機 |
| 複雜度 | 低 | 需維護 ACL |
DNS 與模型供應商
若啟用 MagicDNS,確認不會覆寫企業拆分區域導致 新加坡 依賴註冊表解析失敗。先在 結構化日誌 裡抓到一次失敗解析,再懷疑閘道。
常見問題
| 問題 | 回答 |
|---|---|
| 能完全不用 SSH 嗎? | 不現實——openclaw doctor 與磁碟排障仍要 shell。 |
| 網格能修重複 LaunchAgent 嗎? | 不能,網路變更後仍要跑 doctor。 |
| 資料駐留? | 控制平面位置 ≠ 機器區域——先選 節點區域 再疊 VPN 策略。 |
為何選 MacXCode Mac mini M4
7×24 閘道需要低閒置功耗與NVMe余量承載日誌與工作區。用 定價 選對磁碟,再把網格 + SSH 寫入 說明中心,新進同仁即可複用同一 100.x 路徑。
