Faire tourner OpenClaw comme Gateway sur un VPS Linux tient autant à la surface réseau (TLS, webhooks, callbacks) qu’à la façon dont vous promouvez une nouvelle image ou un nouveau paquet : soit vous industrialisez avec une CI comme GitHub Actions, soit vous gardez la main avec Docker et un runbook SSH. Les deux approches peuvent être saines ; la mauvaise nouvelle, c’est qu’elles n’exigent pas les mêmes compétences ni le même budget « temps d’astreinte ». Pour aligner les jetons côté forge et les déclencheurs distants, la boucle webhooks décrite dans 2026 — Git auto-hébergé (Gitea/Forgejo) sur VPS léger, exécution iOS sur Mac cloud à la journée : webhooks, jetons minimaux et matrice des pools entreprise (FAQ) reste un bon repère, même si votre dépôt vit sur GitHub.
Matrice de décision rapide (2026)
En pratique, la question n’est pas « Actions ou Docker », mais « qui porte le risque quand un tag casse la passerelle un vendredi soir ». Le tableau suivant résume les compromis que nous observons sur des petits VPS à fort enjeu opérationnel.
| Critère | GitHub Actions (CI/CD) | Docker manuel + SSH |
|---|---|---|
| Preuve & audit | Workflow versionné, journaux centralisés par run | Dépend des notes runbook et de l’historique shell |
| Latence de mise en prod | Minutes après merge si gates courts | Immédiat si vous êtes déjà connecté |
| Surface des secrets | Secrets Actions + déploiement distant à durcir | Clés SSH sur poste et VPS ; rotation artisanale |
| Complexité initiale | YAML, environnements, jetons GitHub | Compose ou docker run, pare-feu, systemd |
Pour structurer l’isolation réseau, l’egress et la gestion des secrets lorsque la CI déclenche des jobs sensibles vers un VPS, voir aussi 2026 — essais d’outillage IA à court cycle et rafales batch : Mac cloud quotidien vs VPS léger — matrice isolation, egress et secrets (FAQ) : la logique « budget de confiance » est la même pour une passerelle exposée.
Étapes reproductibles — déploiement Docker manuel
Cette voie privilégie la prévisibilité : vous touchez le serveur, vous validez le digest d’image, vous redémarrez proprement.
- 1. Figez un tag d’image et notez son digest ; évitez
:latesten production. - 2. Sauvegardez le répertoire de données ou le volume nommé OpenClaw avant remplacement.
- 3. Appliquez la nouvelle image avec la même carte de ports et variables d’environnement.
- 4. Vérifiez le healthcheck local (
curlloopback) puis la terminaison TLS (Nginx/Caddy). - 5. Documentez la commande exacte et l’horodatage dans votre ticket interne.
Étapes reproductibles — GitHub Actions (schéma)
Le principe : build ou promotion d’artefact sur GitHub, puis étape distante sur le VPS via SSH ou runner auto-hébergé. Gardez les secrets dans GitHub, limitez les permissions du compte machine et séparez « staging » et « prod » par environnements.
# .github/workflows/deploy-gateway.yml — squelette on: push: branches: [main] jobs: deploy: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: Pull & restart on VPS run: | ssh deploy@${{ secrets.VPS_HOST }} \ 'docker compose pull && docker compose up -d'
FAQ
Faut-il obligatoirement passer par Docker ?
Non : certaines équipes installent via paquets ou binaire et supervisent avec systemd. Docker facilite le rollback par tag ; sans conteneur, gardez deux répertoires versionnés et un lien symbolique « courant ».
GitHub Actions remplace-t-il un inventaire d’actifs ?
Non. Les workflows simplifient le déploiement mais pas la cartographie des ports ouverts, des certificats ni des dépendances transitives. Maintenez une liste vivante des endpoints exposés.
Comment tester sans casser la prod ?
Dupliquez le compose sur un second port ou un sous-domaine ; réutilisez les mêmes variables mais des jetons limités. Promouvez ensuite la configuration validée vers le hostname public.
Que journaliser en premier en incident ?
Version d’image, digest, variables sensibles masquées, extrait des journaux gateway et état du reverse proxy. Ces quatre éléments suffisent souvent à distinguer régression applicative et problème TLS.
Quand la passerelle Linux suffit… et quand un Mac cloud aide
Ce guide parle surtout de VPS Linux : léger, accessible, idéal pour exposer une Gateway avec TLS et des webhooks. Mais dès que votre chaîne comporte des builds Apple (signature, outillage Xcode, captures notarisées) ou une console macOS pour reproduire un bug « comme chez le client », un Mac mini M4 en cloud évite de mélanger ces étapes fragiles avec votre nœud Linux : vous gardez Linux pour l’ingress stable et macOS pour les artefacts qui exigent l’écosystème Apple.
Sur Apple Silicon, la mémoire unifiée et les perf/Watt excellentes du M4 réduisent les temps d’attente sur ces tâches ponctuelles mais coûteuses ; macOS reste extrêmement stable pour des sessions longues, avec Gatekeeper et SIP comme filets de sécurité. En termes de coût total, une petite machine dédiée au bon OS évite les contournements qui s’accumulent sur une seule VM « tout-en-un ».
Si vous séparez ainsi Linux et macOS dans votre chaîne, VPSSpark Cloud Mac mini M4 est un point d’entrée simple pour la partie Apple — voir les offres Mac cloud et compléter votre VPS sans compromettre la passerelle.