VPSSpark Blog
← Retour au journal

2026 — OpenClaw Gateway en production sur Linux : openclaw onboard, openclaw doctor / openclaw fix, HTTPS Nginx ou Caddy, montée de version et rollback

Notes serveur · 2026.04.15 · ~7 min de lecture

Passerelle OpenClaw sur VPS Linux : TLS, reverse proxy et runbook de mise à jour

Exposer OpenClaw comme passerelle (Gateway) sur un petit VPS Linux, ce n'est pas « coller un fichier de config » : il faut des ports prévisibles, une source de vérité pour les jetons d'authentification, une terminaison TLS que l'on peut faire tourner, et un chemin de retour arrière quand la CLI avance plus vite que votre runbook. Pour l'empilement d'installation (curl, Docker, checks), voir Déploiement OpenClaw 2026 sur VPS Linux cloud : installation curl vs Docker, vérifications et FAQ des erreurs ; pour une console macOS temporaire pendant une fenêtre de maintenance sensible, Builds d'urgence et revue App Store en 2026 : acheter un Mac ou louer un Mac cloud à la journée ou à la semaine ? reste un filet réaliste.

18789
Port loopback Gateway cité dans les guides QuickStart
TLS
Terminer au bord (Nginx/Caddy), pas sur l'interface publique du worker
backup
Instantané d'état avant chaque upgrade risquée

Ce qui compte vraiment dans openclaw onboard

L'assistant d'accueil reste le moyen le plus rapide d'obtenir un openclaw.json cohérent, un emplacement de workspace et un récit d'auth Gateway — surtout sous Linux où PATH, Node et les unités systemd varient selon l'image. Traitez le wizard comme un contrat avec vous dans six mois : choisissez les adresses d'écoute (loopback, LAN ou tailnet), figez le flux des jetons (fichier, variable d'environnement ou SecretRef) et décidez si l'installateur de service doit gérer les redémarrages. Des drapeaux non interactifs existent pour du cloud-init, mais la première passe production devrait être interactive : un humain valide ports, mode d'auth et périmètre des canaux.

La CLI documente aussi openclaw setup pour l'initialisation avec des options d'onboarding ; notez la sortie de openclaw config file et l'utilisateur UNIX propriétaire afin que vos scripts de reconstruction n'écrivent jamais dans le mauvais répertoire personnel.

openclaw doctor et l'alias --fix (les réparations vivent ici)

Les correctifs automatiques sont regroupés sous openclaw doctor : utilisez --repair ou son alias --fix pour appliquer des réparations, --non-interactive pour l'automatisation lorsque seules des migrations sûres sont attendues, et --deep si vous soupçonnez des installations Gateway dupliquées après de vieux essais. Si les clients reçoivent soudain des réponses « non autorisé » sans changement Git apparent, comparez la config sur disque aux surcharges d'environnement — d'anciennes exports de shell restent une fausse piste classique. Lorsque les canaux semblent malades alors que le processus tourne, commencez par openclaw channels status --probe et laissez les indices vous ramener vers doctor plutôt que d'éditer à moitié l'arbre à la main.

Étapes reproductibles sur un cloud Linux (courtes, avec opinion)

Provisionnez Ubuntu 22.04/24.04 LTS ou Debian 12, créez un utilisateur UNIX dédié, installez la distribution OpenClaw standardisée par l'équipe, puis lancez l'onboarding une fois depuis un TTY ou SSH réel avec une locale UTF-8 saine. Dans le groupe de sécurité, n'ouvrez que le nécessaire : SSH depuis des IP d'admin, 80/443 si TLS se fait sur cette machine, et surtout pas le port Gateway en 0.0.0.0/0. Activez les mises à jour de sécurité non surveillées pour le noyau, mais cadenassez les montées de version OpenClaw sur des créneaux de maintenance : les drapeaux de fonctionnalités bougent vite entre mineures.

Vérifications rapides après onboarding 
# Adapter le chemin d'installation (paquet ou tarball)
openclaw --version
openclaw config validate
openclaw gateway status
openclaw health

Reverse proxy HTTPS Nginx ou Caddy (TLS au bord, HTTP vers la loopback)

Laissez la Gateway parler HTTP en clair sur 127.0.0.1 et déplacez certificats, HTTP/2, limites de débit et journaux d'accès vers le proxy périphérique : le renouvellement ACME reste simple et vous évitez d'exposer Node directement. Émettez les certificats avec votre client ACME habituel, puis proxifiez vers l'écouteur loopback défini lors de l'onboarding (vérifiez le port réel avec openclaw gateway status plutôt qu'un extrait de config périmé). Conservez les en-têtes WebSocket si votre UI ou vos clients en flux en ont besoin, imposez un plafond d'upload raisonnable pour éviter qu'une pièce jointe énorme ne bloque le worker, et reproduisez la même cible loopback sous Caddy avec un court bloc reverse_proxy si c'est votre bord préféré.

Nginx (bloc serveur illustratif) 
server {
  listen 443 ssl http2;
  server_name claw.example.com;
  # ssl_certificate ...; ssl_certificate_key ...;

  location / {
    proxy_pass http://127.0.0.1:<port-gateway>;
    proxy_http_version 1.1;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
  }
}

Montée de version et retour arrière sans drame

Avant openclaw update ou un bump de paquet, exécutez openclaw backup create --verify (ou instantané de ~/.openclaw plus workspace via votre orchestrateur) et exportez l'openclaw.json actif dans un dépôt d'ops privé. Upgradez pendant une fenêtre où une courte coupure est acceptable, puis lancez une fois openclaw doctor --repair pour normaliser les champs migrés. Le rollback, c'est « restaurer l'archive ou le snapshot, réinstaller la build CLI précédente, redémarrer l'unité » — s'il dépasse dix minutes, votre périmètre de sauvegarde est trop étroit.

FAQ rangées sous « bord Gateway »

Faut-il une commande séparée openclaw fix ? Les réparations passent par openclaw doctor --repair (alias --fix) ; il n'y a pas de openclaw fix autonome dans l'arbre amont que nous suivons.

Pourquoi le navigateur marche et l'automatisation échoue ? Vérifiez SecretRefs de jetons, dérive d'horloge, et si le proxy supprime l'en-tête Authorization — comparez curl en loopback et à travers TLS.

Peut-on sauter HTTPS ? Uniquement sur tailnet de confiance ou VLAN lab ; tout ce qui est joignable depuis Internet public doit terminer TLS et journaliser au proxy.

Coupler un bord Linux durci à un poste macOS silencieux

Une passerelle sur VPS n'est que la moitié du récit : les opérateurs vivent encore dans le terminal, le navigateur et les éditeurs compatibles MCP. Un Mac mini M4 dans le cloud offre l'outil Unix natif, des polices et raccourcis prévisibles pour les longues sessions, et la bande passante mémoire d'Apple Silicon pour les caches locaux quand vous ne tapez pas la Gateway à chaque requête. macOS reste stable sous charges mixtes ; Gatekeeper et SIP réduisent le risque de malware « drive-by » par rapport à beaucoup de portables Windows d'administration, et une consommation idle d'environ 4W rend la session « laisser tourner » peu coûteuse.

Combiner un bord Linux pour TLS et les ports publics avec macOS pour le travail humain garde un coût total de possession raisonnable : moins de pics de ventilateur pendant les compilations, moins de temps perdu en dérive d'environnement, et une pile fournisseur unifiée pour la partie créative de l'équipe.

Si vous préférez héberger ce côté macOS plutôt qu'un mini poussiéreux sous un bureau, le Mac mini M4 cloud VPSSpark reste le point d'entrée pragmatique — découvrez les offres maintenant et gardez vos runbooks Gateway ennuyeusement fiables pendant que le travail intéressant reste rapide.

Offre limitée

Durcir le bord Gateway, garder les opérateurs sur des Mac rapides

TLS Linux à l'avant · onboarding reproductible · sauvegardes avant mise à jour

Retour à l'accueil
Offre limitée Voir les offres