小さな Linux VPS で OpenClaw Gateway を動かすのは単純に見えて、アップグレード・TLS・チャネルトークンが絡むと分岐が増えます。2026年現在、本質のフォークは「Docker を使うかどうか」ではなく、タグ付きイメージと設定を再現可能に押し出す自動化(GitHub Actions)にするか、SSH・compose・手動ロールバックに寄せて運用の透明さを取るかです。どちらも成立しますが、嫌がる障害モードが違います。上流での TLS 終端やプロキシ/NO_PROXY の切り分けが絡む場合は、2026 OpenClaw Linux クラウドVPSと社内/ローカルOllama接続:Gateway上流、TLS終端分離、SSHトンネルとNO_PROXYマトリクス——再現手順と502/タイムアウト層別排障FAQ のマトリクスもあわせて見てください。
意思決定マトリクス:Actions が勝つ場面/SSH が勝つ場面
チェックリストとして使ってください。「◎」は必須ではなく、その懸念がインシデントで顔を出したときの後悔が少ない、という意味です。
| 観点 | GitHub Actions CI/CD | VPS 上の手動 Docker |
|---|---|---|
| チーム規模・バス係数 | 強い──パイプラインが真実の源泉になりやすい | コマンドを逐一記録しないと弱くなりがち |
| 最初の稼働までの時間 | シークレットや Runner 設定で立ち上がりは遅め | 個人運用なら多くの場合いちばん速い |
| アップグレード規律 | タグからの抑制的リリース | ホスト側で latest が漂流しやすい |
| シークレット | GitHub の暗号化シークレットや OIDC パターン | ディスク上の env──権限を締める |
| ロールバック | 直前の digest をジョブ一発で再デプロイ | 直前の compose とボリュームスナップショットを手元に |
再現手順(GitHub Actions → Linux VPS)
概要のみです。レジストリやパスは環境に差し替えてください。狙いは「不変な成果物」と明示的なバージョン固定です。
- ビルド──ワークフローがイメージをビルドし(タグ+ digest)、レジストリへ push。本番では匿名の
latestだけに依存しない。 - シークレット──
SSH_PRIVATE_KEY、ホストフィンガープリント、デプロイ用トークンを Actions の secrets に格納し、デプロイジョブの承認者を絞る。 - リモート適用──ジョブが VPS に SSH し、ビルドした digest を pull、Git 外の小さな env を書き、
docker compose up -d(または同等)を実行。 - ヘルスゲート──ループバックまたは逆プロキシ越しに Gateway のヘルスを curl。TLS や上流ソケットが未準備ならジョブを失敗させる。
- Webhook の対称性──Git 起点の自動化がネイティブビルド側にも連鎖するなら、コールバック URL と検証まわりは 2026年、LinuxクラウドVPSでのOpenClaw × Slack:Botトークン、イベント購読、ゲートウェイへのコールバックURL──再現手順と403/リプレイの段階的FAQ の段階整理と同じ規律で揃えるとハマりが減ります。
# VPS に SSH したあと: export GATEWAY_IMAGE_DIGEST="sha256:…" docker compose pull docker compose up -d curl -fsS http://127.0.0.1:<health-port>/health
再現手順(VPS 上の手動 Docker)
自動化よりも「何がどこに載っているか」の理解を優先するとき向きです。TLS 終端、systemd ユーザユニット、ボリュームマウントの感触を取りにいくフェーズに合います。
- ホスト下地──必要なら 22/443 を許可、Docker と Compose プラグインを入れ、非 root のデプロイユーザを用意。
- ピン留めイメージ──明示的 digest を pullし、compose の横に
versions.txtなどで記録。 - 永続パス──トークン/セッション系ディレクトリを上流ドキュメントに沿ってマウントし、アップグレード前にボリュームをスナップショット。
- 逆プロキシ──nginx や Caddy で TLS 終端。意図しない公開がなければ Gateway はループバック側に置く。
- スモーク──バージョンを上げたあと
openclaw doctor相当を実行。systemd 利用時はjournalctl --userにログを残す。
FAQ
CI/CD がバックアップの代替になるか
なりません。自動化は成果物を載せ替えますが、壊れた状態ディレクトリを蘇らせません。マウントデータのファイルシステムスナップショットや rsync 系の退避を別スケジュールで。
どちらが安いか
GitHub Actions は分数課金とレジストリ保管が乗ります。手動はインシデント時のエンジニア時間がコストになります。デプロイ頻度が週次を超える前は手動も現実的です。
混在──Actions でビルドだけし適用は手動でよいか
問題ありません。CI がイメージを push し、レビュー後に SSH で digest を昇格させる形なら、レジストリには監査痕が残りつつリモート compose 自動化は後回しにできます。
クラウド Mac mini なら、Linux Gateway とネイティブ作業を同じリズムで回せる
Linux VPS の Gateway はコールバック・トークン・常時オン稼働に向いていますが、スタックの另一半は依然として Apple ネイティブのコンパイルと署名です。クラウド Mac mini M4 なら VPS と同様に SSH・Homebrew・(必要なら)コンテナまで一通り揃えつつ、Apple Silicon のユニファイドメモリで Xcode 系ワークロードも途切れにくくなります。待機電力が非常に低く静音で長時間稼働しやすい点は、エッジ寄りの自動化ノードとしても向きます。
macOS は Gatekeeper・SIP・FileVault による防御が厚く、モバイル署名資産に触れるパイプラインではマルウェア面のリスクを抑えやすいという意味でも有利です。同価格帯の汎用 PC と比べて、静音筐体と一体化したハード/ソフトによる安定性が長期運用コストを下げます。
Linux で Gateway を細く保ちつつ Apple だけが担えるビルドをクラウドへ載せ替えるなら、VPSSpark のクラウド Mac mini M4 が現実的な橋渡しになります──プランを今すぐ確認し、制御面と成果物品質を切り離して運用してください。