小さな Linux VPS で Gateway を「外向きに近い」形で動かすとき、肝は退屈な信頼性です。ポートの意味を固定し、トークン運用を一箇所に集約し、TLS はローテーションできる層で終端し、CLI の更新速度に Runbook が追いつかない日のロールバック経路を先に決めておく。インストールレイアウトは 2026 OpenClaw Linux クラウドVPS実践:curlインストールとDockerの比較、環境チェック、よくあるエラーFAQ、macOS 側の常駐と差分は 2026、クラウドMacでOpenClawを置く:Linux VPSと違う環境チェック、launchd常駐、再現できるトラブルシュートFAQ と併せて読むと、エッジと作業端末の切り分けが速くなります。
openclaw onboard で本当に決めたいこと
オンボーディングウィザードは、まとまった openclaw.json、ワークスペースの置き場所、Gateway の認証の流れを一気に揃える最短ルートです。Linux では PATH や Node、systemd ユニットの置き方がイメージごとに違うので、ウィザードを「未来の自分との契約」として扱い、バインドアドレス(ループバック/LAN/Tailnet 等)を意図的に選び、トークンをファイルにするか環境変数や SecretRef に寄せるかをメモに残し、サービスインストーラに再起動を任せるかどうかを最初に決めます。cloud-init 向けの非対話フラグもありますが、本番初回は対話でポート・認証モード・チャネル範囲を人間が確認した方が安全です。
公式 CLI の表記ではガイド付きセットアップが openclaw onboard、初期化にオンボーディング系フラグを足したいときが openclaw setup として整理されています。openclaw config file の出力と、実際に書き込んでいる UNIX ユーザーをログに残し、再構築スクリプトが誤ったホームへ書かないようにします。
openclaw doctor と --fix エイリアス(修復の置き場)
上流では修復が openclaw doctor に集約されています。自動修正を当てるなら --repair またはそのエイリアス --fix、自動化では安全な移行だけを許可する --non-interactive、過去の実験で Gateway が二重に入っていそうなら --deep から疑います。Git 上は何も変えていないのにクライアントだけ 401 が増えたときは、ディスク上の設定と環境変数の上書きを突き合わせてください。古いシェルセッションに残った export は定番の偽情報です。チャネルがおかしいのにプロセスは生きているときは、いきなり設定ツリーを手編集する前に openclaw channels status --probe でヒントを拾い、doctor に戻る方が早いことが多いです。
Linux クラウドホストの再現手順(短く、意見つき)
Ubuntu 22.04/24.04 LTS か Debian 12 を用意し、専用 UNIX ユーザを切り、チームで標準化した配布物を入れたうえで、ロケールと UTF-8 が分かった TTY か SSH から一度だけオンボーディングします。セキュリティグループは 22/tcp を管理 IP のみ、TLS をこのホストで終端するなら 80/443 を全世界、Gateway ポートを 0.0.0.0/0 に直開けしない、が最低限です。カーネル系は無人アップデートを有効にしつつ、OpenClaw 本体はマイナーごとにフラグが動くのでメンテ窓に寄せて更新します。
# インストール先は tarball/パッケージのレイアウトに合わせて読み替え
openclaw --version
openclaw config validate
openclaw gateway status
openclaw health
Nginx か Caddy で HTTPS 逆プロキシ(TLS 終端はエッジ、中継はループバック)
Gateway には 127.0.0.1 上の素の HTTP だけ話させ、証明書・HTTP/2・レート制限・アクセスログは手前のリバプロに寄せます。ACME の更新も単純になり、Node を外向きに晒しません。好みの ACME クライアントで証明書を発行し、実際に listen しているポートは古いスニペットではなく openclaw gateway status で確認します。Control UI やストリーミング用に WebSocket を使うなら Upgrade 系ヘッダを落とさないこと、大きな添付でワーカーが詰まらないようアップロード上限を保守的に置くこと。Caddy なら短い reverse_proxy サイトブロックで同じループバック先を鏡写しにできます。
server {
listen 443 ssl http2;
server_name claw.example.com;
# ssl_certificate ...; ssl_certificate_key ...;
location / {
proxy_pass http://127.0.0.1:<gateway-port>;
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}
アップグレードとロールバックを騒がせずに
openclaw update やパッケージ更新を入れる前に openclaw backup create --verify(または ~/.openclaw とワークスペースをオーケストレータでスナップショット)を取り、稼働中の openclaw.json をプライベートな運用リポジトリへ export します。短い切断が許容できる窓で上げ、あとで一度 openclaw doctor --repair を走らせて移行済みフィールドを正規化します。ロールバックは「tar かスナップショットを戻し、前の CLI ビルドを入れ直し、ユニットを再起動」——十分に切れないならバックアップの範囲が狭すぎます。
FAQ(Gateway エッジで整理する質問)
別名の openclaw fix コマンドは必要? 修復は openclaw doctor --repair(エイリアス --fix)に載っています。追跡している上流ツリーに独立した openclaw fix はありません。
ブラウザは通るのに自動化だけ失敗する。 トークンの SecretRef、時刻ズレ、プロキシが Authorization を削っていないかを確認し、ループバック直叩きと TLS 越しの curl を突き合わせます。
HTTPS を省いてもよい? 信頼できる tailnet や検証 VLAN 以外では避け、インターネットから到達可能な経路は TLS 終端とプロキシ側ログをセットにしてください。
固い Linux エッジと、静かな macOS 作業環境を組み合わせる
Gateway 用の箱は物語の半分までで、運用者は結局ターミナルとブラウザと MCP 対応エディタにいます。Mac mini M4 のクラウドデスクトップなら、ネイティブな Unix ツールチェインに加え、長時間セッションでもフォントとキーマップがぶれにくく、ローカルキャッシュを触るときは Apple Silicon のメモリ帯域が効きます。macOS は混在負荷でも落ち着き、Gatekeeper と SIP により典型的な Windows 管理用ノートよりドライブバイ系のリスクを下げやすく、待機電力おおよそ 4W なので常時接続のコストも小さめです。
TLS と公開ポートは Linux、人が触る仕事は macOS、という住み分けは総保有コストのバランスが良く、コンパイル中のファン立ち上がりや環境ドリフトで失う時間も減らせます。
デスク下のミニを前提にせず macOS 側もホストしたいなら、VPSSpark のクラウド Mac mini M4 が現実的な出発点です——プランを今すぐ確認し、Gateway の Runbook は退屈なまま、手元の作業だけ速く保ちましょう。