Linux 雲主機上的 OpenClaw Gateway,關鍵在誰能推上線與能否回到上一 digest。GitLab CI/CD 把腳本與稽核收進 MR;純 SSH 首通/救火快、巴士因子高。對照 GitHub Actions CI/CD 對手動 Docker 決策 FAQ;Runner 標籤見 GitLab CI 自託管 macOS Runner 參數 FAQ。
CI/CD
合併請求即稽核軌跡
SSH
首通與救火路徑最短
digest
兩條路都應鎖定
決策矩陣:何時偏向 GitLab 管線、何時偏向純 SSH
以「出事時較不後悔」為準;另一條路仍可能可行。
| 關注點 | GitLab CI/CD 自動發佈 | 純 SSH 手工更新 |
|---|---|---|
| 多人協作與稽核 | 強——MR、遮罩變數、受保護分支 | 弱——需完整 Runbook |
| 首通/深夜救火 | 可能慢——Runner、權杖、出口須先備妥 | 通常快——直接驗證 compose/binary |
| 機密輪替 | Deploy Token/CI 變數分層,減少長效 SSH | 風險在金鑰與 shell 歷史 |
| 併發部署 | 需手動 gate、mutex,防 pipeline 互蓋 | 靠約定,易撞車 |
實務折衷
「SSH 打通+把成功步驟漸進寫進 `.gitlab-ci.yml`」:日常升級走 MR,緊急保留 SSH 回退。
管線避坑(精簡)
變數外洩:勿把 `.env` 打進 Artifact;deploy log 勿長開 debug。Runner 與 hop:本機 shell executor 與 Runner→SSH→VPS 網路假設不同,Webhook 與防火牆須重畫。健康檢查:重啟後應等 Gateway 就緒。併發 pipeline:hotfix 與 MR 並行要有鎖,防舊 digest 覆寫新 digest。
`.gitlab-ci.yml` 部署骨架(示意)
# main、手動 play;DIGEST 由前序 job 鎖定
deploy_gateway:
stage: deploy
rules:
- if: '$CI_COMMIT_BRANCH == "main"'
when: manual
script:
- ssh deploy@$PROD_HOST "set -euo pipefail; ... @$DIGEST ..."
長效 SSH
以 deploy 專用帳號+受限命令降風險;root 金鑰掛 Runner 等於把 RTO 押在單檔外洩與否。
FAQ:單人低頻可純 SSH;要交接或審計就值得 CI。build 在雲、deploy SSH 亦可,digest 與回滾劇本須一致。
在雲端 Mac mini 上,閘道與原生流水線更容易對齊
Linux 閘道適合 webhook 與低成本常駐;簽署與 Xcode 周邊仍多在 macOS。雲端 Mac mini M4 具 SSH、Homebrew、按需容器;統一記憶體利於除錯與自動化並存,待機約 4W。
macOS 崩潰率低,Gatekeeper/SIP/FileVault 可縮小憑證暴露面。
若你希望 Linux 閘道 與 Apple 原生產線 共用同一套 Git 紀律,VPSSpark 雲端 Mac mini M4 是把控制面與產物面銜接起來的務實跳板——立即了解套餐方案,讓 VPS 保持精簡,把只能留在 macOS 的事交給對的機器。