Wenn auf Ihrem entfernten Mac mini M4 Pro mit OpenClaw bereits zwei bis fünf Projekte oder Kunden parallel laufen, ist der Installationspfad nicht mehr der wunde Punkt. Das eigentliche Risiko entsteht durch stille Mitnutzung entlang von fünf Achsen: Daten, Anmeldedaten, Modelle, Plug-ins und Gateway-Port. Ein Kunde aktualisiert ein ClawHub-Plug-in und beim nächsten Kunden brechen die Sessions ein. Ein Projekt teilt seinen API-Key mit einem anderen, und das Rate-Limit des Anbieters legt alle Kunden gleichzeitig lahm. Nach einem Stromausfall wird nur das Gateway neu gestartet, dabei zeigt sich, dass drei Workspaces denselben Pfad ~/.openclaw nutzen und das vermeintliche Backup nie projektgenau existierte. Dieser Beitrag liefert einen praxisnahen Bauplan: die fünf Isolationsachsen, drei konkrete Topologien, Plug-in-Pinning, Trennung der Modell-Keys, ein Migrations-Runbook für Regionswechsel sowie eine reale 1-zu-5-Projekt-Fallstudie mit zwölf nachvollziehbaren Schritten. Preise und Verfügbarkeit folgen der NOVAKVM Mietpreise-Seite; Bestellungen laufen über die Bestellseite; Hinweise zu Remote-Betrieb und Sicherung finden Sie im Hilfezentrum. Innerhalb des Blogs ergänzen sich First-Run-Closure, 2026.5.x Produktion, Upgrade und LaunchAgent, install.sh und Disk sowie Kanäle und Reverse Proxy.
Nach der Lektüre können Sie drei Fragen beantworten: erstens, welche der drei Topologien zu Ihrem Team passt; zweitens, wie Sie OpenAI-, Anthropic- oder selbst gehostete Modell-Keys zwischen Projekten so trennen, dass ein einzelnes Limit nicht alle Kunden trifft; drittens, welche Dateien und Befehle nötig sind, um eine vollständige OpenClaw-Installation in eine andere Stadt zu verlegen, und in welcher Zeit das geschieht. Befehle und Versionsnummern unten folgen dem offiziellen Repository und der offiziellen Dokumentation; bitte öffnen Sie die Links nach jeder Veröffentlichung erneut zur Kontrolle. Bei der Verarbeitung personenbezogener Daten in Cloud-Knoten orientiert sich der Beitrag an den Vorgaben der DSGVO und der internen Datenflusskontrolle.
[ SECTION_01 ] // BOUNDARY_MAP Fünf Isolationsachsen, die im Multi-Projekt-Betrieb zuerst brechen
Vor jeder Topologie-Diskussion sollte feststehen, was überhaupt isoliert werden muss. Wird eine der fünf Achsen vergessen, folgt fast unweigerlich der nächste Vorfall.
- Datenisolation (Workspace und Verlauf): Konversationskontext, Dateioperationen und Skill-Logs jedes Projekts gehören in eigene Workspace-Verzeichnisse. Ein gemeinsamer Baum führt dazu, dass eine versehentliche Löschung sämtliche Kundenhistorien beschädigt.
- Anmeldedatenisolation (API-Keys, Channel-Token, SSH-Schlüssel): Keys werden pro Projekt injiziert. Ein gemeinsamer Key über fünf Kunden bedeutet, dass ein einzelnes Rate-Limit alle Mandanten gleichzeitig betrifft, ohne klare Zuordnung.
- Modellisolation (Anbieter und Modellversion): Projekte fixieren häufig unterschiedliche Modellfamilien und Kontextfenster. Echte Isolation bedeutet vor allem unterschiedliche Upgrade-Rhythmen.
- Plug-in-Isolation (ClawHub-Skills, Tools, Beta-Channel): Eine geteilte Plug-in-Hierarchie verwandelt jedes Update in einen kollektiven Rollout. Echte Mehrmandantenfähigkeit verlangt projektweise Pinning.
- Gateway-Isolation (Port, Daemon, Reverse-Proxy-Pfad): Standardmäßig liegt das OpenClaw-Gateway auf Port 18789. Bei mehreren Projekten müssen Portbelegung, Daemon-Eigentümer, launchd-Kontext und externe Authentifizierung pro Projekt geplant werden, sonst zieht der Neustart eines Projekts die Nachbarn mit.
- Beobachtbarkeit: Logs, Plattenbelegung und Health-Probes müssen ein Projekt-Tag tragen, sonst fällt die Fehleranalyse zurück auf vollflächiges
grepund Remote-Reaktionszeiten geraten in den zweistelligen Minutenbereich.
OpenClaw skaliert nicht an einer Kapazitätsgrenze, sondern an Kopplung. Die fünfdimensionale Isolationsmatrix in das Change-Ticket aufzunehmen, bringt mehr Stabilität als ein Hardware-Sprung um eine Stufe nach oben.
[ SECTION_02 ] // TOPOLOGY_MATRIX Single-Process, Multi-User oder Multi-Port: Der Vergleich für die Realität
In der Praxis tragen fast alle Setups eine von drei Topologien. Die folgende Matrix richtet typische Szenarien, Isolationsstärke, Wartungsfenster, Rollback-Aufwand und eine empfohlene Hardwaregrenze nebeneinander aus, damit der Betrieb nicht zwischen Lauffähigkeit und Stabilität pendelt.
| Achse | A · Single-Process, viele Workspaces | B · Mehrere macOS-Benutzer und Prozesse | C · Mehrere Instanzen mit eigenen Ports |
|---|---|---|---|
| Typischer Einsatz | Zwei bis drei interne Projekte, Operator und Entwickler in einer Person | Zwei bis vier Produktlinien mit strikter Datentrennung | Hosted-Mandanten, projektspezifisches Upgrade- und Abrechnungsmanagement |
| Daten | Gemeinsames ~/.openclaw, nur Konvention |
Native Trennung über macOS-Benutzer | Pro Instanz eigener Arbeitsbaum und Log-Root |
| Anmeldedaten | Manuelles .env.local pro Workspace |
Eigener Schlüsselbund pro Benutzer, sauberste Lösung | Eigene Konfiguration und Umgebung pro Instanz |
| Plug-ins | Geteilter ClawHub-Cache, Pinning pro Projekt erschwert | Cache pro Benutzer, separates Pinning möglich | Cache pro Instanz, feinkörnige Canary-Phasen |
| Gateway-Port | Einzeln (Standard 18789), Trennung über Pfade | Pro Benutzer eigenes Gateway, Ports trennbar | Explizite Bindung 18789 / 18790 / … |
| Wartungsfenster | Ein Upgrade trifft alle Projekte | Versetzbar pro Benutzer | Eigenes Fenster pro Instanz, kleinste Wirkfläche |
| Rollback | Einfach, aber mit Breitenwirkung | Mittel (Benutzerwechsel nötig) | Höherer Aufwand, kleinste Auswirkung |
| Hardware-Untergrenze | M4 24 GB / 512 GB | M4 Pro 48 GB+ / 1 TB | M4 Pro 64 GB / 2 TB plus parallele Ressourcen |
Praktische Empfehlung: mit A starten, bei Vertraulichkeitsanforderungen einzelner Kunden auf B umschalten und erst für externe Mehrmandantenfähigkeit auf C heben. Wer von A direkt nach C springt, schreibt Verzeichnisse, Dienste und Proxy-Regeln nahezu vollständig neu, was für die meisten kleineren Teams unnötig ist. Bei Multi-User- und Multi-Port-Setups gehören Reverse Proxy und die NOVAKVM-Region in dieselbe Bewertungsrunde: Standort der Kunden, Datenresidenz und Modell-Latenz werden bewertet, dann fällt die Entscheidung für eine Stadt.
[ SECTION_03 ] // PIN_AND_SECRETS ClawHub-Plug-ins fixieren und Modell-Keys trennen
Die gefährlichste Operation in einem geteilten OpenClaw-Setup lautet: einen einzigen Kunden frühzeitig auf eine neue Plug-in-Version heben. Ohne explizites Pinning hebt openclaw plugin update alle Workspaces gleichzeitig auf den neuesten Stand, jede Verhaltensänderung breitet sich sofort aus. Das folgende Skript zeigt das Mindestmaß an Hygiene: separate Verzeichnisse für Anmeldedaten je Projekt, explizite Versionspins, Stable als Default-Channel und Beta nur in einem benannten Workspace.
# Verzeichnisbaum pro Projekt (acme = Kunde, internal = R&D, pilot = Test)
novakvm@m4pro-sg-01:~$ mkdir -p ~/.openclaw/secrets/{acme,internal,pilot}
novakvm@m4pro-sg-01:~$ chmod 700 ~/.openclaw/secrets
# Provider-Keys ausschliesslich pro Projekt, nie kopiert
novakvm@m4pro-sg-01:~$ cat > ~/.openclaw/secrets/acme/.env.local <<'EOF'
OPENAI_API_KEY=sk-proj-acme-xxxx
ANTHROPIC_API_KEY=sk-ant-acme-yyyy
OPENCLAW_DEFAULT_PROVIDER=anthropic
OPENCLAW_DEFAULT_MODEL=claude-sonnet-2026-stable
EOF
# Plug-in-Status vor jeder Aenderung sichern
novakvm@m4pro-sg-01:~$ openclaw plugin list --json | jq '.[] | {name,version,channel}'
[OK] mailbridge 1.4.2 (stable)
[OK] notion-sync 0.9.7 (stable)
[OK] code-review 2.0.0-beta.3 (beta)
# Unstable Variante pinnen, Default-Channel auf stable zwingen
novakvm@m4pro-sg-01:~$ openclaw plugin pin code-review@1.9.5
novakvm@m4pro-sg-01:~$ openclaw config set plugin.default_channel=stable
# Beta nur im Workspace internal aktiv (echte Canary, kein Domino)
novakvm@m4pro-sg-01:~$ openclaw --workspace internal plugin install code-review@2.0.0-beta.3 --channel beta
[WARN] Bei workspaceuebergreifenden Aktionen --workspace immer explizit setzen.Drei nicht verhandelbare Regeln:
- Ein Projekt, ein Key. Niemals einen OpenAI- oder Anthropic-Key über mehrere Kundenprojekte teilen. Ein einzelnes Limit nimmt sonst alle gleichzeitig vom Netz.
- Vor dem Update auflisten.
openclaw plugin list --json > before.jsonans Change-Ticket heften, nach dem Updatediffausführen. Beta-Versionen werden in der Produktion standardmäßig blockiert. - 700 für den Secrets-Baum.
~/.openclaw/secrets/<project>/.env.localist die kleinste auditierbare Einheit. Nicht im Git-Repository ablegen, niemals im geteilten Bildschirmcaten.
[ SECTION_04 ] // MIGRATION_RUNBOOK Cross-Region-Backup und Migration: OpenClaw in eine andere Stadt verlegen
Nach mehreren Monaten Multi-Projekt-Betrieb gibt es typischerweise drei Auslöser für eine Migration: steigende Kosten am aktuellen Standort, Verlagerung des Kundenstamms oder ein Warm-Standby zur Vermeidung eines Single Point of Failure. Da OpenClaw seinen Zustand überwiegend in Dateien hält, lassen sich ~/.openclaw, secrets, das LaunchAgent-Plist sowie Reverse-Proxy- und Gateway-Material so verpacken, dass die Wiederherstellung auf einem frischen Mac in Minuten möglich ist. Das Skript unten ist die Vorlage, die wir für eine Umstellung von Singapur nach US-West verwendet haben; in Kombination mit der NOVAKVM Mietpreise-Seite entscheidet sich daraus die Zielregion.
# 1) Quellknoten: Version, Plug-in-Liste und Gateway-Health festhalten
novakvm@m4pro-sg-01:~$ openclaw --version > /tmp/openclaw.version
novakvm@m4pro-sg-01:~$ openclaw plugin list --json > /tmp/openclaw.plugins.json
novakvm@m4pro-sg-01:~$ curl -fsS http://127.0.0.1:18789/health > /tmp/openclaw.health.before
# 2) Quellknoten: Zustand archivieren (Caches ausschliessen)
novakvm@m4pro-sg-01:~$ tar --exclude='.openclaw/cache' --exclude='.openclaw/tmp' \
-czf /tmp/openclaw-state-2026-05-13.tgz \
-C ~ .openclaw \
Library/LaunchAgents/ai.openclaw.gateway.plist
[OK] state archive: 412 MB (workspaces=3, plugins=7, secrets=3 projects)
# 3) Transport ueber SSH ProxyJump, niemals offene Ports im Internet
novakvm@m4pro-sg-01:~$ scp /tmp/openclaw-state-2026-05-13.tgz \
novakvm@m4pro-usw-01:/tmp/
# 4) Zielknoten: gleiche OpenClaw-Major und Node 24, dann entpacken
novakvm@m4pro-usw-01:~$ tar -xzf /tmp/openclaw-state-2026-05-13.tgz -C ~
novakvm@m4pro-usw-01:~$ launchctl bootstrap gui/$(id -u) \
~/Library/LaunchAgents/ai.openclaw.gateway.plist
# 5) Zielknoten: Version, Plug-in-Liste, /health vergleichen
novakvm@m4pro-usw-01:~$ openclaw plugin list --json | diff - /tmp/openclaw.plugins.json
novakvm@m4pro-usw-01:~$ curl -fsS http://127.0.0.1:18789/health
{"status":"ok","gateway":"18789","workspaces":3,"plugins":7}
[WARN] Bei abweichender macOS-Major zuerst 30 Minuten Canary im Workspace fahren.Drei Lehren: erstens vor dem Umschalten vergleichen; openclaw --version, plugin list und /health gehören in das Migrations-Skript, nie nur ins Auge. Zweitens Secrets und Plist getrennt verpacken; der Transport läuft über SSH ProxyJump, nicht über offenes HTTP. Drittens werden bei Regionswechseln Kundennähe, Modell-Latenz und Preis in dieser Reihenfolge gewichtet; der wirkliche Engpass ist meist die First-Token-Latenz, nicht die Monatsrechnung. Wer personenbezogene Daten zwischen EU- und Nicht-EU-Regionen verschiebt, dokumentiert die Migration parallel im Datenflussregister gemäß DSGVO.
[ SECTION_05 ] // RUNBOOK_AND_FAQ 1-bis-5-Projekt-Fall, Zwölf-Schritte-Runbook und FAQ
Ein vierköpfiges Indie-Team auf einem NOVAKVM Remote-Mac durchlief diese reale Skalierung (Daten anonymisiert):
- Monat 1 (1 Projekt, Topologie A): einzelner M4 24 GB / 512 GB, ein Workspace, Gateway 18789. Etwa 1.200 Nachrichten täglich, Disk-Wachstum ~0,3 GB pro Woche.
- Monat 3 (3 Projekte, A plus Multi-Workspace): dieselbe Maschine mit
--workspacepro Kunde, getrennten Secrets und gepinnten ClawHub-Versionen. Etwa 4.700 Nachrichten täglich, ~1,1 GB pro Woche, erste Anzeichen von Upgrade-Verkettung. - Monat 5 (Wechsel auf B): Kunden-Compliance verlangt strikte Datentrennung; Umzug auf M4 Pro 48 GB / 1 TB, ein macOS-Benutzer pro Kunde, jeweils eigenes Gateway.
- Monat 7 (Wechsel auf C plus regionsübergreifender Warm-Standby): fünf Projekte, M4 Pro 64 GB / 2 TB plus parallele Ressourcen, Ports 18789–18793, wöchentliche Synchronisation von
~/.openclawauf einen Schwester-Knoten in einer anderen Region.
Zwölf-Schritte-Runbook (mit Rollback-Befehlen):
- Projekte und Compliance erfassen. Liste der Projekte, Standort des Vertragspartners und Sichtbarkeitsregeln dokumentieren, dann A, B oder C wählen.
- Secrets-Baum pro Projekt anlegen mit
chmod 700und projektgenauer.env.local. - OpenClaw-Major fixieren. Wochenübergreifende Auto-Upgrades sperren, Aktualisierungen nur im Wartungsfenster.
- Plug-ins zuerst auflisten.
openclaw plugin list --json > before.json, danachdiff. - Alle Plug-ins auf Stable pinnen. Default-Channel stable, Beta ausschließlich in einem benannten Workspace.
- Gateway-Probe einrichten. Lokal
curl -fsS http://127.0.0.1:18789/healthjede Minute, Alarm erst nach drei aufeinanderfolgenden Fehlern. - Disk-Trend protokollieren.
du -sh ~/.openclawwöchentlich, Cleanup oder Upgrade ab dem doppelten Mittelwert. - Secrets und Plist wöchentlich kalt sichern. Verschlüsselt in den Object-Storage, getrennt vom Workspace-Backup.
- Cross-Node-Restore monatlich üben. Skript aus Abschnitt 4 nutzen, RTO-Ziel 30 Minuten.
- Vor Upgrades canary fahren. Neuer Workspace
canary, 24 Stunden Regression vor Promotion. - Minimaler Rollback-Werkzeugkasten:
openclaw plugin pin <name>@<old>,launchctl kickstart -k gui/$(id -u)/ai.openclaw.gatewayund im Notfalltar -xzf openclaw-state-<date>.tgz. - Exit-Check vor dem Aufschalten: Version, Plug-in-Liste,
/healthund Workspace-Inventar mit dem Stand vor dem Wartungsfenster vergleichen.
Belegbare Eckdaten (mindestens drei):
- Größe des Zustandsbaums: Drei Workspaces, sieben Plug-ins und drei Secret-Sätze ergeben nach fünf Monaten Produktion etwa 400 bis 600 MB ohne Cache und Tmp und sind damit für ein wöchentliches Archiv gut handhabbar.
- Health-Endpunkte des Gateways: OpenClaw veröffentlicht standardmäßig
/healthund/readyauf 127.0.0.1:18789 und liefert damit einen objektiven Vergleichspunkt vor und nach jeder Veränderung. - Multi-Instanz-Grenze: Auf einem M4 Pro mit 64 GB laufen fünf eigenständige Gateways (Ports 18789–18793) stabil, sofern mindestens 30 Prozent Plattenreserve und 8 GB Speicher frei bleiben; ab vier Projekten lohnen parallele Ressourcen.
- Cross-Region-RTO: Das Replay eines etwa 500 MB großen Zustands zwischen vergleichbaren M4 Pro Knoten benötigt typischerweise 15 bis 30 Minuten; die SCP-Bandbreite zwischen Regionen ist der dominierende Faktor.
FAQ (häufigste Tickets):
- Wie viele Workspaces verträgt ein Mac? Auf M4 mit 24 GB rund drei parallele, auf M4 Pro mit 48 GB etwa fünf; ab fünf gleichzeitig hochbelasteten Projekten empfehlen sich 64 GB und 2 TB sowie parallele Ressourcen.
- Portkollision am Gateway?
openclaw config set gateway.port=18790. Bei Multi-Instanz-Setups die Ports 18789–18793 vorab in der Konfigurationsmatrix reservieren. - ClawHub-Update gebrochen, wie zurück?
openclaw plugin pin <name>@<old>in Kombination mitlaunchctl kickstart -k; bei Schema-Brüchen das Zustandsarchiv der Vorwoche entpacken. - Onboarding nach Regionswechsel nötig? Nein, sofern die OpenClaw-Major identisch ist; Archiv entpacken, 30 Minuten Canary, dann umschalten.
- Geteilter Modell-Key über Projekte – wird das limitiert? Mit hoher Wahrscheinlichkeit ja. Provider drosseln pro Key; bleiben Sie bei einem Key pro Projekt.
Multi-Projekt-OpenClaw verlangt stabile Hardware, planbare Wartungsfenster und Bandbreite, die sich proben lässt. Geteilte Virtualisierung straft mit Noisy-Neighbor-Effekten und ungeplanten Host-Reboots, eigene Mac mini sind beim Wechsel der Region oder bei wechselnden Compliance-Anforderungen unflexibel. Für Produktionsumgebungen mit parallelen Projekten, kontrollierten Wartungsfenstern und probbarem Cross-Region-Failover ist die Mac mini Cloud-Vermietung von NOVAKVM in der Regel die bessere Lösung: dedizierte Apple-Silicon-Knoten in sechs Regionen (Singapur, Japan, Korea, Hongkong, US-Ost, US-West), tageweise, wochenweise oder monatsweise buchbar. Ein M4 Pro mit 64 GB und 2 TB trägt mehrere Workspaces parallel, parallele Ressourcen erweitern den Betrieb auf fünf oder mehr Gateway-Instanzen. Vor dem nächsten Wartungsfenster wandert das Zwölf-Schritte-Runbook in das Change-Ticket. Stabile Multi-Projekt-Praxis bedeutet, die Grenzen aufzuschreiben, bevor der Vorfall sie aufschreibt.