2026 年 OpenClaw macOS Remote 模式:
SSH 隧道連 NOVAKVM 六地裸金屬 M4 Pro Gateway、Node Host 工具橋接與工作階段 Keepalive 除錯

許多工程師在筆電上跑 OpenClaw macOS 應用程式,卻希望 Gateway 常駐在 新加坡、東京、首爾、香港、美東或美西裸金屬遠端 Mac mini M4 Pro 伺服器 上,筆電只當薄型主控台。最常見的失敗不是 SSH 連不上,而是 Remote 模式只配一半:儀表板透過隧道看起來正常,Node Host 卻從未配對、瀏覽器工具打到錯誤主機,或隧道靜默斷線被誤判成 Gateway 當機。本文說明 Local 對 Remote over SSH 對 Remote direct(ws/wss)、經隧道對 ws://127.0.0.1:18789 的迴圈連線、CLI node host 安裝,以及長路徑上的 工作階段 Keepalive。價格見 NOVAKVM 租用價格頁;下單見 雲端下單頁;SSH 與金鑰政策見 雲端說明中心。可與 Gateway 與 Control UI 的 SSH/TLS 篇首跑閉環篇 交叉閱讀,避免人類瀏覽器路徑與應用程式 Remote 路徑各寫一套 SSH 設定。

讀完你應能選定 LocalRemote over SSHRemote direct;知道 Node Host 必須裝在「實際執行瀏覽器與 Canvas 工具」的那台 Mac 上;並能用 Keepalive 與 host key 設定,避免閒置 SSH 被誤報為「Gateway 掛了」。每次 OpenClaw 升級後請重新對照官方文件。

[ SECTION_01 ] // REMOTE_PITFALLS Mac 應用程式遙控遠端 OpenClaw Gateway 時最先踩的五類坑

第一,把 Remote 理解成「對外開 18789」——與迴圈加隧道的設計相反,也削弱稽核。第二,以為應用程式內建 node 會在 Remote 模式跑瀏覽器自動化:上游把這塊交給 CLI Node Hostopenclaw node install)。第三,BatchMode 遠端 shell 的 PATH 沒有 openclawexit 127。第四,Web Chat 仍指向舊的本機連接埠,造成傳輸分裂。第五,SSH 沒有 Keepalive:NOVAKVM 上 Gateway 仍健康,筆電隧道已死,卻有人反覆重啟 ~/.openclaw 下的常駐程式。

實務上還常忽略頻寬與 RTT:營運者多在台北,主 Gateway 卻放在美西,互動式 Test remote 與 Web Chat 健康檢查的往返延遲會明顯拉長,容易被誤判成「模型變慢」。第六,筆電與遠端主機共用同一 macOS 使用者寫入同一工作區,回滾時無法分清是誰改了設定。

  • 公開裸連 18789:掃描噪音大,也與 Remote-SSH 的迴圈優先設計不一致。
  • 缺 Node Host:儀表板正常,選單列卻顯示已配對但未連線的 Mac 能力。
  • 遠端 CLI 不在 PATH:Test remote 與健康探測以 exit 127 失敗。
  • 隧道無 Keepalive:靜默斷線偽裝成 Gateway 故障。
  • 地域選錯:高 RTT 拉長互動驗證與 SSH 閒置逾時。
  • 憑證共用:筆電與伺服器共用帳號,變更無法追溯。

Remote 要成功,必須把 Gateway、隧道 URL、Node Host 當成三個有負責人的元件,而不是一句「連上雲端」。

[ SECTION_02 ] // MODE_MATRIX Local、Remote over SSH、Remote direct 決策矩陣

Local 全在筆電。Remote over SSH 是 NOVAKVM 預設:遠端執行命令、ssh -N -L 搭配 BatchMode,gateway.remote.url 指向 ws://127.0.0.1:18789 供 Web Chat 與 CLI。Remote direct(ws/wss) 在已信任的 LAN、Tailnet 或 TLS URL 上跳過 SSH;Gateway 會看到真實用戶端 IP。

OpenClaw macOS Remote 路徑對照(2026・六地 M4 Pro)
維度 A · 筆電 Local B · Remote over SSH(預設) C · Remote direct ws/wss
適用情境 個人實驗、離線展示、無 24/7 Agent Gateway 在 NOVAKVM M4 Pro;筆電僅主控 已有可信 Tailnet/LAN 與憑證策略
Gateway 綁定 筆電迴圈 遠端 Mac 迴圈;隧道轉到筆電 依安全審查綁 LAN/Tailscale/公開 URL
Gateway 看到的 Node IP 筆電真實 IP 常為 127.0.0.1(隧道端,屬預期) 線路上的真實用戶端 IP
六地選型 雲端 Agent 不適用 依模型區、資料落地與營運者 RTT 選城 TLS 終端靠近 Mac,避免雙重跨境

主 Gateway 應靠近多數營運者,不要只選價格頁上最便宜的區域。若團隊在台北與新加坡都有值班,可先用日租在兩地各驗證一輪 Test remote 延遲,再鎖月租。

在 NOVAKVM 上預設 Remote over SSH + 迴圈 Gateway;僅在 Tailnet 或 TLS 已審計通過時才升級 direct ws/wss

[ SECTION_03 ] // GATEWAY_NODE_HOST 遠端前置、Node Host 工具橋接與 SSH Keepalive

在 NOVAKVM 主機上,讓 BatchMode shell 能找到 openclaw,Gateway 綁迴圈,SSH 僅用金鑰。若 Agent 需要自動化或螢幕錄製,在遠端 macOS 完成 TCC 授權。應用程式內 Settings → General → Remote:選 SSH 或 Direct,執行 Test remote,再在需跑工具的 Mac 上 openclaw node install。儀表板 OK 但 Mac 能力離線,多半是 node 已配對但未連線。

上游說明 openclaw-mac configure-remote、連接埠欄位、exit 127、Web Chat WS 健康檢查與 Tailscale TLS pin 輪替;每次發版請重開文件。

https://docs.openclaw.ai/platforms/mac/remote

https://github.com/openclaw/openclaw

ssh-remote-gateway.example 
ssh -N \
  -o BatchMode=yes \
  -o ServerAliveInterval=30 -o ServerAliveCountMax=3 \
  -L 18789:127.0.0.1:18789 \
  user@novakvm-sg-m4.example

對齊 gateway.remote.remotePort 與遠端監聽埠;預先信任 SSH host key;direct wss:// 在 Tailscale Serve 上需清除過期 TLS pin 或設定 gateway.remote.tlsFingerprint。轉發請勿綁定 0.0.0.0,避免把控制面暴露到區域網路。

[ SECTION_04 ] // RUNBOOK 在六地 M4 Pro Gateway 上落地 Remote 模式的十二步

  1. 選定模式列:在變更單上寫明 Local、Remote-SSH 或 Remote-direct 與負責人,禁止未審計的捷徑。
  2. 下單與開通 Mac:雲端下單頁 選城市;依 雲端說明中心 確認 SSH 可連。
  3. 安裝遠端 CLI:確保 BatchMode shell 的 PATH 含 openclaw;變更紀錄附上 openclaw gateway status 輸出。
  4. Gateway 綁迴圈:預設 WebSocket 控制埠在 127.0.0.1,除非 direct 傳輸已通過安全審查。
  5. 標準化 SSH 設定:統一 LocalForwardIdentityFileBatchMode=yes 與 Keepalive;禁止將轉發綁到所有介面。
  6. (可選)CLI 預設 Remote:openclaw-mac configure-remote 寫入 --ssh-target、連接埠與 token,再開 GUI。
  7. Settings 內 Test remote:成功代表遠端 openclaw status --json 可用;先修 exit 127 再邀請營運者。
  8. 在工具所在 Mac 安裝 Node Host:瀏覽器控制在筆電則裝筆電;須在遠端執行則裝遠端;啟動服務並查 node.list
  9. 對齊工作區根目錄:專案根與 CLI 路徑指向遠端 checkout;沙箱與正式環境分開。
  10. 演練隧道斷線:會議中手動 kill SSH,五分鐘內應恢復 Web Chat 與 Node,無需重啟 Gateway。
  11. 六地打分:權重含營運城市、模型 API 區、資料落地;選新加坡、東京、首爾、香港、美東或美西。
  12. 季度複審:抽樣 SSH 與 Gateway 日誌、認證模式、256 GB 主機磁碟水位;與 CI 疊加時對照 租用價格頁 是否需並聯節點。

[ SECTION_05 ] // DATA_FAQ 可引用參數、六地說明與 FAQ

以下為現場慣例,供規劃與 runbook 使用,不代表你手上的建置保證。每次升級後請用 OpenClaw 文件核對連接埠、旗標與選單文案。

  • 預設 Gateway WebSocket 埠:社群與 Remote 文件常見 18789;若改遠端埠,請同步 gateway.remote.remotePort 與本機轉發目標。
  • SSH Keepalive:ServerAliveInterval=30 搭配 ServerAliveCountMax=3 可減少長路徑靜默斷線;經 Settings 設定的 SSH 由應用程式另行管理。
  • SSH 下 Node IP 為 127.0.0.1:屬預期;若要在 Gateway 日誌看到筆電真實 IP,改用 Remote direct。
  • 六地 RTT:美東營運者控東京 Gateway 時,Test remote 與 Web Chat 會變慢;宜就近主機或加一台區內主控 Mac。

FAQ:

  • Q:Test remote 過但 Web Chat 卡住?A:確認遠端 Gateway 在跑,且本機轉發埠與 Gateway WS 埠一致;UI 需要健康的 WebSocket,不是舊版 HTTP WebChat。
  • Q:夜間 Gateway 要放筆電嗎?A:24/7 Agent 應放在租用的 M4 Pro,用 Remote 模式,避免筆電睡眠殺掉頻道。
  • Q:Remote 模式下的 Voice Wake?A:上游經遠端設定轉發觸發詞;Remote 配對正確時通常不需另開轉發行程。
  • Q:M4 還是 M4 Pro 當 Remote Gateway?A:輕量單工作區常夠 M4;穩定多工作區 Gateway 加遠端 Node 工具多半對應價格頁上的 M4 Pro 階層。

家用 Mac 受睡眠與電源事件影響;泛用 VM 缺少 macOS TCC 與頻道工具;臨時隧道容易掩蓋 exit 127 與 Node Host 缺口。若你要在六地、可審計的 Remote-SSH 路徑上跑 OpenClaw、iOS CI 與 AI AgentNOVAKVM 裸金屬 Mac mini 租用 通常是更合適的選擇:獨享 M4 Pro、日租到週租試驗、負載疊加時可並聯節點。預設口徑:迴圈 Gateway、筆電 SSH 到 127.0.0.1:18789、Node Host 裝在實際跑工具的那台 Mac