2026年 OpenClaw macOS 客户端 Remote 模式实战:
SSH 隧道连六地远程 Mac M4 Pro Gateway、Node Host 工具桥接与会话保活排障

很多团队已经在 新加坡 / 日本 / 韩国 / 香港 / 美东 / 美西裸金属远程 Mac mini M4 Pro 上把 OpenClaw Gateway 跑成 7×24,却仍在笔记本上用 macOS 客户端 当控制台。真正卡住的不是「会不会装」,而是 Remote 模式只配了一半:SSH 隧道能打开仪表盘,但 Node Host 没配对、浏览器工具打到错误机器,或隧道静默断开被误判成 Gateway 宕机。本文把 Local / Remote over SSH / Remote direct(ws/wss)、回环 ws://127.0.0.1:18789 经隧道访问、CLI Node Host 安装与 会话保活 写成可对照矩阵与十二步清单。价格见 NOVAKVM 定价页;下单见 订购页;SSH 策略见 帮助中心;可与 团队 Control UI 安全篇首跑闭环篇CI 与 Agent 分时篇 交叉阅读。

读完你应能选定 Local、Remote-SSH 或 Remote-direct;知道 Node Host 必须装在哪台 Mac 上才能驱动浏览器与 Canvas 工具;以及用哪些 保活与 host key 设置避免「SSH 断了但 Gateway 仍健康」的误重启。CLI 子命令、默认端口与菜单文案以 OpenClaw 官方文档与仓库为准,发版后请再次打开下列链接核对。

[ SECTION_01 ] // REMOTE_PITFALLS 本地 macOS App 控远程 OpenClaw Gateway:最先踩的五类坑与隐性成本

第一类坑是把 Remote 理解成「把 18789 直接暴露到公网」,与官方推荐的远端回环 + 本地转发设计相悖,审计上也无法区分「谁在什么时间连过控制台」。第二类坑是以为原生 App 自带的 node 会在 Remote 模式下替你跑浏览器自动化:上游把这类能力交给 CLI Node Hostopenclaw node install),菜单栏显示 paired 但 Mac 能力 disconnected 时,多半是 Node 未起或未连上 Gateway。

第三类坑是远程执行 openclaw status --json 返回 exit 127:BatchMode SSH 下 PATH 里没有 CLI,Settings 里「Test remote」失败却被当成网络问题。第四类坑是传输分裂:App 已走 Remote-SSH,Web Chat 仍指向旧的本机端口,表现为「仪表盘正常、对话卡住」。第五类坑是无保活的长 SSH:NOVAKVM 上 Gateway 与 launchd 仍健康,笔记本隧道在午休断网后静默失效,值班同学连环重启 ~/.openclaw 下的守护进程,反而把通道配置打乱。

  • 公网裸端口:与回环优先的 Remote-SSH 设计冲突,扫描噪声高。
  • 缺 Node Host:控制台可用但录屏、Canvas、浏览器工具离线。
  • 远程 CLI 不在 PATH:Test remote 与探针 exit 127。
  • 隧道无保活:静默断开被误判为 Gateway 故障。
  • 节点选错区:美东运维连东京 Gateway,交互与 SSH 空闲超时同时拉长。
  • 凭证共用户:笔记本与远端同写一套 Workspace,回滚不可审计。

Remote 模式要成功,必须把 Gateway、隧道 URL、Node Host 写成三个有负责人的组件,而不是一句模糊的「连上云 Mac」。

[ SECTION_02 ] // MODE_MATRIX Local、Remote over SSH 与 Remote direct:三模式决策矩阵

Local 在笔记本本机跑全套 Gateway。Remote over SSH 是 NOVAKVM 上最常见的默认路径:远程执行命令、ssh -N -L 配合 BatchMode,Web Chat 与 CLI 通过 gateway.remote.url 指向 ws://127.0.0.1:18789Remote direct(ws/wss) 在已有 Tailnet、内网或已审计 TLS 时跳过 SSH,Gateway 日志里看到的是真实客户端 IP。

OpenClaw macOS Remote 模式路径对照(NOVAKVM 六地 Gateway · 2026 字段说明)
维度 A · 笔记本 Local B · Remote over SSH(默认) C · Remote direct ws/wss
适用场景 个人试验、离线演示、无需 7×24 Agent Gateway 在六地 M4 Pro;笔记本仅控制台 Tailnet/LAN URL 已信任、证书策略已审计
Gateway 绑定 笔记本回环 远端 Mac 回环;隧道映射到笔记本 按安全评审绑定 LAN/Tailscale/公网 URL
Gateway 看到的 Node IP 笔记本真实 IP 经隧道常为 127.0.0.1(预期行为) 链路上真实客户端 IP
六地取舍 不适合云端常驻 Agent 按模型区、数据区、运维 RTT 选城 TLS 终止尽量靠近 Mac,避免双跨境

主控 Gateway 应与多数运维成员所在时区与 RTT 对齐,而不是只看定价页上「最便宜」的区域行。

在 NOVAKVM 回环 Gateway 上默认 Remote over SSH;仅当 Tailnet 或 TLS 策略已书面审计时,再升级到 direct ws/wss

[ SECTION_03 ] // GATEWAY_NODE_HOST 远程前置条件、Node Host 工具桥接与 SSH 保活

在 NOVAKVM 主机上把 openclaw 放进 BatchMode 可找到的 PATH,Gateway 绑定回环,SSH 仅密钥登录。若 Agent 要在远端 Mac 使用自动化或录屏,须在远端授予 TCC。App 内 Settings → General → Remote:选 SSH 或 Direct,跑通 Test remote,再在需要执行浏览器工具的那台 Mac 上执行 openclaw node install 并启动服务。仪表盘正常而 Mac 能力 offline,优先查 Node 配对与 node.list

上游文档覆盖 openclaw-mac configure-remote、端口字段、exit 127、Web Chat WebSocket 健康检查,以及 Tailscale Serve 下 TLS pin 轮换。发版后请再次打开链接核对。

https://docs.openclaw.ai/platforms/mac/remote

https://github.com/openclaw/openclaw

ssh-remote-gateway.example 
ssh -N \
  -o BatchMode=yes \
  -o ServerAliveInterval=30 -o ServerAliveCountMax=3 \
  -L 18789:127.0.0.1:18789 \
  user@novakvm-sg-m4.example

修改远端监听端口时,须同步 gateway.remote.remotePort 与本地 -L 目标;direct wss:// 在反向代理后若 challenge 失败,按上游说明清理过期 TLS pin 或设置 gateway.remote.tlsFingerprint

[ SECTION_04 ] // RUNBOOK 十二步在六地 M4 Pro Gateway 上落地 Remote 模式

  1. 选定模式行:在变更单写明 Local、Remote-SSH 或 Remote-direct 及负责人,禁止口头「先连上再说」。
  2. 下单与开通:订购页 选城市;按 帮助中心 核对 SSH 账号与密钥策略。
  3. 安装远程 CLI:保证 BatchMode shell 能执行 openclaw;变更记录附 openclaw gateway status 输出。
  4. Gateway 绑定回环:默认 WebSocket 控制口在 127.0.0.1,除非 direct 路径已通过安全评审。
  5. 发布 SSH 模板:统一 LocalForwardIdentityFileBatchMode=yes 与保活;禁止把转发绑到 0.0.0.0。
  6. 可选预配置:openclaw-mac configure-remote 写入 --ssh-target、端口与 token,再进 GUI 引导。
  7. Settings 内 Test remote:成功应能远程执行 openclaw status --json;exit 127 未清前勿拉运维进群。
  8. 在工具所在机装 Node Host:浏览器控制在笔记本则装本地;工具必须在远端执行则装远端;起服务后核对 node.list
  9. 对齐 Workspace 根:Project root 与 CLI 路径指向远端检出目录;沙箱与生产 Workspace 分目录。
  10. 演练隧道中断:会议中主动 kill SSH,五分钟内应能恢复隧道且无需重启 Gateway。
  11. 六地打分:权重给运维城市、模型区、数据驻留;再定新加坡/东京/首尔/香港/美东/美西。
  12. 季度复核:抽样 SSH 日志、Gateway 鉴权模式与 256GB 磁盘水位;若叠加 CI 负载,对照 定价页 评估 M4 Pro 或并联节点。

小团队案例:「本地 UI + 新加坡 Gateway + 夜间批处理」——三名成员在华东,Gateway 与通道凭证放在新加坡 M4 Pro;白天笔记本 Remote-SSH 排障,夜间同一台机跑定时任务,Node Host 装在远端以便录屏验收。日租完成一轮隧道中断演练后改周租,避免把笔记本 sleep 当成 Agent 宕机。

[ SECTION_05 ] // DATA_FAQ 可引用技术信息、六地说明与 FAQ

下列条目为工程评审常用区间,不代表你方具体构建的保证值;端口与菜单名请以 OpenClaw 文档为准。

  • 默认 Gateway WebSocket 端口:社区与 Remote 文档常见锚点为 18789;若改远端端口,须同时改 gateway.remote.remotePort 与本地 -L 目标。
  • SSH 保活对:ServerAliveInterval=30ServerAliveCountMax=3 可降低长路径静默断隧道概率;经 App 配置的 SSH 会话另有应用层管理。
  • SSH 下 Node IP 为 127.0.0.1:属隧道端点预期现象;若要在 Gateway 日志保留笔记本真实 IP,改用 Remote direct。
  • 六地 RTT:美东运维控东京 Gateway 时,Test remote 与 Web Chat 健康检查都会拉长;宜与多数成员同区或增一台区内控制台 Mac。

FAQ:

  • Q:Test remote 通过但 Web Chat 卡住?A:确认远端 Gateway 在跑,且本地转发端口与 Gateway WS 端口一致;UI 需要健康 WebSocket,不是旧版 HTTP WebChat。
  • Q:晚上该在笔记本上跑 Gateway 吗?A:7×24 Agent 应留在租用的 M4 Pro,笔记本 sleep 不会拖垮通道。
  • Q:Remote 模式下 Voice Wake?A:上游经 remote 配置转发触发词;Remote 配正确时无需单独转发进程。
  • Q:Remote Gateway 用 M4 还是 M4 Pro?A:单 Workspace 轻量控制台常够 M4;多 Workspace 常驻 Gateway 加远端 Node 工具链通常对应 M4 Pro 档位。

把替代方案摊开:家用 Mac 受睡眠与断电影响;通用虚拟机缺少 macOS TCC 与通道工具链;临时隧道掩盖 exit 127 与 Node Host 缺口。对于要把 OpenClaw、iOS CI 与 AI Agent 放在可审计的 Remote-SSH 路径上、并需要六地节点与租期阶梯的团队,NOVAKVM 的 Mac mini 云端租赁通常是更优解:独占 Apple Silicon、日租周租验证后升月租,负载叠加时可并联同区节点。默认口诀:远端回环 Gateway、笔记本 SSH 到 127.0.0.1:18789、Node Host 装在真正跑工具的那台 Mac