Env-Dateien pro Mitglied · Workspace-Isolierung · Protokollierbare Akzeptanz · Rollout in sechs Schritten · Mac-Pool-Übergabe
Die Plattform leitet ein 24/7-OpenClaw-Gateway für ein kleines Team Hören Sie jede Woche die gleiche Frage: Können wir sie teilen? Ja, aber wenn Modellschlüssel, Kanaltokens und Arbeitsbereichspfade in einer ungeprüften .env leben, führt die nächste Fehlkonfiguration zu einem vollständigen Ausfall. Dieser Artikel antwortet Wer hat welches Problem? (Mehrbenutzerzugriff, Schlüsselrotation, unklarer Besitz), dann gibt a Fazit: Behandeln Sie das Teilen als Kompartimente (separate env_file-Roots, Datenverzeichnisse und Porttabellen) plus geringste Berechtigung plus segmentierte Protokollakzeptanz. Du wirst bekommen Schmerzpunkte, eine Auswahlmatrix, ein sechsstufiges Runbook, harte Parameter und eine Freigabematrix. Informationen zu CLI-Fehlern auf Namespace-Ebene finden Sie unter Verfassen Sie eine Netzwerk-Triage; Informationen zu Speichergrenzen und Protokollrotation finden Sie unter Erstellen Sie eine Produktionsbasislinie; Für einen zweiten Stack auf demselben Host siehe Isolation mehrerer Instanzen; Informationen zur Kanalbelichtung finden Sie unter Checkliste für die Produktionshärtung; zur Verwendung der Sprachparität bei der Installation Installation und Arzt-Checkliste; für dedizierte Mac-Kapazitätsnutzung Bestellseite.
Das Teilen ist nicht dasselbe wie das Einfügen des Admin-Schlüssels in einen Gruppenchat. Wenn jeder Ingenieur lokal dieselben Variablennamen exportiert oder CI einen Pfad fest codiert, erhalten Sie Folgendes: ein Gateway-Prozess und N widersprüchliche Wahrheiten. Diese fünf Muster dominierten 2026 die Support-Threads; Sie in schriftliche Regeln umzuwandeln, ist besser, als mehr Rechenleistung zu kaufen.
An Arbeitsbereiche gekoppelte Schlüssel: Speichern von Anbieterschlüsseln neben Kanalgeheimnissen in einer einzigen Repo-Ebene .env bedeutet, dass ein fehlerhafter Commit eine Flottenrotation erzwingt und Protokolle selten zeigen, welche CLI den letzten Schreibvorgang ausgeführt hat.
Fehlende Bindungs- und Portmatrix: Ein Staging-Stack erfasst benachbarte Ports, die Produktion sieht gesund aus, aber Gesundheitsprüfungen treffen den falschen Prozess. Bereitschaftsdienst fällt zurück, um Roulette neu zu starten.
Kanal-Zulassungslisten im Vergleich zu echtem Egress: Einige Mitglieder verlassen das Unternehmen über einen Unternehmens-Proxy, andere nutzen Heim-Breitband. allowedOrigins kann also nur eine Form abdecken nur Alice funktioniert, während Bob immer 403 sieht, fälschlicherweise als RBAC interpretiert.
Keine Kompartiment-Akzeptanzsprache: Launch-Rezensionen fragen: „Kann es eine Nachricht senden?“ aber niemals „mountet jedes Mitglied eine eigene env_file- und Backup-Aufteilung?“ Compliance bittet am nächsten Tag um Beweise und das Team hat keine.
Abweichung vom Mac-Pool-Übergabepfad: Gateway läuft auf einem VPS, während umfangreiche Builds auf Remote-Macs ausgeführt werden; Ohne ein Topologieblatt für SSH-Hostnamen, privates DNS und eingehende Rückrufe flattern Webhooks und Teams erhöhen fälschlicherweise Modell-Timeouts.
Ordnen Sie die Steuern den Leistungen zu: Porttabelle, env_file-Zuordnung, Kanalursprungsliste, minimaler Sicherungssatz und ein kleinster Kanalsonde-Befehl. Ohne diese fünf Artefakte sollten Sie dem Produktionsprofil keine neuen Mitglieder hinzufügen. Es fühlt sich bürokratisch an; Auf diese Weise wird implizites Wissen zu einer veränderbaren Konfiguration.
Fügen Sie eine organisatorische Perspektive hinzu: Gemeinsame Gateways ändern sich häufiger als Solo-Homelabs. Rezensionen müssen von „Feature Works“ bis „Feature Works“ abgestuft sein rücksetzbar, halbierbar und übertragbar. Bei jeder Änderung sollten alte Werte im Vergleich zu neuen Werten, betroffene Mitglieder und ein Rollback-Fenster wie z. B. doppelt geschriebene Schlüssel für N Stunden aufgelistet werden.
Schließlich bedeutet Teilen nicht, Root zu teilen. Selbst bei einem Docker-Host können Sie zum Anheften benannte Volumes, Unterverzeichnis-ACLs und schreibgeschützte Mounts verwenden beschreibbare Arbeitsbereichsgrenzen; andernfalls werden durch einen versehentlichen Löschvorgang sowohl der Produktions- als auch der Staging-Sitzungsstatus entfernt. Lesen COMPOSE_PROJECT_NAME-Isolation um „zwei Compose-Dateien, ein Mount-Punkt“-Fallen zu vermeiden.
Sobald Steuern zu Checklisten werden, stellen die Teams die nächste ehrliche Frage: separate Gateways pro Person oder ein Gateway mit Fächern? Im nächsten Abschnitt werden Kosten, Belichtung und Betriebslast auf derselben Überprüfungsseite zusammengefasst.
Es gibt keine allgemeingültige Antwort, nur eine passende Antwort Teamgröße, Compliance und wie viele TLS-Endpunkte und Webhooks Sie betreiben möchten. Drucken Sie die Matrix aus: Wählen Sie einen Standardwert für das Quartal aus und schreiben Sie eine Fußnote darüber, wann Sie zur nächsten Ebene eskalieren müssen.
| Modus | Wenn es passt | Hauptvorteil | Hauptkosten |
|---|---|---|---|
| Gateway pro Mitglied | Bis zu drei Personen, starke Isolation oder Regeln mit einem Audit-Trail pro Person | Kleinster Explosionsradius; Rotationen kaskadieren nicht | CPU, RAM, duplizierte Webhooks, mehrere TLS-Lebenszyklen |
| Einzelnes Gateway, Schlüsselfächer | Fünf bis fünfzehn Personen, gemeinsame Rückrufdomäne, einheitliche Dashboards | Ops-Oberflächenkonzentrate; Metriken stimmen überein | Erfordert eine strikte env_file- und Verzeichnistrennung, sonst kommt es zu Abweichungen |
| Einzelnes Gateway, rollenbasierte Volumes | Plattform- vs. Produktteams benötigen Schreib- statt Lesenutzung | Weniger Installationen; Ein Ort, an dem Sie Härtungschecklisten anwenden können | Volume-Berechtigungen und CI-Mounts werden subtil; Bewertungen müssen feiner sein |
Das Teilen funktioniert nur, wenn Jeder Unterschied wird einer ersetzbaren Datei zugeordnet, nicht den gemeinsam genutzten veränderbaren Standardwerten; andernfalls ergeben sich Skaleneffekte bei Vorfällen, nicht beim Durchsatz.
Wenn Sie auf einem einzelnen Gateway mit Abteilen landen, definieren Sie ein Abteil als maschinenprüfbares Triple: COMPOSE_PROJECT_NAME, Datenverzeichnis-Mount und pro Mitglied env_file. Wenn Sie es nicht in drei Zeilen beschreiben können, ist das Fach noch nicht real.
Günstigste Beobachtbarkeit zuerst; Stoppen und speichern Sie die Ausgaben, wenn ein Schritt fehlschlägt. Wenn sich die Feldnamen des Assistenten unterscheiden, stimmen Sie sie mit ab Installation und Arzt-Checkliste.
Das Skelett einfrieren: Separate Roots für Produktion und Staging, README verbietet Cross-Symlinks, wählen Sie benannte Volumes oder binden Sie Mounts und versionieren Sie die Auswahl.
env_file aufteilen: Basislinie (Abhören, Protokollebene) im Vergleich zu Mitgliedergeheimnissen (Modelle und Kanäle); CI fügt schreibgeschützte Token ein und schreibt niemals zurück auf den Host.
Überprüfen Sie die Porttabelle: veröffentlichte Ports, In-Container-Bindungen und Host-Firewall müssen triangulieren; Vergleichen Sie es mit dem Symptombaum in Verfassen Sie eine Netzwerk-Triage.
Minimale Kanalsonde: Jedes Mitglied führt Send-Receive mit seinem CLI- oder Browser-Ursprung aus und erfasst Zeitstempel und Anforderungskennungen. Jeder 403 muss einen Ursprungsunterschied enthalten.
Backup-Übung: Den kleinsten wiederherstellbaren Satz exportieren (Konfiguration plus Sitzungsrichtlinie), Kaltstart beim Staging, RTO- und RPO-Nummern in die Änderungsfußnote schreiben.
Bereitschaftspaket: hinterlasse drei Befehle: openclaw doctor, die letzten zweihundert Gateway-Protokollzeilen und Kanalstatus; Der nächste Antwortende darf keine privaten Chats benötigen.
/srv/openclaw/
prod/
compose.yaml
env/
base.env
alice.env
bob.env
data/
staging/
compose.yaml
env/
base.env
alice.staging.env
data/
Tipp: Wenn Sie einen parallelen zweiten Stack auf einem Host benötigen, lesen Sie Isolation mehrerer Instanzen für Porttische und COMPOSE_PROJECT_NAMEund dann mit diesem Runbook zusammenführen.
Nur Anweisungen, auf die Sie in der Konfiguration verweisen können, keine Vibes. Für Speichergrenzen und JSON-Dateirotation verwenden Sie Erstellen Sie eine Produktionsbasislinie.
18789 als standardmäßiger lokaler Steuerungsebenenkontext; Bei der Abmeldung müssen die Bindungsadresse, der Reverse-Proxy-Pfad und die Angabe, ob die Benutzeroberfläche über das Internet erreichbar ist, aufgeführt sein, nicht nur die Ganzzahl.Warnung: Modellschlüssel, Kanaltoken und TLS-Zertifikate nicht in einem Ticket rotieren; Dreiecksänderungen machen Rollback nicht halbierbar. Für TLS-Pfade lesen Sie Reverse-Proxy-TLS-Anleitung.
Upgrade-Akzeptanz von einer Demo auf aktivierte Compliance-Sprache: Standardverweigerung, explizite Zulassung, Rollback bereit. Wenn eine Zeile nicht überprüft werden kann, bleiben Sie bei einem internen Profil.
| Überprüfen | Kriterien bestehen | Typisches Fehlersignal |
|---|---|---|
| Schlüsselfächer | Pro Mitglied env_file, CI verwendet schreibgeschützte Injektion | Geteilt .env in der Git-Geschichte oder eingefügten Geheimnissen |
| Belichtung | Die Steuerungsebene ist nicht direkt über das öffentliche Internet erreichbar oder durch Zulassungslisten oder mTLS eingeschränkt | Scans finden nicht authentifizierte Dashboards 0.0.0.0 |
| Beobachtbarkeit | 403 oder Zeitüberschreitungen werden innerhalb von fünf Minuten den Ursprüngen, der Kante oder dem Upstream zugeordnet | Stacks ohne Anforderungskennungen |
Sich auf die mentale Karte eines Helden-Ingenieurs zu verlassen, garantiert Schmerzen beim Umsatz; Durch die Behandlung von Runbooks und Porttabellen als Repository-Assets werden KI-Agenten vom Spielzeug zur Infrastruktur.
Häufiger Fehler: Modellschlüssel beim ersten 403 drehen; Bei den meisten Vorfällen ist zunächst eine Ursprungs- und Ausgangsmatrix erforderlich.
Temporäre Shell-Hacks ohne schriftliche Listen überleben Audits selten; wenn OpenClaw zusammen mit festem Ausgang, Hostnamen und privater Mesh-Topologie beschrieben werden muss, Bei Ad-hoc-VPS-Stacks fehlen häufig signierbare Änderungsdatensätze. Für iOS-Builds, Desktop-Übergabe und ständig aktive Agenten in einem exklusiv, regional vorhersehbar Footprint, bei dem Gateway- und Mac-Pools ein Vokabular teilen, Die Cloud-Miete von VpsMesh Mac Mini ist in der Regel die bessere Lösung: Dedizierte Knoten vereinfachen Bindungen und ACL-Erzählungen und passen sich an Privates Mesh-Runbook; Die Preise sind aktiviert Preisseite, Konnektivität eingeschaltet Hilfecenter.
Veröffentlichen Sie eine Port- und Bind-Matrix sowie den Besitz des Datenverzeichnisses mit COMPOSE_PROJECT_NAME, und ein pro Mitglied env_file Karte. Aktualisieren Sie die Tabelle, bevor Sie Befehle ausführen. Informationen zum Härten finden Sie unter Checkliste für die Produktionshärtung.
Dual-Write-Fenster: Fügen Sie den neuen Schlüssel in einer separaten env_file hinzu, validieren Sie Kanäle beim Staging, wechseln Sie Produktions-Compose-Referenzen, behalten Sie ein Rollback-Fenster bei und führen Sie es dann aus openclaw doctor und eine minimale Sonde. Bestellungen und Ausgangsanforderungen: Bestellseite.
Richten Sie Zeitstempel aus, um die Edge-Authentifizierung von der Anwendung zu trennen allowedOrigins. Wenn nur ein Mitglied ausfällt, überprüfen Sie den Ursprung oder Ausgang der CLI des Mitglieds anhand der Zulassungsliste und lesen Sie dann Verfassen Sie eine Netzwerk-Triage und Hilfecenter.