openclaw update · sauvegardes figées · doctor · retour arrière
Les équipes qui exploitent déjà OpenClaw en production se demandent rarement si elles peuvent lancer openclaw update ; la douleur arrive après le retour de la commande, lorsque la passerelle ne démarre pas, un ancien processus garde l'écoute, PATH pointe vers un binaire obsolète ou une migration de configuration réécrit silencieusement les outils. Cet article détaille cinq risques récurrents de mise à niveau, fournit une matrice comparant update officiel, npm global et build source, un Runbook en six étapes avec politique de sauvegarde et de canaux, l'ordre doctor puis health après upgrade et une table de preuves sur conflits de ports et double installation. Liens croisés vers installation multi-plateforme et démons, installation et triage doctor et dépannage d'exécution pour garder upgrade, observabilité et retour arrière sur une même page.
La documentation recommande openclaw update puis openclaw doctor, mais la production ajoute des démons qui ne suivent pas le gestionnaire de paquets, d'anciens processus Gateway qui ne libèrent pas l'écoute, et plusieurs CLI sur un même hôte. Si vous suivez la checkliste de durcissement production, vous savez que listes blanches de canaux et réduction de surface d'écoute dépendent fortement de l'ordre de mise à niveau ; sans arrêt propre de la passerelle avant le changement de paquets, 18789 reste souvent pris par un PID obsolète.
Traiter les mises à jour comme des événements CLI isolés fait perdre le lien entre numéros de version, surfaces d'écoute et matériel d'identité. Les programmes durables documentent d'abord les modes de défaillance : dérive de processus, migration silencieuse, collisions de rythme de canaux, preuves de retour arrière faibles, télémétrie health incomplète. Chaque point ci-dessous correspond à un artefact joignable au ticket de changement, pour passer de « nous avons lancé update » à « nous expliquons toute panne avec une version et un chemin de sauvegarde ».
Dérive processus et paquets : npm global pointe déjà vers un nouveau build, mais launchd ou systemd lance encore un binaire construit sous un ancien répertoire de travail, d'où le désaccord entre openclaw --version et gateway status.
Migration de configuration et réécritures silencieuses : Les versions majeures peuvent changer la sémantique dans openclaw.json ; doctor tente la migration, mais si les règles de fusion divergent du flux GitOps, le fichier change sur disque sans pull request assortie.
Rythme automatique des canaux versus fenêtres de changement : Le délai et le jitter du canal stable évitent l'explosion simultanée de la flotte, mais un décalage avec les releases métier provoque des redémarrages vendredi soir ; avec les sondes de canaux, vérifiez que la passerelle a bien redémarré avant de faire confiance aux callbacks.
Preuves de retour arrière insuffisantes : Sans sauvegardes ni versions figées il ne reste que « réinstaller latest » au lieu d'un état connu bon ; avec les déploiements cloud persistants, les nœuds exécutent souvent des tâches cron et webhooks externes, un mauvais ordre de rollback amplifie l'indisponibilité.
Champs d'observabilité manquants : Une capture « upgrade réussi » sans archivage de gateway status --deep et des adresses de liaison empêche de prouver que la surface d'exposition respectait la ligne de sécurité après coup.
Transformez les cinq points en checklist prévol avant de comparer les chemins d'installation à la section suivante ; ainsi « nous pouvons mettre à jour » devient « nous pouvons auditer et annuler une mise à niveau ». Le sommeil et la maintenance OS sur portables déforment aussi l'état des démons, alors que des nœuds Mac cloud avec SLA contractuels permettent d'inscrire fenêtres de mise à niveau et disponibilité dans les critères d'acceptation.
Les responsables opérationnels doivent aussi noter le rôle de chaque machine : portable développeur, agent de build partagé ou passerelle dédiée. La même version CLI se comporte différemment si launchd charge un plist avec ancien WorkingDirectory ou si systemd tourne dans une image conteneur figée. Nommer ces rôles sur le ticket évite que « ça marche chez moi » devienne « dérive mystérieuse en prod après patch Tuesday ».
Aucun des trois chemins n'est universellement optimal ; l'adéquation dépend de la taille d'équipe, du pinnage de commits pour audit, et de l'acceptabilité des redémarrages automatiques de passerelle. Le sous-commande officielle update convient à la plupart des équipes ; les gestionnaires globaux aux images CI ; les builds source aux groupes qui livrent des correctifs ou verrouillent un canal dev.
Documenter la matrice ci-dessous dans le manuel d'exploitation supprime les zones grises de responsabilité : le build sait quand reconstruire les images, la plateforme quand toucher systemd, les applications quand archiver doctor pour la conformité. Cette clarté paie dès qu'une release introduit un champ rupture dans openclaw.json et qu'il faut prouver quelle migration a été appliquée où.
| Dimension | openclaw update | npm global / brew | Build source Git |
|---|---|---|---|
| Courbe d'apprentissage | Faible ; une commande enchaîne fetch, doctor et indices de redémarrage | Moyenne ; vous câblez doctor et redémarrages Gateway | Élevée ; builds pnpm et hygiène PATH |
| Versions traçables | Moyen ; dépend des métadonnées de release | Fort ; semver de paquet pinné | Fort ; SHA de commit pinné |
| Chemin de retour arrière | Moyen ; releases pinnées et sauvegardes | Fort ; npm i -g openclaw@x | Fort ; git checkout puis rebuild |
| Automatisation | Fort ; naturel pour runbooks | Fort ; naturel pour couches d'image | Faible ; builds longs et cache complexe |
| Interaction avec démons | Ordre explicite stop puis start | Idem | Risque maximal de double installation |
Les mises à jour durables tiennent à ce qu'une panne s'explique par un numéro de version et un chemin de sauvegarde, non au fait que la passerelle démarre parfois.
Si vous suivez déjà le guide install-daemon, recopiez les conclusions dans votre manuel pour éviter le triangle « doc dit brew, l'hôte utilise npm, cron pointe vers un troisième chemin ».
Les six étapes suivantes se cochent ligne par ligne dans un playbook d'astreinte : quel que soit le style d'installation, un ordre cohérent permet à un nouveau membre de répéter une montée de version en une heure. Avec la découpe runtime en trois voies, conservez un extrait de gateway status après upgrade pour séparer canaux et couche modèle.
Avant de figer la fenêtre, prévenez les propriétaires en aval qui dépendent de webhooks sortants ou de clés API partagées ; faire tourner les identifiants la même nuit qu'une montée de passerelle multiplie le rayon d'explosion. Si vous dépendez de coffres de secrets externes, vérifiez leur disponibilité avant d'arrêter la passerelle, sinon vous redémarrez à moitié configuré : doctor vert, appels runtime en échec.
Figez la fenêtre de changement : Inscrivez la semver cible et les minutes d'indisponibilité acceptables ; n'associez pas à une rotation massive de clés modèle le même soir.
Sauvegardez config et identité : Commande de backup officielle ou au minimum archivez les répertoires sous ~/.openclaw contenant configuration et identité ; vérifiez les sommes de contrôle.
Arrêt propre de la passerelle : openclaw gateway stop, libérez l'écoute, puis lancez la mise à jour ; évitez les états mi-à-jour qui gardent les ports occupés.
Appliquez la mise à jour et journalisez le canal : Avec openclaw update, collez version et métadonnées de canal dans les champs d'index du ticket.
doctor puis health dans l'ordre : Capturez avertissements et migrations ; si des champs inattendus changent, suspendez les redémarrages automatiques et examinez un diff manuel.
Sondez les canaux avec un message minimal : Dans un environnement autorisé envoyez une sonde ou exécutez channels status pour confirmer que les callbacks atteignent encore votre stack.
openclaw gateway stop openclaw update openclaw doctor openclaw gateway start openclaw health openclaw gateway status --deep
Note : Si le redémarrage intégré à update fait course avec vos scripts, des écouteurs dupliqués peuvent apparaître brièvement ; séquencez stop-installation-start plutôt que paralléliser.
Les fils de communauté parlent souvent de « port encore occupé après upgrade » ou « CLI nouvelle version, processus ancien build ». Le triage doit converger vers une source unique de vérité sur adresses de liaison, chemins binaires et emplacements de paquets avant d'accuser la configuration. Avec la checklist installation et doctor, collez la liste ci-dessous en annexe de ticket.
Documenter la sortie de lsof ou équivalent avec which openclaw donne assez de signal pour distinguer zombie et unité de service mal liée. Sur hôtes partagés, capturez aussi l'utilisateur effectif du Gateway, car les profils d'un compte ne s'appliquent pas à un autre.
Port déjà utilisé : Preuve via lsof -i :18789 ou équivalent avec ancien PID ; d'abord gateway stop, puis kill contrôlé si échec, puis contrôle des restes.
Double chemin d'installation : Preuve lorsque which openclaw et npm root -g divergent sur les préfixes ; normaliser PATH, retirer les globaux redondants ou figer des alias.
Unité démon non rafraîchie : Preuve si plist ou unit référencent encore un ancien WorkingDirectory ; réinstaller le démon ou suivre les étapes force-install avant kickstart.
Échec de validation config : Preuve si doctor signale des conflits de migration ; restaurer depuis sauvegarde, monter par étapes, ou fusionner JSON à la main puis relancer doctor.
Health vert trompeur : Preuve si health passe mais les canaux ne rappellent pas ; suivre l'article de dépannage runtime et ne pas clôturer trop tôt.
Toujours cassé après retour arrière : Preuve que variables d'environnement ou scripts de shell injectent encore un ancien NODE_PATH ; nettoyer sessions de login et couches d'image CI.
Attention : Sur nœuds partagés, des export temporaires dans le profil d'un collègue transforment une expérience locale en incident de flotte ; utilisez des utilisateurs Unix séparés ou des limites conteneur pour les pools.
Les trois puces suivantes résument ce que beaucoup de petites équipes observent en déployant OpenClaw ; servez-vous-en pour une revue avant projet, pas comme engagement fournisseur, et remplacez-les par vos mesures de tickets.
Les seuils fonctionnent avec des propriétaires : quelqu'un surveille les tableaux de sondes pendant la fenêtre, quelqu'un autorise un dépassement d'indisponibilité au-delà du budget P95, quelqu'un aligne la rétention des sauvegardes sur la conformité. Sans ces noms, les chiffres restent décoratifs.
| Taille d'équipe | Rythme de changement | Appétit pour le risque | Choix plus stable |
|---|---|---|---|
| Solo | Ad hoc | Élevé | Update officiel plus stop/start manuel ; conserver un zip de sauvegarde |
| Petite équipe | Hebdomadaire | Moyen | npm semver figé, tickets de changement, sortie doctor archivée |
| Plateforme | Quotidien | Faible | Builds d'image, nœuds canaries, sondes automatisées |
| Collaboration externalisée | Irrégulier | Moyen | Runbooks en lecture seule et nœuds dédiés ; pas de HOME partagé |
Sommeil, espace disque et correctifs OS sur matériel personnel interrompent sans cesse les démons ; même une discipline CLI irréprochable ne fabrique pas un SLA de mise à niveau auditable sur portable. À l'inverse, des nœuds Mac Mini cloud contractuels permettent d'inscrire disponibilité processus, entrée et fenêtres de maintenance dans le contrat.
Erreur courante : Prendre un health vert pour preuve que canaux et modèles vont bien—health ne couvre qu'un sous-ensemble ; l'acceptation complète suit encore l'ordre de triage runtime.
Si vous avez besoin de mises à niveau OpenClaw favorables au retour arrière avec cycles de vie Gateway observables et de nœuds en ligne sans que le sommeil du portable casse les agents—surtout lorsque l'automatisation de production et les environnements de build iOS comptent—la location cloud Mac Mini VpsMesh convient souvent mieux : facturation prévisible, régions au choix, matériel dédié auditable, pour ancrer les discussions de montée de version sur la disponibilité réelle.
Fortement recommandé ; sauvegardez au moins la configuration et les chemins liés à l'identité avant update. Lisez en parallèle installation et triage doctor. Pour commander un nœud, voir la page de commande.
Intégrez temps de répétition de retour arrière, effort d'astreinte et maintenance des scripts de sonde au coût de chaque release, puis comparez avec les tarifs et l'article TCO sur trois ans.
Commencez par le centre d'aide ; si seuls les canaux dérangent après la mise à niveau, suivez d'abord le dépannage d'exécution, puis revenez ici pour ports et PATH.