Browser Relay · SSH トンネル · Gateway ポート · 六段階受け入れ Runbook
VPS やクラウド Mac 上で OpenClaw Gateway を稼働させながら、公式 Browser Relay 拡張機能付きのローカル Chrome で Web 自動化を行いたい——ヘッドレス Chromium コンテナではなく、実ブラウザを使いたい場合のプレイブックです。典型的な失敗例は、拡張機能が接続済みと表示される一方で CDP が no tab is connected を返す、または SSH トンネル 後に 401 やポートプローブの不一致が発生するケースです。本文は、リモート制御面とローカル実ブラウザを監査可能な形で分離したいチーム向けに、ヘッドレス Docker との意思決定マトリックス、18792 ヘルスチェックとトンネルパラメータの症状対照表、六段階 Runbook を提供します。ヘッドレスブラウザ Skill チェックリスト および Compose ネットワーク Runbook と併読することをお勧めします。
2026 年のデフォルト構成では、Gateway は 127.0.0.1:18789 を、開発ノート PC 上の Browser Relay は 127.0.0.1:18792 をリッスンすることが多いです。Gateway をリモート VPS に移すと、制御面とブラウザ面が別ネットワーク名前空間に分離されます。Agent は依然として localhost を参照しますが、ブラウザはノート PC 上にあります。コミュニティ報告(リモート Gateway + SSH トンネル)では、ローカル runtime マップのみを検証する relay 認証によるトンネル越し 401、誤ったポートへの EADDRINUSE プローブ、拡張機能 ON だがタブ未 Attach といった問題が集中しています。チャネル応答を完全な受け入れ条件とみなすと、モデルタイムアウトの調整に何時間も費やすことになります。
拡張機能の緑ランプを E2E 合格と誤認する:ON 表示は relay プロセスがリッスンしているだけです。対象サイトでタブを開き Attach しない限り、CDP は no tab を報告します。
トンネル方向の逆転:リモート Gateway がローカル 18792 に到達する必要がある場合は、リモート転送 -R を使用します。-L でリモート 18789 をノート PC にマップするだけでは、ブラウザ面は修復されません。
トークンとポート表のドリフト:relay token、トンネルマップ、拡張機能オプションは同一セットである必要があります。一つだけ変更すると 401 や空ポートが発生します。
ヘッドレス Docker との混同:コンテナには shm_size が必要です。ローカル Relay にはトンネルと Attach が必要です。ヘッドレスチェックリスト を参照してください。
利便性のために Gateway を 0.0.0.0 にバインドする:制御面の露出が拡大します。loopback + トンネルまたは私設網を維持し、ネットワーク記事 に従ってください。
五項目を変更チケット上のトンネル必須条件と禁止パターンとして明文化してください。次のセクションでは、ヘッドレスコンテナとローカル Relay の間で署名可能なマトリックスを提示し、その後にコピー&ペースト可能な受け入れ手順へ進みます。
個人の好みではなく、ブラウザの実行場所、ユーザーセッションの保持主体、コンプライアンス境界に基づいて選択してください。表で一つを選んだ後は、同一変更ウィンドウで両スタックを同時に調整しないでください。
| パターン | 適合シナリオ | 主なコストとリスク |
|---|---|---|
| Docker ヘッドレス Chromium | ノート PC SSO 不要の無人 VPS バッチ | shm/メモリピークが高い。フィンガープリントが実プロファイルと異なる可能性 |
| ローカル Chrome + Relay | ノート PC Cookie/SSO、対話型デバッグが必要 | SSH トンネルと拡張 Attach が必要。リモート Gateway はブラウザを公網に露出させない |
| 専用 24/7 クラウド Mac + Relay | 同一リージョンでチーム共有容量が必要 | 運用コストは上がるが SLA とトンネルテンプレートを防御可能 |
Relay の安定性は、18792 の所有者、トンネルがどの localhost をマップするか、トークンが同一セットかで決まります。他のチューニングは二次的です。
2026 年の公式ガイダンスでは、制御面に openclaw onboard --install-daemon と openclaw gateway status、openclaw doctor を推奨しています。ブラウザ Skill には relay ヘルスとタブ Attach を Gateway 緑と同等のリリースゲートとして追加してください。
この手順は Gateway インストールトラブルシューティングチェックリスト の続きです。制御面を証明してからブラウザ面へ進みます。各ステップの出力をチケットに貼り付けてください。
Gateway を受け入れる:VPS で openclaw gateway status を実行し、18789(または文書化したポート)の loopback バインドを確認します。到達性はプロキシまたは SSH のみです。
ローカル Relay を起動する:Chrome 拡張機能をインストールし、ノート PC で curl -sS http://127.0.0.1:18792/health を実行します。
タブを Attach する:対象サイトを開き拡張機能で Attach します。Attach なしでは no tab is connected は想定どおりです。
トンネルを作成する:ノート PC から例えば ssh -N -R 18793:127.0.0.1:18792 user@vps を実行し、Gateway relay URL を VPS 上の 127.0.0.1:18793 に向けます。
トークンを揃える:Gateway relay/gateway token を拡張機能または環境変数注入と一致させます。トンネル越し 401 では gateway token ヘッダーを確認します。
エンドツーエンド Skill:最小ブラウザ Skill を実行し openclaw logs --follow を tail します。失敗時は症状表で一変数ずつ調整します。
curl -sS http://127.0.0.1:18792/health openclaw gateway status ssh -N -R 18793:127.0.0.1:18792 user@your-vps.example curl -sS http://127.0.0.1:18793/health
ヒント:コンテナ内ヘッドレスブラウザへ切り替える場合は、ヘッドレス Skill チェックリスト を使用し、本 Runbook に shm 調整を重ねないでください。
症状から索引します。実験ごとに一変数だけ変更し、curl とログ断片をアーカイブしてください。
| 症状 | 最初に確認 | 典型原因と対処 |
|---|---|---|
| 拡張 ON、Skill が no tab connected | 対象 URL でタブを開き Attach したか | 運用ゲート。Runbook に明記 |
| トンネル後 curl mapped-port /health 失敗 | ssh -R 生存、リモートリスナー | トンネル切断またはポート占有。ss -lntp を使用 |
| Relay 401 / unauthorized | トークンヘッダーと設定 | リモートトンネルが gateway token 未使用。設定を揃える |
| EADDRINUSE だがブラウザ利用不可 | プローブポート vs 実 Relay ポート | ポート表を統一。コミュニティトンネル事例を参照 |
| Gateway CLI タイムアウト | 18789 到達性、SSH -L | Relay を疑う前に ネットワーク記事 を読む |
警告:API キー、リバースプロキシ証明書、トンネルポートを同一変更でローテーションしないでください。三重変更は二分探索できません。
ローカル Relay は対話型デバッグとノート PC のユーザーアイデンティティに適しています。24/7 無人実行が必要、または個人ノート PC トンネルを維持できない場合はトポロジを移行してください。
| シグナル | 推奨アクション | 備考 |
|---|---|---|
| 複数ユーザーが一開発者ノート PC トンネルに依存 | ヘッドレス Docker または専用クラウド Mac へ移行 | バスファクターを排除 |
| スリープでトンネルが週次切断 | リージョン固定 24/7 ノード + 標準化 ssh/systemd | トンネル uptime を SLO に計上 |
| 公網ブラウザ到達が要件 | 不可。ヘッドレスまたは準拠リモートデスクトップ | Relay は loopback 信頼を前提 |
アドホック VPS + 手動 SSH は初期段階では柔軟ですが、本番 OpenClaw には署名可能な容量とチケット化された変更が必要です。Gateway とブラウザワークロードを予測可能な 24/7 クラウド Mac フットプリントに置き、固定 Runbook で管理する方が、ポート編集の繰り返しより効率的です。専用でリージョン安定の Mac 容量が必要なチームには、制御面と Relay またはヘッドレスプロファイルを同居させるVpsMesh Mac Mini クラウドレンタルが通常最適です。料金は 価格ページ、手順は ヘルプセンター をご覧ください。
デバッグ用に -L 18789:127.0.0.1:18789 でリモート Gateway 制御面をノート PC に引きます。-R で VPS がローカル 18792 に到達し、Gateway relay URL と一致させます。制御面タイムアウトは Compose ネットワーク記事 を参照してください。
まず対象サイトでタブを開き Attach してください。Attach 後も失敗する場合はトンネル health とトークンを確認し、インストールトラブルシューティングチェックリスト のログ手順に従ってください。
非推奨です。loopback + SSH/私設網を維持するか、ヘッドレス Docker Skill または専用ノードへ切り替えてください。