Windows-first, SSH seul vs Mac loué VNC, ports, huit étapes
Ce guide s’adresse aux équipes dont le poste principal est Windows mais qui louent un macOS Apple Silicon pour signatures, simulateurs et flux OAuth. Nous séparons clairement la CLI openclaw, le Gateway navigateur et l’application compagnon dans la barre de menus afin d’éviter les tickets où SSH prétend tout va bien pendant que l’interface montre un état obsolète. Pour un dossier d’exécution unique, joignez le guide Docker Compose officiel, le guide reverse proxy HTTPS, l’article Mac local vs hôte SSH vs Mac distant VNC et le parcours 10 minutes jusqu’au premier chat. Ainsi, finance, sécurité et ingénierie partagent un vocabulaire unique sur transports, ports et classes de preuve.
La CLI est votre levier d’automatisation : figer les versions, exécuter doctor, consommer des codes de sortie exploitables par la CI et des lignes JSON que le monitoring classera demain. Le Gateway est la surface où l’humain valide refus d’outils, panneaux et consentements navigateur dans le même profil que les jetons réels. Le compagnon macOS doit rester modeste : pastilles d’état, rappels courts, liens profonds vers CLI ou Gateway pour toute action longue. Lorsqu’on mélange ces couches, chaque incident devient un débat sur « réseau ou interface » au lieu d’une chaîne de causes vérifiables.
Sur Mac loués, l’écart entre compte SSH interactif et utilisateur du démon LaunchAgent est monnaie courante. Sans fenêtre VNC courte avec le même utilisateur que le service, vous traquez des fantômes : fichiers corrects, comportement erroné. Calendrier une quinzaine de minutes mensuelles pour aligner Finder, Terminal et Gateway supprime plus de friction qu’un atelier d’architecture supplémentaire.
CLI : semver, doctor, journaux d’audit, smokes reproductibles.
Gateway : UX de refus, outils, OAuth, captures courtes.
Compagnon : notifications, mini-santé, pas de builds longs.
Règle de partage : jobs > dix minutes → files ou workers, jamais menu-bar.
Preuve : chaque couche journalise hôte, UID effective et release sur une ligne.
Revue : étiquette de couche sur chaque PR ; changements mixtes refusés.
Les ingénieurs vivent dans VS Code ou Visual Studio, poussent des builds via GitHub Actions et n’ouvrent un Mac que lorsqu’Apple l’exige. SSH excelle pour le texte, mais il ment par omission dès qu’un panneau Gateway ou un dialogue Keychain doit être vu. La discipline consiste à budgétiser VNC : petits créneaux réservés à la collecte de preuves, SSH pour le quotidien. Sur Windows, documentez presets viewer, forwards et profils navigateur distincts pour éviter qu’un Chrome personnel partage l’état OAuth du Mac loué.
Cartographiez chaque saut réseau vers le port final. Sinon, quelqu’un teste 127.0.0.1 côté laptop tandis que le listener réel vit derrière nginx sur le nœud. Cette banalité évite des dizaines d’heures de messages croisés par trimestre, surtout lorsque l’équipe est répartie sur plusieurs fuseaux.
L’ennemi n’est pas la latence VNC, c’est le mélange des classes de preuve sur un même ticket.
La matrice reste volontairement étroite : elle répond uniquement à la question « preuve textuelle suffisante ou session graphique requise ? » Les SLA régionaux et prix horaires appartiennent à une autre feuille.
| Scénario | SSH seul OK | VNC même utilisateur | Note |
|---|---|---|---|
| doctor & stabilisation des journaux | oui | une fois à l’onboarding | Piéger les caches UI tôt. |
| refus Gateway visibles | risqué | oui | Le JSON ne montre pas les états couleur. |
| OAuth / consentement | si forward impeccable | oui | Boucle localhost cohérente. |
| glisser-déposer vs cwd | non | oui | Finder et terminal dans le même cadre. |
| TLS nginx + compose | lire les diffs | oui | Vérifier WebSocket Upgrade et timeouts. |
| CI nocturne sans humain | oui | non | Artefacts vers stockage objet. |
Les collisions naissent quand le port par défaut du Gateway, les publications Docker, l’amont nginx et un serveur de dev local réutilisent le même numéro. Listez chaque listener : processus, utilisateur effectif, adresse de liaison, dépôt associé. Mettez à jour la table à chaque changement compose ou launchd. Sans carte, c’est la voix la plus forte qui gagne l’appel incident ; avec carte, c’est la documentation.
La terminaison TLS change les symptômes : le navigateur parle certificats pendant que la CLI parle handshakes. Ne mélangez pas ces journaux dans un même paragraphe de cause racine si seul un intermédiaire a expiré. Gardez le guide proxy sortant à côté du guide nginx pour que la sécurité ne reçoive pas trois PDF contradictoires.
Gel : semver, build OS, identifiant de location, variables d’environnement exportées.
Voie SSH : doctor vert, journaux structurés ; optionnel capture pied de page Gateway.
Carte ports : aligner nginx, compose et launchd.
Déploiement : bump CLI, redémarrage Gateway, compagnon sous même utilisateur.
Smoke : chemins autorisés et refusés, chacun croisé avec ligne d’audit.
Preuve VNC : courte capture avec texte de chemin visible et numéro de ticket audio.
Alerting : paliers sur refus ; fuites symlink escaladées immédiatement.
Paquet rollback : diff, table, captures, JSON en ZIP modèle pour la prochaine fois.
openclaw --version openclaw doctor openclaw status || true /usr/sbin/lsof -nP -iTCP -sTCP:LISTEN | rg -n "18789|nginx|openclaw" || true
Le compagnon macOS séduit par sa simplicité : une pastille verte rassure. Or une pastille ne prouve ni WebSocket Gateway, ni en-têtes nginx, ni jetons OAuth rafraîchis. Limitez le compagnon aux signaux précoces qui alimentent les mêmes canaux de télémétrie que la CLI ; le go-live reste ancré sur JSON CLI et capture Gateway ciblée. Sinon vous créez une culture où « l’icône est verte » remplace des preuves auditables, exactement ce que la conformité déteste.
Docker ne remplace pas l’hygiène des comptes humains. Trois ingénieurs SSH sur un même hôte sans discipline VNC mèneront toujours à des fichiers divergents, même avec des images identiques. Le guide Compose garantit des layouts reproductibles, pas la sagesse des comptes. Ajoutez un rituel mensuel : quinze minutes VNC pour comparer les répertoires personnels du démon et de l’admin, résultats archivés dans le dossier de run. Ce rituel coûte moins cher qu’un week-end de guerre des versions.
Remote SSH dans VS Code accélère les éditions mais obscurcit parfois le chemin canonique côté serveur. Ajoutez à vos smokes une ligne qui imprime explicitement le chemin résolu sur le Mac loué, pas seulement le chemin relatif affiché par l’éditeur. Quand cette ligne correspond à l’audit JSON du Gateway, vous tenez une chaîne solide sans copier-coller manuel.
La performance perçue dépend souvent plus de la charge cognitive que des mégabits. Réduisez animations Finder, limitez onglets navigateur, choisissez des presets VNC sobres : chaque minute économisée finance une itération doctor supplémentaire ou la lecture attentive d’un extrait error.log nginx. C’est moins coûteux que des instances plus grosses ou des licences viewer premium.
Les revues sécurité exigent des artefacts machine-lisibles. Les captures convainquent les humains mais se diff mal. Exigez au moins une ligne JSON ou une sortie CLI nommant exactement le même chemin que la capture ; sinon le ticket est incomplet. Intégrez cette règle au template de pull request ; une vérification CI simple peut chercher un motif de chemin dans la description.
Quand l’auteur initial de la table des ports part, la table ne doit pas devenir une épave. Versionnez-la dans le dépôt, pas seulement dans le wiki, pour forcer des revues de diff. Les wikis conservent volontiers des ports morts parce que personne ne lit l’historique ; git impose au moins un regard furtif.
Les formations doivent montrer aux juniors que « SSH vert » n’implique pas « production sûre ». Un atelier d’une heure où l’on provoque puis résout une collision avec la table paie le premier incident évité. Enchaînez avec le parcours 10 minutes pour que l’installation reste un document cliquable, pas une mémorisation fragile.
Dans les équipes bilingues, publiez un mini glossaire : définition de Gateway vs compagnon, traduction stable de « deny », vocabulaire « pairing ». L’alignement lexical réduit les malentendus Slack à trois heures du matin lorsqu’il ne reste que des fils de discussion.
À long terme, séparez les tables de ports staging et production et exigez un diff contrôlé lors des promotions. Si staging peut diverger arbitrairement, il ne sert plus. Si seules des lignes approuvées peuvent changer, vous disciplinez snippets nginx et overrides compose. Ajoutez un exercice de rollback trimestriel dont la date figure dans le README ; un drill périmé vaut à peine mieux que son absence.
Les réseaux d’entreprise proxifiés exigent un registre des exceptions DNS. Chaque nouveau domaine OAuth ou CDN de plugin reçoit une entrée et une date d’expiration ; sinon la liste glisse vers « tout autoriser », déclenchant inspection TLS ailleurs. Séparez les journaux proxy des journaux Gateway quand vous analysez des timeouts, sinon vous tournez deux boutons sans apprentissage.
Enfin, louer un Mac découple le CapEx du bureau mais n’efface pas l’obligation de preuve explicite. CLI, Gateway et compagnon sont des outils ; la culture d’exploitation est le produit durable. Ceux qui appliquent la matrice et le runbook gagnent la vitesse Windows-first sans sacrifier chaque week-end. Ceux qui les ignorent achètent du matériel bruyant tout en conservant les mêmes bugs fantômes.
Pour rejouer ces validations sur un nœud Apple Silicon loué, utilisez VNCMac : bouton principal vers la page d’achat, contexte produit sur l’accueil, instructions de connexion dans le centre d’aide. Conservez Docker, reverse proxy et SSH/VNC dans le même dossier que ce guide pour garder un récit d’incident linéaire.
Gateway, plugins, stabilité.
Lire →Egress d’entreprise et démarrage.
Lire →Cadence de releases et rollback.
Lire →La CLI porte scripts, CI et grep de journaux ; le Gateway porte panneaux d’outils et politiques visibles dans le navigateur ; le compagnon reste pour l’état menu-bar, alertes courtes et mini-contrôles de santé. Mélanger les responsabilités ralentit chaque post-mortem.
Dès qu’il faut preuves OAuth, extensions navigateur, glisser-déposer Finder contre le cwd du terminal, ou cohérence de cache Gateway dans la même session utilisateur graphique.
Inventorier les listeners avec propriétaire de processus et contexte utilisateur effectif, puis relier défaut Gateway, amont nginx, publication Docker et binaires de dev lancés en double.
Stabiliser SSH avec doctor et journaux structurés, ouvrir une courte fenêtre VNC même utilisateur pour triple cohérence Gateway, puis confier la surveillance continue au compagnon selon le runbook en huit étapes.
Trois couches distinctes, classes de preuve SSH vs VNC séparées, table des ports versionnée : voici le socle. La matrice et le runbook se collent tel quel dans un ticket pour raccourcir les réunions d’adoption.
VNCMac — page d’achat pour les offres, accueil produit pour le contexte.