update vs migrate · plan / dry-run · JSON · Gateway 18789
La ligne v2026.4.26 ancre openclaw migrate dans une pratique auditable : un volet plan expose chemins touchés et surface des secrets, un dry-run matérialise les diffs avant écriture, et les flux d'import intégrés rapprochent prompts, fiches MCP et compétences issues de Claude Code ou Claude Desktop sans maintenir deux vérités silencieusement divergentes. Sur Mac loués, OPENCLAW_PLUGIN_DIR devient le révélateur des couches en lecture seule : l'échec d'installation ressemble à un hasard réseau alors que la racine inscriptible est mal choisie. Ce guide s'adresse aux équipes qui changent de nœud, fusionnent des dépôts de configuration ou élisent l'espace Claude comme canon — pas à une simple soirée de patch.
Nous livrons une matrice décisionnelle, un runbook en huit titres prêts pour ticket, quatre phrases normatives pour journaux de changement, et une grille VNC car les preuves de consentement navigateur n'existent pas dans un scrollback SSH. Seuls les slugs présents dans le fichier français blog-data.js sont utilisés : Docker officiel Compose, démon et launchd, dix solutions d'erreurs fréquentes, registre froid 4.25, et pour mémoire la migration config 3.x où la saisie manuelle dominait encore.
Avant le premier apply, fixez par écrit qui gagne en cas de conflit — wiki interne, pas fil Slack éphémère. Si Docker et bare metal coexistent, recroisez montages de volumes, variables conteneur et clés EnvironmentVariables du plist après migration, sinon vous héritez du symptôme « doctor vert dans le bac, UI rouge sur l'hôte ».
Les alarmes proches du registre persistant froid relèvent de la lecture 4.25 : un migrate ne remplace pas un cycle repair ni l'alignement binaire quand plusieurs versions cohabitent. Le port 18789 doit être identique dans JSON, variables et reverse-proxy ; toute divergence nourrit les tempêtes 401 cataloguées dans l'article dix solutions.
Les équipes réglementées devraient joindre au ticket non seulement le JSON de dry-run mais aussi un court récit de décision : pourquoi tel prompt a été écrasé, pourquoi tel endpoint MCP reste côté Claude jusqu'au sprint prochain. Ce genre de méta-information évite qu'un collègue restaure un backup weekend en croyant réparer alors qu'il réintroduit la divergence. Lorsque plusieurs fuseaux horaires participent, horodatez explicitement le fuseau du moment où l'apply a été lancé afin d'éviter les collisions sur fichiers synchronisés maison.
Enfin, rappelez-vous que les pipelines CI qui appellent OpenClaw en tâche de fond ne remplacent pas la validation humaine des flux OAuth et des fenêtres de consentement : automatiser le merge sans contre-passation GUI reproduit exactement les incidents que VNC est censée éliminer. Gardez donc une plage horaire où un pair peut se connecter en graphique, ne serait-ce que pour une revue de dix minutes, avant de clôturer le change.
Update actualise une lignée saine unique. Migrate gère mouvements structurels : nouvel hôte, autre state dir, import massif. Mélanger les usages gonfle les tickets et noircit les journaux sans valeur ajoutée.
Les binômes Compose + bare metal exigent d'abord la lecture Docker pour éviter deux Gateways rivaux sur la même narration opérationnelle.
Patch, même machine : openclaw update + doctor ; pas de migrate rituel.
Nouveau nœud : migrate plan / dry-run avant démarrage Gateway.
Canon prompts côté Claude : import 4.26 plutôt que double tenue.
Install EROFS : racine inscriptible + OPENCLAW_PLUGIN_DIR avant nouveau update.
Compose vs bare : guide Docker puis migration.
launchd : plist post-migrate, voir checklist.
Le tableau oriente le premier geste sans remplacer tcpdump ni journaux structurés. Ajoutez quelles métriques vous observez la nuit du merge — sans courbe de base, défendre une régression mineure est impossible.
Pour les bascules orchestrées avec plusieurs paysages (staging/prod), notez l'ordre de réactivation : Gateway, doctor ou UI plugins — cela évite de mélanger rollback applicatif et redémarrage container.
Lorsque vous combinez ce runbook avec des contrôles d'accès Zero Trust, vérifiez que le broker d'identité utilisé pour SSH n'écrase pas silencieusement les variables attendues par le Gateway : certains jump hosts injectent des proxys HTTP qui cassent les healthchecks locaux jusqu'à ce qu'on les liste explicitement dans la section réseau du JSON migré.
| Signal | Mouvement | Suivant | Éviter |
|---|---|---|---|
| paquet obsolète seul | update + doctor | cache | migrate totale |
| hôte neuf | plan + JSON | secrets | JSON copié à la main |
| MCP vivant dans Claude | merge 4.26 + dry-run | tickets masqués | deux livres maîtres |
| lecture seule install | racine + repair | Gateway | chmod monde |
| Gateway mixte | binaire + registry | flux 4.25 | reboot seul |
Chaque étape peut devenir le titre du change. Ouvre une session VNC avec l'utilisateur propriétaire du Gateway. Gardez les sorties doctor avant/après apply dans le même dossier d'artefacts que le JSON de migrate pour les audits sécurité qui n'ont pas SSH prod.
Sans instantané de volume, le rollback sur cloud loué devient archéologie : citez l'ID snapshot dans le ticket. Si volumes système et données sont séparés, documentez lequel doit rester immuable — cela explique les dépendances à moitié écrites post-migrate.
Pour les preuves visuelles réglementées, capturez écran ou courte vidéo dans cette session ; changer d'utilisateur casse le contexte TCC et invalide la chaîne de preuve. Vérifiez aussi extensions navigateur : un bloqueur agressif imite un défaut Gateway.
En environnement multi-locataire, veillez à ce que OPENCLAW_PLUGIN_DIR ne pointe pas vers un home provisionnel renommé au prochain cycle image — le JSON peut être parfait et l'exécution encore incohérente. Ajoutez un rappel sur la rotation des clés API utilisées pendant le merge : un simple renouvellement peut invalider une étape de test faite la veille.
Empreinte : version, doctor, canal, conteneur ?
Sauvegarde : claw backup + snapshot.
Plan : sous-commande documentée.
Dry-run JSON : ajouts vs canon.
Revue merge Claude : masquage secrets.
Racine + repair/doctor plugins.
Gateway : 18789, WS, dix solutions.
Gel CR : diff, rollback, contacts Docker/launchd.
openclaw --version && openclaw doctor claw backup openclaw migrate <plan|dry-run selon notes> openclaw plugins repair openclaw status
OPENCLAW_PLUGIN_DIR classés inscriptibilité, pas réseau.Formulation volontairement normative pour insertion directe dans Jira/ServiceNow sans réécriture polie ultérieure qui vide le sens. Les équipes juridiques peuvent exiger que chaque phrase cite la source de vérité applicative correspondante ; préparez donc des hyperliens internes vers vos registres de configuration d'entreprise.
Ce qui manque à SSH : clics réels, WebSocket observable, UI plugins alignée CLI. Sur hôtes partagés l'économie d'énergie peut tronquer sessions derrière la fenêtre VNC — vérifiez cohérence avec launchd. Précisez aussi la résolution minimale du bureau : certains assistants masquent leurs boutons d'approbation sur petits écrans distants, imitant un blocage Gateway inexistant.
| Élément | En VNC | OK |
|---|---|---|
| loopback / proxy | outils dev | 401 maîtrisé, WS stable |
| droits système | dialogs | même utilisateur |
| sommeil | politique | aligné launchd |
| UI plugins | liste GUI | concordance CLI |
Volumes, loopback, vérif UI.
Lire →Environnement post-arbre.
Lire →Repair & Gateway mixte.
Lire →Un hôte, un canon ⇒ update. Changement machine ⇒ plan.
Vraie racine inscriptible puis repair + 4.25.
CLI/JSON oui ; consentements section 05.
Exploitation quotidienne ; gros merge ici.
Migrate prouve les fusions mais n'absout pas une infra négligée. Le métal nu facture énergie et garde de nuit. Louer un nœud Apple Silicon avec SSH + GUI vérifiable recentre le bruit chez l'hébergeur et laisse les diffs au cœur du métier. Pour les indépendants, documentez votre propre politique de rétention des snapshots afin de ne pas dépendre uniquement du fournisseur cloud.
Contrastez avec migration 3.x : là dominait la transcription manuelle ; ici le plan machine-readable est la preuve. Les revues de code humaines doivent encore valider les secrets référencés : un JSON peut être syntaxiquement parfait tout en pointant vers un coffre expiré.
VNCMac — page principale d'achat : buy-mac-cloud ; accueil produit. Conservez Docker, launchd et dix solutions dans le même dossier de run pour audits futurs.