proxy.enabled · OPENCLAW_PROXY_URL · 八段ランブック · VNC 査収
OpenClaw v2026.4.27 はランタイム向けに運用者管理の外向き HTTP フォワードプロキシ経路を形式化する。構成では proxy.enabled と proxy.proxyUrl、シェル単体では OPENCLAW_PROXY_URL を用い、http:// スキームのフォワードプロキシ URL を厳格に検証し、終了時にプロキシ用ディスパッチャ状態を掃除する。同リリースは Gateway のブート挙動を締め、マニフェスト優先のプラグインメタデータへの移行を続けるため、プロバイダ探索や価格キャッシュ更新が帯域を奪う瞬間の「冷間起動」体感が変わる。銀行・OEM・地方拠点など単一出口ホストを義務付ける現場では、失敗モードは「OpenClaw がプロキシに未対応」ではなく、ループバックのコンソール通信が誤った経路へ引きずられることや、TLS インターセプションがモデルカタログ取得の途中で折れることにしばしば落ちる。本稿はインバウンドのリバースプロキシ TLS(ユーザーが Gateway にどう届くか)と外向きフォワードプロキシ方針(Gateway が OpenAI・Anthropic・Slack API 等へどう出るか)を分離し、症状マトリクス、八段ランブック、チケット向け四結論、レンタル Mac 上の VNC 査収表をまとめる。企業ネットワーク越しのデスクトップ/VNC・SSH トンネル査収とGateway HTTPS リバースプロキシ硬張りはグラフの別辺を担うので併読すること。加えて大規模アップグレードとディレクトリ合流は 4.26 migrate 査収稿 とチケットを分け、プロキシ資格情報の回転は SecretRef 監査稿 の運用と番号を揃えると夜間の手戻りが減る。運用メモでは「PAC が対話シェルだけ上書きした」「launchd の環境と対話端末の環境が食い違った」といった差分を一行ログに残し、変更票の承認 ID とペアにすると監査が通りやすい。外向き検証はステージングで出口 ACL を本番と揃えたうえで実施し、本番ではロールバック手順と緊急バイパス承認を先に貼ってから触るのが安全である。
macOS の「自動プロキシ構成」は Safari や多くの GUI に効くが、Node 系 CLI は HTTP_PROXY 等を明示しない限り無視しがちである。OpenClaw の明示キーは推測を減らす:フォワーダをランタイム層で一度宣言しスキームを検証し、終了フックでローテーション後の古いディスパッチャ配線を残さない。ただし Meet やブラウザ自動化が使う Chrome プロファイルは自前のプロキシ方針を持つため、自動では同一スタックに入らない。ランブックには両系統を書くこと。リリースノートが強調するループバック専用 Gateway のバイパス意味論は、ローカル Control UI を企業 MITM へ無理に通すと WebSocket 失敗がアプリ不具合に見える原因になる。「localhost コンソール」と「インターネット API」はルーティング表を分け、行をコピペしない。ディスクが小さいクラウド Mac ではブート時のマニフェスト走査とディスク争いが重なると CPU スパイクだけが目立つので、観測はプロセス起動から最初の健全チャネル印までの壁時計と、プロバイダ別の TLS 往復を分けて記録する。
透明プロキシ環境では OpenClaw の TLS スタックが企業ルートを信頼できることが前提になる。信頼鎖が欠けると「モデル側障害」のような幽霊エラーが増える。インバウンドで nginx/Caddy が TLS 終端していても、上流フェッチのプロキシは別問題である。
運用意図:十二個のシェルプロファイルに埋めた偶発的な export ではなく、ローテーション資格情報まで監査できる出口設計。
TLS 現実:透明プロキシは企業配布ルートで終端する必要がある。
インバウンド分離:リバースプロキシで TLS を終端しても上流 fetch のプロキシは自動では設定されない。
秘密の衛生:プロキシパスワードは該当する場合 SecretRef ワークフロー に揃える。
テレメトリ:プロキシ有効前後のハンドシェイク時間を取得し変更票に添付する。
オンコールが「最後の列の誤読」で同じプレイブックを繰り返さないためのルーティング関数として使う。企業 VPN と固定出口の組み合わせでは、対話端末だけ PAC が効いてデーモンが素通りするケースが残るので、親プロセス環境のダンプを変更票と突き合わせる。
| 症状 | 最初に見る | 次に見る | よくある誤認 |
|---|---|---|---|
| Gateway は緑だがチャネルが数分停滞 | 外向きカタログ/価格取得がプロキシで遮断 | プラグインマニフェスト再生成経路 | 「Telegram プラグイン退行」 |
| 407/プロキシ認証ループ | launchd と対話シェルの資格情報不一致 | PAC が明示 URL を上書き | 「プロバイダレート制限」 |
| Control UI の WS 失敗 | localhost が企業プロキシ強制 | リバースプロキシ側の Upgrade 欠落 | 「OpenClaw の SSL 不具合」 |
| ブート時だけ CPU が尖る | 並列マニフェスト走査 | 小容量クラウドディスクの競合 | 「LLM を大きくすべき」 |
ブートから ready とチャネル ready は独立に測り、両方が緑になってから一本化する。
v2026.4.27 は Telegram の境界、Slack ソケットタイムアウト、Gateway プリウォーム順序など広い信頼性変更も同梱する。無関係なチャネル修正と時刻が重なる回帰では、プロキシを一分おきにトグルする前に非必須プラグインを一時無効化して二分割する。ループバックのブラウザ検証は リバースプロキシ稿 の WebSocket 節とセットで読むとヘッダ欠落の切り分けが速い。
本番出口を鏡像したステージングで順番に実行する。プロキシ URL・認証ドメイン・緊急バイパス承認 ID を触る前に文書化する。検証ユーザは Gateway サービスと同一 macOS ユーザーに揃え、企業越し接続稿 の SSH/トンネル手順でまずデスクトップに辿り着ける状態にしてから OpenClaw 側をいじる。
版の固定:openclaw --version が v2026.4.27(またはピンしたパッチ)であることと Node 配布を記録。
構成のアーカイブ:設定ルートと launchd plist または systemd 断片を tarball。
素の出口試験:同一サービスアカウントから二プロバイダと、あれば企業 PAC 取得 URL へ curl -v。
OpenClaw プロキシ適用:構造化キーを有効化するか、デーモン環境のみ OPENCLAW_PROXY_URL を設定。要求なければ競合するレガシー HTTP_PROXY は重ねない。
doctor ゲート:openclaw doctor でスキーマ警告を潰してから再起動ループに入る。
再起動と時刻印:プロセス起動から最初の健全チャネル印までの壁時計をログ。
低リスクチャット試験:重いツール無しで二チャネルに最小プロンプト。
公開メモ:将来の切り分けへ 共通エラー十大パターン稿 へリンク。
export OPENCLAW_PROXY_URL="http://proxy.corp.example.com:8080" openclaw doctor openclaw gateway restart
注:キー名は進化する。openclaw doctor と公式ドキュメントをコピペ YAML より優先する。
大規模ディレクトリ移行を同一変更夜に混ぜる場合は migrate 査収 のバックアップ手順と整合させ、ロールバック演習を先に一度通す。プロキシ認証が NTLM 系で複雑な組織では、デーモンが対話プロンプトを取れないため資格情報注入経路を事前に決め、SecretRef のローテーション SLA と番号をチケットに書く。
Gateway サービスと同一 macOS ユーザーで実施する。SSH でログを追うだけではブラウザ側のプロキシ上書きを見落とす。レンタルの Apple Silicon Mac は Wi‑Fi プロファイルのローミングノイズから実験を切り離せる:イメージをスナップショットし、スタックを証明してから昇格させる方が、共有ノート PC で PAC 争いを夜間にやるより安い。Control UI を開くブラウザは拡張を最小にし、DevTools のネットワーク列で ws: のステータスと証明書警告を一枚に収める。
| 査収項目 | 手順 | 合格基準 |
|---|---|---|
| システムプロキシ | ネットワーク設定/PAC。 | 宣言方針と一致しドリフト無し。 |
| Control UI | ブラウザ DevTools の Network。 | WS 101、mixed content 無し。 |
| デーモン環境 | 親プロセス環境の確認。 | チケット値と一致。 |
| 二系統 curl | プロキシ経由で二プロバイダ。 | TLS が安定し再試行嵐が無い。 |
| チャネル試験 | 低リスクメッセージ。 | リトリー嵐が無い。 |
検証が終わったらプロキシ URL のマスク済みスクリーンショットと doctor の緑行を変更票に貼り、翌四半期のローテーション担当へ引き継ぐ。インシデント時は症状マトリクスの「よくある誤認」列を最初に読み返すとエスカレーションの質が上がる。
インバウンド TLS と外向きフォワードプロキシの責務分界。
読む →OpenClaw の出口を触る前に Mac へ辿り着く。
読む →大きなアップグレードとネットワーク変更の同夜回避。
読む →自動では置き換わらない。意図的に両方を揃え、PAC 上書きに注意。
localhost コンソールは原則免除。上流 HTTPS は承認フォワーダ経由。
Gateway ブートタイムラインと外向き TLS を先に比較する。
CLI は多くを拾うがブラウザ面は VNC レベルの確認が有利。
外向きプロキシ対応は「Slack が詰まる理由不明」をネットワークチケットへ落とせるようにするが、ループバック意味論とタイムライン記録を軽視すると再び霧になる。稼働証跡として doctor の緑行・マスク済みプロキシ URL・ブートからチャネル ready までの秒数を一枚にまとめておくと、四半期後のローテーションでも説明コストが下がる。
ノート PC が週次で Wi‑Fi を変える環境では PAC 検証がノイジーであり、固定された Apple Silicon のクラウド Mac に切り出すと再現性が上がる。共有ウルトラブック一台で深夜対応とプロキシ実験を兼ねるより、検証時間を経路設計へ寄せた方が結果が読みやすい。
NDA 回収が付いた短期検証ノードが欲しい場合は VNCMac の購入ページからプランを選び、ホームで製品概要を確認したうえで第 5 節の査収表をそのノードでもう一度回すとよい。リモート Mac レンタルは深夜の共有端末争いを減らし、プロキシ実験をスナップショット境界で隔離できる。