proxy.enabled · OPENCLAW_PROXY_URL · 여덟 단계 런북 · VNC 체크
OpenClaw v2026.4.27은 런타임을 위해 운영자 관리 아웃바운드 HTTP 포워드 프록시 라우팅을 공식화합니다. 구성에서는 proxy.enabled와 proxy.proxyUrl, 셸만 쓸 때는 OPENCLAW_PROXY_URL을 사용하며 http:// 포워드 프록시 URL을 엄격히 검증하고 종료 시 프록시 디스패처 상태를 정리합니다. 같은 릴리스는 Gateway 부트 동작을 다듬고 매니페스트 우선 플러그인 메타데이터 전환을 이어가므로 프로바이더 탐색이나 가격 캐시 갱신이 대역을 먹는 순간의 냉간 기동 체감이 달라집니다. 은행·OEM·지역 사무실처럼 단일 출구 호스트를 강제하는 현장에서 실패 양상은 “OpenClaw가 프록시를 모른다”라기보다 루프백 콘솔 트래픽이 잘못된 경로로 끌려 간다거나 TLS 가로채기가 모델 카탈로그 다운로드 중간에 깨진다는 쪽에 자주 떨어집니다. 본문은 인바운드 리버스 프록시 TLS(사용자가 Gateway에 어떻게 닿는지)와 아웃바운드 포워드 프록시 정책(Gateway가 OpenAI·Anthropic·Slack API 등에 어떻게 나가는지)을 분리하고 증상 매트릭스, 여덟 단계 런북, 티켓용 네 가지 결론, 임대 Mac에서의 VNC 체크표를 정리합니다.기업망·VNC·SSH 터널 연계 점검과 Gateway HTTPS 리버스 프록시 글은 그래프의 다른 변을 담당하므로 함께 읽으세요. 대규모 업그레이드와 디렉터리 합류는 4.26 migrate 글과 티켓을 분리하고, 프록시 자격 증명 순환은 SecretRef 감사 글 운용과 번호를 맞추면 야간 재작업이 줄어듭니다. 운영 메모에는 “PAC가 대화형 셸만 덮어썼다”, “launchd 환경과 터미널 환경이 어긋났다” 같은 차이를 한 줄 로그로 남기고 변경 티켓 승인 ID와 짝을 지으면 감사가 수월합니다. 아웃바운드 검증은 스테이징에서 출구 ACL을 프로덕션과 맞춘 뒤 수행하고, 프로덕션에서는 롤백 절차와 긴급 바이패스 승인을 먼저 붙인 뒤 손대는 편이 안전합니다. 장시간 관측이 필요할 때 노트북이 주말마다 다른 와이파이 프로파일을 밟으면 PAC 검증이 소음으로 가득 차므로, 고정 출구를 가진 클라우드 Mac으로 실험을 옮기면 재현성이 좋아집니다.
macOS “자동 프록시 구성”은 Safari와 많은 GUI에 도움이 되지만 Node 기반 CLI는 HTTP_PROXY 등을 내보내지 않으면 자주 무시합니다. OpenClaw의 명시 키는 추측을 줄입니다: 포워더를 런타임 계층에서 한 번 선언하고 스킴을 검증하며 종료 훅으로 로테이션 이후 낡은 디스패처 배선을 남기지 않습니다. 다만 Meet나 브라우저 자동화가 쓰는 Chrome 프로파일은 자체 프록시 정책을 가지므로 자동으로 같은 스택에 들어가지 않습니다. 런북에 두 계통을 모두 적습니다. 릴리스 노트가 강조하는 루프백 전용 Gateway 바이패스 의미는 로컬 Control UI를 기업 MITM으로 억지로 넣으면 WebSocket 실패가 앱 결함처럼 보이게 만듭니다. “localhost 콘솔”과 “인터넷 API”는 라우팅 표를 나누고 행을 복사해 붙이지 마세요. 디스크가 작은 클라우드 Mac에서는 부트 시 매니페스트 스캔과 디스크 경합이 겹치면 CPU 스파이크만 두드러질 수 있으므로 관측은 프로세스 시작부터 첫 건강 채널 표식까지의 벽시계와 프로바이더별 TLS 왕복을 나눠 기록합니다.
투명 프록시 환경에서는 OpenClaw TLS 스택이 기업 루트를 신뢰할 수 있어야 합니다. 신뢰 사슬이 비면 “모델 측 장애” 같은 유령 오류가 늘어납니다. 인바운드에서 nginx나 Caddy가 TLS를 종료해도 상류 fetch 프록시는 별개 문제입니다.
운영 의도: 열두 개 셸 프로파일에 박힌 임시 export가 아니라 로테이션 자격 증명까지 감사 가능한 출구 설계.
TLS 현실: 투명 프록시는 기업 배포 루트로 종료해야 합니다.
인바운드 분리: 리버스 프록시로 TLS를 종료해도 상류 fetch 프록시는 자동 설정되지 않습니다.
비밀 위생: 해당 시 SecretRef 워크플로에 프록시 암호를 맞춥니다.
텔레메트리: 프록시 활성화 전후 핸드셰이크 시간을 수집해 변경 티켓에 첨부합니다.
온콜이 마지막 열의 오독으로 같은 플레이북을 반복하지 않도록 하는 라우팅 함수로 씁니다. 기업 VPN과 고정 출구 조합에서는 대화형 터미널만 PAC가 먹고 데몬은 통과하는 사례가 남으므로 부모 프로세스 환경 덤프를 변경 티켓과 대조합니다.
| 증상 | 먼저 | 다음 | 오인 |
|---|---|---|---|
| Gateway는 녹색인데 채널이 수분 정체 | 아웃바운드 카탈로그·가격 가져오기가 프록시에 차단 | 플러그인 매니페스트 재생성 경로 | “Telegram 플러그인 퇴행” |
| 407·프록시 인증 루프 | launchd와 대화형 셸 자격 증명 불일치 | PAC가 명시 URL 덮어씀 | “프로바이더 속도 제한” |
| Control UI WS 실패 | localhost가 기업 프록시 강제 | 리버스 프록시 쪽 Upgrade 누락 | “OpenClaw SSL 버그” |
| 부트 때만 CPU 치솟음 | 병렬 매니페스트 스캔 | 소형 클라우드 디스크 경합 | “LLM을 키워야 함” |
부트부터 준비 완료와 채널 준비 완료는 독립적으로 재고 둘 다 녹색일 때만 합칩니다.
v2026.4.27은 Telegram 경계, Slack 소켓 타임아웃, Gateway 프리웜 순서 등 넓은 신뢰성 변경도 함께 실립니다. 무관한 채널 수정과 시각이 겹친 회귀에서는 프록시를 매분 토글하기 전에 비필수 플러그인을 잠시 끄고 이분합니다. 루프백 브라우저 검증은 리버스 프록시 글의 WebSocket 절과 함께 읽으면 헤더 누락 분기가 빨라집니다.
프로덕션 출구를 거울처럼 맞춘 스테이징에서 순서대로 실행합니다. 프록시 URL·인증 도메인·긴급 바이패스 승인 ID를 건드리기 전에 문서화합니다. 검증 사용자는 Gateway 서비스와 동일 macOS 사용자로 맞추고 기업망 연계 글의 SSH·터널 순서로 먼저 데스크톱에 도달한 뒤 OpenClaw를 조정합니다.
버전 고정: openclaw --version이 v2026.4.27(또는 고정 패치)인지와 Node 배포를 기록.
구성 아카이브: 설정 루트와 launchd plist 또는 systemd 단편을 tarball.
순수 출구 시험: 같은 서비스 계정에서 두 프로바이더와 있으면 기업 PAC 가져오기 URL에 curl -v.
OpenClaw 프록시 적용: 구조화 키를 켜거나 데몬 환경만 OPENCLAW_PROXY_URL 설정. 필요 없으면 충돌하는 레거시 HTTP_PROXY는 중복하지 않음.
doctor 게이트: openclaw doctor로 스키마 경고를 없앤 뒤 재시작 루프에 들어감.
재시작·타임스탬프: 프로세스 시작부터 첫 건강 채널 표식까지 벽시계 로그.
저위험 채팅 프로브: 무거운 도구 없이 두 채널에 최소 프롬프트.
공개 메모: 향후 분기를 위해 공통 오류 열 패턴 글로 링크.
export OPENCLAW_PROXY_URL="http://proxy.corp.example.com:8080" openclaw doctor openclaw gateway restart
참고: 키 이름은 진화합니다. 복사한 YAML 조각보다 openclaw doctor와 공식 문서를 우선합니다.
대규모 디렉터리 이전을 같은 변경 밤에 섞으면 migrate 점검 백업 순서와 맞추고 롤백 리허설을 먼저 한 번 통과시키세요. 프록시 인증이 NTLM 계열로 복잡한 조직에서는 데몬이 대화형 프롬프트를 받을 수 없으므로 자격 증명 주입 경로를 미리 정하고 SecretRef 로테이션 SLA와 번호를 티켓에 적습니다.
Gateway 서비스와 동일 macOS 사용자로 수행합니다. SSH로 로그만 따라가면 브라우저 쪽 프록시 덮어쓰기를 놓칩니다. 임대 Apple Silicon Mac은 와이파이 프로파일 로밍 소음에서 실험을 분리합니다: 이미지를 스냅샷하고 스택을 증명한 뒤 승격하는 편이 공유 노트북으로 밤에 PAC 싸움을 하는 것보다 저렴합니다. Control UI를 여는 브라우저는 확장을 최소로 하고 DevTools 네트워크 열에서 ws: 상태와 인증서 경고를 한 장에 모읍니다.
| 항목 | 방법 | 합격 |
|---|---|---|
| 시스템 프록시 | 네트워크 설정·PAC. | 선언 정책과 일치·드리프트 없음. |
| Control UI | 브라우저 DevTools Network. | WS 101, mixed content 없음. |
| 데몬 환경 | 부모 프로세스 환경 확인. | 티켓 값과 일치. |
| 이중 curl | 프록시 경유 두 프로바이더. | TLS 안정·재시도 폭풍 없음. |
| 채널 프로브 | 저위험 메시지. | 재시도 폭풍 없음. |
검증이 끝나면 마스킹한 프록시 URL 스크린샷과 doctor 녹색 줄을 변경 티켓에 붙이고 다음 분기 로테이션 담당에게 넘깁니다. 사고 시 증상 매트릭스의 “오인” 열을 먼저 다시 읽으면 에스컬레이션 품질이 오릅니다. 리전 간 회선에서는 브라우저에서 게이트웨이까지 RTT와 게이트웨이에서 상류 ingress까지 RTT를 분리 표기해야 한 구간만 튀어도 체감은 비슷하지만 조치가 완전히 다릅니다.
인바운드 TLS와 아웃바운드 포워드 프록시 책임 분리.
읽기 →OpenClaw 출구를 만지기 전에 Mac에 먼저 도달.
읽기 →큰 업그레이드와 네트워크 변경을 같은 밤에 섞지 않기.
읽기 →자동 대체 아님 — 둘을 의도적으로 맞추고 PAC 덮어쓰기를 주의.
localhost 콘솔은 원칙적으로 예외. 상류 HTTPS는 승인된 포워더 경유.
Gateway 부트 타임라인과 아웃바운드 TLS를 먼저 비교.
CLI가 많이 담당하지만 브라우저 면은 VNC 수준 확인이 유리.
아웃바운드 프록시 지원은 “Slack이 왜 막혔는지 모름” 같은 사건을 라우팅 가능한 네트워크 티켓으로 바꿉니다. 다만 루프백 의미와 타임라인 기록을 소홀히 하면 다시 안개 속으로 들어갑니다. 운영 증적으로 doctor 녹색 줄·마스킹한 프록시 URL·부트에서 채널 준비까지 초를 한 장에 묶어두면 분기 로테이션 때 설명 비용이 줄어듭니다.
노트북이 매주 다른 와이파이를 밟는 환경에서는 PAC 검증이 시끄럽고, 고정 출구를 가진 Apple Silicon 클라우드 Mac으로 빼면 재현성이 좋아집니다. 공용 울트라북 한 대로 심야 대응과 프록시 실험을 겸하기보다 검증 시간을 경로 설계로 보내는 편이 결과가 읽기 쉽습니다.
NDA 회수가 붙은 단기 검증 노드가 필요하면 VNCMac 구매 페이지에서 플랜을 고르고 홈에서 제품 개요를 확인한 뒤 제 5절 체크표를 그 노드에서 다시 돌리세요. VNCMac 원격 Mac 임대는 심야 공유 단말 다툼을 줄이고 프록시 실험을 스냅샷 경계로 격리하기 좋습니다.