proxy.enabled · OPENCLAW_PROXY_URL · восемь шагов · проверки VNC
OpenClaw v2026.4.27 формализует управляемое оператором исходящее маршрутизацию HTTP forward-proxy для рантайма: включение через конфигурацию (proxy.enabled, proxy.proxyUrl) или только через оболочку OPENCLAW_PROXY_URL, со строгой проверкой URL forward-proxy с префиксом http:// и очисткой состояния диспетчера прокси при завершении. Тот же релиз ужесточает поведение загрузки Gateway и продолжает переход к метаданным плагинов из манифеста, что меняет ощущение «холодного старта», когда обнаружение провайдера или обновление прайсов конкурируют за полосу. В банке, на OEM-площадке или в региональном офисе с единым хостом egress редко ломается из‑за «OpenClaw не умеет прокси» — чаще loopback-консоль уходит не туда или TLS-инспекция рвёт загрузку каталога на полпути. Здесь разделены входящий TLS на обратном прокси (как пользователи доходят до Gateway) и исходящая forward-proxy политика (как Gateway достучится до OpenAI, Anthropic, API Slack и т.д.), даны матрица симптомов, восьмишаговый runbook, четыре факта для тикета и таблица проверок VNC на арендованном Mac. Сочетайте с чеклистом корпоративного доступа и VNC и руководством по HTTPS reverse proxy для Gateway — это разные рёбра одного графа.
На практике любое изменение исхода должно иметь того же владельца, что и ротация DNS или сертификатов на публичном краю — иначе продуктовая команда прочитает медленные каналы как «провайдер лежит», пока PAC тихо переписывает forwarder. Зафиксируйте, запускается ли демон через launchd, systemd или вручную в screen; только тогда переменные интерактивной оболочки и сервисной среды совпадают. На удалённом Mac без выделенной графической сессии теряется шанс сверить системный прокси и devtools браузера с тикетом — для этого раздел пять.
Если параллельно идут крупные миграции, разведите по времени или явно пометьте smoke-прогоны, где смешаны migrate и каталоги плагинов с сетевыми правками; иначе шкалы загрузки наслаиваются и регрессии сложно доказать. Для секретов прокси добавьте в ту же историю изменений ссылку на SecretRef и аудит вместе с исключениями фаервола — открытые пароли в профилях shell остаются главной причиной петель 407 между двумя корректными конфигурациями.
Наконец, ноутбук с гостевым Wi‑Fi делает PAC-шумным; стационарный облачный Mac со снимком изолирует эксперименты с прокси. После успешного staging продвиньте политику команде и свяжите повторяющиеся симптомы с типовыми ошибками и разбором, чтобы следующая смена не начинала с нуля.
«Автонастройка прокси» в macOS помогает Safari и многим GUI-приложениям, но CLI на Node часто её игнорируют, пока не экспортируете классические переменные вроде HTTP_PROXY. Явные переключатели OpenClaw снижают угадайку: forwarder объявляется один раз на уровне рантайма, схема валидируется, а хуки завершения не дают зависнуть устаревшему диспетчеру после ротации. Это не подписывает автоматически профили Chrome для Meet или браузерной автоматизации — у них свои политики; runbook должен назвать оба стека.
В заметках к релизу подчёрнута семантика обхода только для loopback Gateway: если локальную Control UI протащить через корпоративный MITM, появятся сбои WebSocket, похожие на баги приложения. Считайте «localhost-консоль» и «интернет-API» двумя таблицами маршрутизации; копирование строки из одной в другую — классический ночной инцидент.
В жёстко регламентированных средах фиксируйте, какие корневые ЦС выдаёт forwarder и меняются ли закрепления сертификатов после обновлений — иначе спорадические TLS-ошибки читаются как «модель недоступна». Держите измерительные сценарии короткими: два endpoint провайдера и при необходимости URL PAC часто отделяют «частичную блокировку» от «полного офлайна».
Намерение оператора: аудируемый egress с ротируемыми учётными данными вместо ad hoc экспортов в дюжине профилей shell.
Реальность TLS: прозрачные прокси должны выдавать корпоративно доверенные корни стеку TLS OpenClaw; иначе вы ловите фантомные «модель упала».
Отделение от входящего: терминация TLS на nginx/Caddy перед Gateway сама по себе не настраивает upstream-fetch — документируйте раздельно.
Гигиена секретов: где уместно, выровнять пароли прокси с потоками SecretRef.
Телеметрия: фиксировать длительность рукопожатий до и после включения прокси и прикладывать к тикетам изменений.
Используйте таблицу как функцию маршрутизации для дежурных. Если последний столбец говорит «ошибочно принимают за …», не повторяйте тот же playbook под новым названием.
| Симптом | Сначала | Затем | Ложная интерпретация |
|---|---|---|---|
| Gateway здоров, каналы висят минутами | Исходящие запросы каталога/цен блокирует прокси | Путь регенерации манифеста плагина | «Регрессия Telegram-плагина» |
| 407 / петли авторизации прокси | Расхождение учётных данных между launchd и интерактивными shell | PAC переопределяет явный URL | «Лимит провайдера» |
| Сбои WS Control UI | Браузер принудительно через корпоративный прокси для localhost | Пропущены заголовки Upgrade на reverse proxy | «Баг SSL OpenClaw» |
| Всплеск CPU только при старте | Параллельные сканы манифеста | Конкуренция за диск на маленьких облачных томах | «Нужна модель побольше» |
Измеряйте «загрузка→готовность» и «канал→онлайн» независимо; объединяйте шкалы только когда обе зелёные.
В v2026.4.27 также есть сопутствующая надёжность (ограничения Telegram, таймауты сокетов Slack, порядок prewarm Gateway). Если регрессия совпала с правками каналов, бисектируйте, временно отключая некритичные плагины, а не переключая прокси каждую минуту — так вы не засорите журналы коррелированным шумом.
В гибридных средах следите за часовыми поясами в агрегаторе логов: forwarder в UTC и журналы Gateway в локальном времени иногда превращают плановый сдвиг в ложную причинно-следственную связь.
Выполняйте последовательно на staging с тем же egress, что и прод. Зафиксируйте URL прокси, домен авторизации и ID аварийного обхода до касания прода.
Закрепить версии: openclaw --version показывает v2026.4.27 (или ваш патч); записать дистрибутив Node.
Архив конфигов: tarball корней конфигурации плюс plist launchd или фрагменты systemd.
Сырой egress-тест: под тем же сервисным аккаунтом curl -v к двум провайдерам и при наличии к URL PAC.
Применить прокси OpenClaw: структурные ключи или OPENCLAW_PROXY_URL только в среде демона; избегать дублирующего конфликтного HTTP_PROXY, если не требуется.
Ворота doctor: openclaw doctor; устранить предупреждения схемы до циклов перезапуска.
Перезапуск и метка времени: зафиксировать время от старта процесса до первого маркера здорового канала.
Низкорисковый чат-пробник: минимальный промпт без тяжёлого tooling на двух каналах.
Опубликовать заметки: связать изменение с типовыми шаблонами ошибок для будущего разбора.
export OPENCLAW_PROXY_URL="http://proxy.corp.example.com:8080" openclaw doctor openclaw gateway restart
Заметка: ключи эволюционируют; опирайтесь на openclaw doctor и официальную документацию сильнее, чем на копипаст YAML.
После smoke в тикете должны быть минимум три числа: длительность до «Gateway ready», время до первого «канал онлайн» и образец RTT для типичного вызова провайдера. Без этой тройки мосты инцидентов повторяют один спор под новым давлением.
Выполнять под тем же пользователем macOS, что и служба Gateway. Хвост логов только по SSH не видит переопределения прокси в браузере.
| Проверка | Как | Успех |
|---|---|---|
| Системный прокси | Сеть / PAC. | Совпадает с политикой; нет дрейфа. |
| Control UI | Вкладка Network в devtools браузера. | WS 101; нет смешанного контента. |
| Среда демона | Инспекция родительской среды. | Совпадает с тикетом. |
| Двойной curl | Два провайдера через прокси. | Стабильный TLS без бури повторов. |
| Проба канала | Низкорисковое сообщение. | Нет бури повторов. |
Аренда выделенного облачного Mac изолирует эксперименты с прокси от роуминговых Wi‑Fi профилей ноутбука: снимок образа, доказательство стека, промоушен — дешевле, чем войны PAC во время аварии на одном ультрабуке. Зафиксируйте клиент удалённого рабочего стола: некоторые вьюеры подмешивают свои значения прокси во встроенные браузеры.
Если одновременно залогинены несколько администраторов, проверьте быстрое переключение пользователей и «осиротевшие» сессии — частый источник «прокси задан, процесс не видит». Единообразный single-user режим для Gateway избегает полуживых состояний.
Входящий TLS и ответственность исходящего forward-proxy.
Читать →Сначала добейтесь узла, затем настраивайте egress OpenClaw.
Читать →Крупные обновления параллельно сетевым изменениям.
Читать →Не автоматически — согласуйте оба уровня и следите за PAC.
Исключите localhost-консоль; upstream HTTPS направляйте через утверждённый forwarder.
Сверьте шкалу загрузки Gateway и исходящий TLS до переустановки бандлов.
CLI закрывает многое; браузерные проверки всё ещё нужны на уровне VNC.
Поддержка исходящего прокси превращает непрозрачные инциденты «Slack завис» в маршрутизируемые сетевые тикеты — но только если соблюдать семантику loopback и фиксировать временные шкалы.
Ноутбук с еженедельной сменой Wi‑Fi делает PAC-шумным; арендованный Mac на Apple Silicon даёт стационарную песочницу.
Перейти к покупке можно со страницы аренды Mac в облаке; обзор продуктов — на главной; затем повторите раздел пять на узле.