proxy.enabled · OPENCLAW_PROXY_URL · Runbook · VNC 控制臺驗收
OpenClaw v2026.4.27在發行說明中明確了可選的運營商級出站 HTTP 正向代理路徑:proxy.enabled、proxy.proxyUrl 與環境變量 OPENCLAW_PROXY_URL,並對Gateway 啟動預熱、插件 manifest 元數據等做了可靠性向改動。身在統一出口 / 跨境專線的公司網裡部署時,最常見的翻車點不是「填錯一行 YAML」,而是把本地 loopback 控制臺流量誤送進企業代理,或把模型發現慢誤判成「某個通道插件壞了」。本文給出何時必須顯式配置 OpenClaw 出站代理、「啟動慢 vs 通道慢」決策矩陣、從備份到 smoke 的八步 Runbook、四條可寫進工單的結論,以及在遠程 Mac VNC 圖形會話裏與 SSH 不等價的控制臺核對表;並與站內《企業網絡連遠程 Mac》(側重你連桌面)、《Gateway 公網反代》(側重入站暴露)、《瀏覽器 Talk 與中繼》互補閱讀。
先把「誰出家門」畫清楚:OpenClaw Gateway 與插件運行時訪問上遊模型目錄、OAuth、部分下載通道時,可能必須經過企業HTTP CONNECT或顯式 http:// 正向代理;這與你在 macOS「網絡 → 代理」裏勾選的系統代理不是同一張表——後者主要影響 Safari/Chrome 等遵循系統棧的應用,而 Node 側工具常常默認不走系統代理,除非你額外注入 HTTP_PROXY 全家桶。
v2026.4.27 的本意:把OpenClaw 進程出站收斂到可審計、可輪換的配置鍵與環境變量;退出時清理 dispatcher 狀態,減少代理切換後的殭屍路由。
校驗約束:發行說明強調對 http:// 正向代理 URL 的嚴格校驗——HTTPS MITM 設備若要求特殊握手,要先在運維側拿到明文允許的代理前綴,不要把終端證書警告靜默忽略。
loopback 語境:本地控制臺與 Gateway 若監聽 127.0.0.1,理論上不應再繞一圈企業代理;這與「模型請求必須走代理」是兩件事,Runbook 裏要分行記錄。
與「連不上遠程 Mac 桌面」區分:站內企業網排查文處理的是VNC/SSH 到你的租用節點;本文處理的是節點上的 OpenClaw 進程訪問外網 API。
合規:代理賬號密文應走你們已有的 SecretRef / KMS 流程,與SecretRef 審計文同一評審包打開。
升級 4.27 後若體感「變慢」,先用這張表把觀測層對齊到懷疑組件,避免同時改代理、換模型、刪插件三套變量。
| 現象 | 優先懷疑 | 其次再看 | 常見誤判 |
|---|---|---|---|
| Gateway 進程已起,但通道幾分鐘才 Online | 模型目錄 / 定價後臺請求被代理阻斷或 TLS 握手失敗 | 冷啟動 manifest 掃描路徑變更 | 立刻重裝全部插件 |
| 日誌出現 proxy env 相關報錯或超時風暴 | OPENCLAW_PROXY_URL 與 PAC/系統代理互相打架 | DNS 在企業網被劫持 | 只加大超時不改路由 |
| 本地控制臺空白或 WebSocket 異常 | 瀏覽器→Gateway 走了錯誤 Host / mixed content | 反代未透傳 Upgrade(參見公網反代文) | 誤加全局代理到 loopback |
| 偶發 429 / empty catalog | 出口 NAT 共享配額 | 地域路由與供應商限速 | 單一歸因「模型壞了」 |
先分清「Gateway 啟動」與「通道會話」兩條時間線,再動代理配置。
4.27 亦包含多項Gateway 啟動路徑與插件清單加載的性能向修復:若你僅在升級後出現延遲,應保留一份升級前後各 200 行啟動日誌作爲對照,而不是憑記憶調參。
建議在維護窗口執行;遠程按時計費的 Mac 更應先在工單寫清回滾點(配置 tarball + openclaw doctor 輸出)。
版本指紋:openclaw --version 確認爲 v2026.4.27 或你們凍結的補丁線;記錄 Node 大版本與安裝渠道(npm/pnpm/bun)。
配置備份:打包配置根與 state 目錄;若有 launchd/systemd,附帶 plist/unit 片段。
出口探測(無 OpenClaw):在同一 shell 用 curl -v https://api.openai.com 或你們允許的探針 URL,確認直連 vs 走代理哪條成功。
寫入 OpenClaw 代理:按文檔啟用 proxy.enabled 與 proxy.proxyUrl,或在安裝 shell 僅導出 OPENCLAW_PROXY_URL(以你們平臺支持矩陣為準);避免 loopback 控制臺 URL 被無意改寫。
doctor 門禁:運行 openclaw doctor;若存在插件 schema 降級提示,先隔離單個插件再擴大範圍。
Gateway 重啟與計時:記錄「進程可見 → 首個通道 Ready」耗時;對比升級前基線。
最小會話 smoke:從常用通道發一條不會觸發大規模工具的探針消息;確認模型列表可選、無無限重試。
文檔化:把代理 URL、例外域名、認證輪換人與回滾開關寫進 wiki;與常見報錯排查交叉引用。
# 示意:僅在安裝/啟動 Gateway 的 shell 注入(值請替換爲運維分配的 http:// 正向代理) export OPENCLAW_PROXY_URL="http://proxy.corp.example.com:8080" openclaw doctor openclaw gateway restart
提示:真實鍵名與層級以當前發行版配置 schema 為準;升級後應用 openclaw doctor --fix 前先在 staging 驗證,避免生產自動改寫未知鍵。
注意:勿在同一工單混改「入站反代 TLS」與「出站正向代理」——二者職責不同,分別參見本文與《Gateway 公網反代》。
下列檢查應在與 Gateway 同用戶的桌面會話完成;純 SSH 適合抓日誌,不適合判斷瀏覽器側代理例外。
| 核對項 | 操作要點 | 通過標準 |
|---|---|---|
| 系統代理面板 | 網絡設置裏查看 HTTP/HTTPS/SOCKS 與 PAC。 | 與 OpenClaw 顯式配置策略一致、無互相覆蓋。 |
| 本機控制臺 | 瀏覽器打開 Gateway 控制臺地址,查看 Network。 | 無混合內容;WebSocket 101。 |
| 進程環境 | 對 Gateway 父進程查看環境變量是否殘留舊代理。 | 與當前變更單一致。 |
| TLS 探針 | 對兩家上遊供應商各 curl 一次。 | 代理認證失敗可映射到具體 exit code。 |
| 通道抽檢 | 選一條低副作用通道發探針。 | 無風暴重試;延遲在基線內。 |
租用雲端 Mac 的價值在於:你在公司網策略變更時,可在隔離節點上完整復現「代理 + Gateway + 瀏覽器」三角關係,而不污染主力筆記本的系統代理;這與單純擴容筆記本內存不是同一類決策。
入站 TLS、Upgrade 與 Host;與出站代理職責不同。
閱讀 →你連桌面/VNC 的路徑,與 OpenClaw 出站互補。
閱讀 →大版本升級後的配置樹與 OPENCLAW_PLUGIN_DIR 驗收。
閱讀 →不一定。它面向 OpenClaw 進程出站;系統代理仍影響瀏覽器默認棧。疊加使用時重點排查PAC 衝突與雙重認證。
控制臺會話通常應旁路錯誤代理;而上遊模型 HTTPS 請求可按企業策略走顯式正向代理。詳見第二節矩陣。
先對照啟動日誌時間線與出站握手;4.27 對 Gateway 啟動與 manifest 路徑有優化,可能與單個插件無關。
CLI 可覆蓋大半;涉及瀏覽器權限與大附件控制 UI 時,建議 Remote Mac 桌面會話完成第五節表格。
出站代理把問題從「某個通道神祕失敗」拉回到可觀測的路由與握手;但若缺少與 Gateway 同會話的圖形桌面,你很難快速區分 loopback 控制臺異常與企業 MITM 的差異。
自有 Mac 長期開機要做睡眠策略與出口變更窗口管理;筆記本在不同 Wi‑Fi 間切換也會反覆推翻 PAC。相較之下,租用一臺固定的遠程 Mac更適合作爲代理策略的 staging:在同一鏡像上先行驗證 OPENCLAW_PROXY_URL、doctor 輸出與通道 smoke,再推廣到團隊。
若你需要一臺可按任務擴容、並能在 VNC 裏完整跑通本文第五節清單的 Apple Silicon 主機,可通過 VNCMac 租用雲端 Mac:主按鈕進入中文購買頁;需要對比 SSH/VNC 接入請先瀏覽站點幫助頁。