proxy.enabled · OPENCLAW_PROXY_URL · Runbook · VNC 控制台验收
OpenClaw v2026.4.27在发行说明中明确了可选的运营商级出站 HTTP 正向代理路径:proxy.enabled、proxy.proxyUrl 与环境变量 OPENCLAW_PROXY_URL,并对Gateway 启动预热、插件 manifest 元数据等做了可靠性向改动。身在统一出口 / 跨境专线的公司网里部署时,最常见的翻车点不是「填错一行 YAML」,而是把本地 loopback 控制台流量误送进企业代理,或把模型发现慢误判成「某个通道插件坏了」。本文给出何时必须显式配置 OpenClaw 出站代理、「启动慢 vs 通道慢」决策矩阵、从备份到 smoke 的八步 Runbook、四条可写进工单的结论,以及在远程 Mac VNC 图形会话里与 SSH 不等价的控制台核对表;并与站内《企业网络连远程 Mac》(侧重你连桌面)、《Gateway 公网反代》(侧重入站暴露)、《浏览器 Talk 与中继》互补阅读。
先把「谁出家门」画清楚:OpenClaw Gateway 与插件运行时访问上游模型目录、OAuth、部分下载通道时,可能必须经过企业HTTP CONNECT或显式 http:// 正向代理;这与你在 macOS「网络 → 代理」里勾选的系统代理不是同一张表——后者主要影响 Safari/Chrome 等遵循系统栈的应用,而 Node 侧工具常常默认不走系统代理,除非你额外注入 HTTP_PROXY 全家桶。
v2026.4.27 的本意:把OpenClaw 进程出站收敛到可审计、可轮换的配置键与环境变量;退出时清理 dispatcher 状态,减少代理切换后的僵尸路由。
校验约束:发行说明强调对 http:// 正向代理 URL 的严格校验——HTTPS MITM 设备若要求特殊握手,要先在运维侧拿到明文允许的代理前缀,不要把终端证书警告静默忽略。
loopback 语境:本地控制台与 Gateway 若监听 127.0.0.1,理论上不应再绕一圈企业代理;这与「模型请求必须走代理」是两件事,Runbook 里要分行记录。
与「连不上远程 Mac 桌面」区分:站内企业网排查文处理的是VNC/SSH 到你的租用节点;本文处理的是节点上的 OpenClaw 进程访问外网 API。
合规:代理账号密文应走你们已有的 SecretRef / KMS 流程,与SecretRef 审计文同一评审包打开。
升级 4.27 后若体感「变慢」,先用这张表把观测层对齐到怀疑组件,避免同时改代理、换模型、删插件三套变量。
| 现象 | 优先怀疑 | 其次再看 | 常见误判 |
|---|---|---|---|
| Gateway 进程已起,但通道几分钟才 Online | 模型目录 / 定价后台请求被代理阻断或 TLS 握手失败 | 冷启动 manifest 扫描路径变更 | 立刻重装全部插件 |
| 日志出现 proxy env 相关报错或超时风暴 | OPENCLAW_PROXY_URL 与 PAC/系统代理互相打架 | DNS 在企业网被劫持 | 只加大超时不改路由 |
| 本地控制台空白或 WebSocket 异常 | 浏览器→Gateway 走了错误 Host / mixed content | 反代未透传 Upgrade(参见公网反代文) | 误加全局代理到 loopback |
| 偶发 429 / empty catalog | 出口 NAT 共享配额 | 地域路由与供应商限速 | 单一归因「模型坏了」 |
先分清「Gateway 启动」与「通道会话」两条时间线,再动代理配置。
4.27 亦包含多项Gateway 启动路径与插件清单加载的性能向修复:若你仅在升级后出现延迟,应保留一份升级前后各 200 行启动日志作为对照,而不是凭记忆调参。
建议在维护窗口执行;远程按时计费的 Mac 更应先在工单写清回滚点(配置 tarball + openclaw doctor 输出)。
版本指纹:openclaw --version 确认为 v2026.4.27 或你们冻结的补丁线;记录 Node 大版本与安装渠道(npm/pnpm/bun)。
配置备份:打包配置根与 state 目录;若有 launchd/systemd,附带 plist/unit 片段。
出口探测(无 OpenClaw):在同一 shell 用 curl -v https://api.openai.com 或你们允许的探针 URL,确认直连 vs 走代理哪条成功。
写入 OpenClaw 代理:按文档启用 proxy.enabled 与 proxy.proxyUrl,或在安装 shell 仅导出 OPENCLAW_PROXY_URL(以你们平台支持矩阵为准);避免 loopback 控制台 URL 被无意改写。
doctor 门禁:运行 openclaw doctor;若存在插件 schema 降级提示,先隔离单个插件再扩大范围。
Gateway 重启与计时:记录「进程可见 → 首个通道 Ready」耗时;对比升级前基线。
最小会话 smoke:从常用通道发一条不会触发大规模工具的探针消息;确认模型列表可选、无无限重试。
文档化:把代理 URL、例外域名、认证轮换人与回滚开关写进 wiki;与常见报错排查交叉引用。
# 示意:仅在安装/启动 Gateway 的 shell 注入(值请替换为运维分配的 http:// 正向代理) export OPENCLAW_PROXY_URL="http://proxy.corp.example.com:8080" openclaw doctor openclaw gateway restart
提示:真实键名与层级以当前发行版配置 schema 为准;升级后应用 openclaw doctor --fix 前先在 staging 验证,避免生产自动改写未知键。
注意:勿在同一工单混改「入站反代 TLS」与「出站正向代理」——二者职责不同,分别参见本文与《Gateway 公网反代》。
下列检查应在与 Gateway 同用户的桌面会话完成;纯 SSH 适合抓日志,不适合判断浏览器侧代理例外。
| 核对项 | 操作要点 | 通过标准 |
|---|---|---|
| 系统代理面板 | 网络设置里查看 HTTP/HTTPS/SOCKS 与 PAC。 | 与 OpenClaw 显式配置策略一致、无互相覆盖。 |
| 本机控制台 | 浏览器打开 Gateway 控制台地址,查看 Network。 | 无混合内容;WebSocket 101。 |
| 进程环境 | 对 Gateway 父进程查看环境变量是否残留旧代理。 | 与当前变更单一致。 |
| TLS 探针 | 对两家上游供应商各 curl 一次。 | 代理认证失败可映射到具体 exit code。 |
| 通道抽检 | 选一条低副作用通道发探针。 | 无风暴重试;延迟在基线内。 |
租用云端 Mac 的价值在于:你在公司网策略变更时,可在隔离节点上完整复现「代理 + Gateway + 浏览器」三角关系,而不污染主力笔记本的系统代理;这与单纯扩容笔记本内存不是同一类决策。
入站 TLS、Upgrade 与 Host;与出站代理职责不同。
阅读 →你连桌面/VNC 的路径,与 OpenClaw 出站互补。
阅读 →大版本升级后的配置树与 OPENCLAW_PLUGIN_DIR 验收。
阅读 →不一定。它面向 OpenClaw 进程出站;系统代理仍影响浏览器默认栈。叠加使用时重点排查PAC 冲突与双重认证。
控制台会话通常应旁路错误代理;而上游模型 HTTPS 请求可按企业策略走显式正向代理。详见第二节矩阵。
先对照启动日志时间线与出站握手;4.27 对 Gateway 启动与 manifest 路径有优化,可能与单个插件无关。
CLI 可覆盖大半;涉及浏览器权限与大附件控制 UI 时,建议 Remote Mac 桌面会话完成第五节表格。
出站代理把问题从「某个通道神秘失败」拉回到可观测的路由与握手;但若缺少与 Gateway 同会话的图形桌面,你很难快速区分 loopback 控制台异常与企业 MITM 的差异。
自有 Mac 长期开机要做睡眠策略与出口变更窗口管理;笔记本在不同 Wi‑Fi 间切换也会反复推翻 PAC。相较之下,租用一台固定的远程 Mac更适合作为代理策略的 staging:在同一镜像上先行验证 OPENCLAW_PROXY_URL、doctor 输出与通道 smoke,再推广到团队。
若你需要一台可按任务扩容、并能在 VNC 里完整跑通本文第五节清单的 Apple Silicon 主机,可通过 VNCMac 租用云端 Mac:主按钮进入中文购买页;需要对比 SSH/VNC 接入请先浏览站点帮助页。