直接 kill 单端口 OpenClaw 网关很快,但对正在流式输出或执行工具调用的用户极不友好:连接被重置、重试可能造成重复扣费或重复写库。2026 年更稳妥的做法是蓝绿双实例:旧版继续服务存量 TCP 会话,新版绑定第二个回环端口,由前置 nginx 通过加权上游逐步把新连接切过去,待空闲超时后再停旧版。本文给出可复制的权重表、超时对齐清单,并指向 反向代理与隧道加固 以及 LaunchAgent 重启恢复 作为异常回退阅读材料。
目标读者是已在 macOS 上托管网关、需要降低发布窗口投诉量的平台工程师与 SRE。
若你同时运行多个模型供应商,切流前请核对每个供应商的并发配额,避免绿环境在冷启动瞬间触发上游限流,从而被误判为二进制自身缺陷。
为什么硬重启不够
用户更怕“突然掉线”而不是“慢一点”。硬重启会丢弃 keep-alive 池中的活跃请求,前端表现为助手短暂离线。财务与合规也会担心:客户端自动重试若缺少幂等键,可能造成重复工具调用。
设置不少于约 120 秒 的排空窗口,相比事后对账成本几乎可忽略。
拓扑:蓝、绿与 nginx
示例:蓝监听 127.0.0.1:8787,绿监听 127.0.0.1:8788。公网流量只打到 nginx 的 443,由 upstream 分发到两个回环地址。稳态权重 100/0,发布时每次调整 10%,并同时观察 5xx 与 p95 首 token 时间。
| 阶段 | 蓝权重 | 绿权重 | 关注点 |
|---|---|---|---|
| 稳态 | 100 | 0 | 建立基线 |
| 金丝雀 | 90 | 10 | 错误率对齐 |
| 半量 | 50 | 50 | 尾延迟对比 |
| 完成 | 0 | 100 | 排空蓝连接 |
nginx 片段与 reload 注意
保持配置朴素:least_conn 或需要粘性时的 ip_hash;显式传递 Host 与 X-Forwarded-Proto,便于 OpenClaw 结构化日志还原外部域名。
upstream openclaw_gateway {
least_conn;
server 127.0.0.1:8787 weight=90 max_fails=3 fail_timeout=10s;
server 127.0.0.1:8788 weight=10 max_fails=3 fail_timeout=10s;
}执行 nginx -t && nginx -s reload 前先在预发完整演练;reload 虽快,但若 worker 回收策略激进,仍可能影响少量长连接。
超时对齐与流式场景
proxy_read_timeout 必须与网关内部对上游模型的空闲上限一致。常见事故是 nginx 设 300 秒、网关设 60 秒,日志互相指责。请维护一张跨团队共享的“单一真相表”。
对 WebSocket 或分块流式响应,相关 location 需要 proxy_buffering off,否则默认缓冲可能在约 4MB 处造成假死。
fail_timeout 过短会在 CPU 尖峰时误杀绿环境;过长又会让坏版本多存活几分钟,需要结合错误预算权衡。
验证、金丝雀与回滚
第一次切 10% 前,先用探针直连绿端口做冒烟:对比首 token 中位数,若相对蓝回退超过约 8%,应暂停发布。
nginx 访问日志与 OpenClaw JSON 日志要共享关联 ID,否则复盘时只能猜是哪一版二进制。
回滚即把权重调回 100/0 并停止绿进程;建议每月演练一次,避免事故夜现场查文档。
可观测性与多租户
切流期间每 10 秒 采集三色指标:每色活跃连接、5xx 占比、合成探针 p95。 Grafana 上标注 reload 时间与 Git SHA。
若多团队共享主机,请核对每租户的并发与 limit_req 是否与 OpenClaw 内部限速一致;切流不会自动修复公平性问题。
避开磁盘快照类定时任务与切流重叠:APFS 写放大可能在短时间内抬高尾延迟 30–80 毫秒,与 nginx 权重无关。
双回环端口意味着误绑 0.0.0.0 的风险加倍,应在 CI 里自动检测监听地址并在失败时阻断发布。
密钥轮换必须同时覆盖蓝绿,否则绿可能带着过期令牌却开始承接流量。
建议在云端 Mac mini 上完整彩排:MacHTML 常见价格约 每天 16.9 美元,可得到与生产接近的 Apple Silicon 与 launchd 行为,SSH 适合脚本化改 nginx,VNC 便于观察菜单栏状态。
变更窗口内建议冻结无关的大文件拷贝与机器学习离线任务,它们会抢占同一 NUMA 节点的内存带宽,让尾延迟曲线出现与权重调整无关的尖刺。
对国际化团队,排班表应覆盖至少两个时区值班,以便在权重调整到一半时出现证书过期等边缘故障时能立即执行回滚,而不是等十二小时后的本地早晨。
发布结束后保留二十四小时的对比仪表盘截图与 nginx 配置差异 diff,写入季度审计附件,可显著降低后续融资尽调或等保测评时的解释成本。
若网关前置还有企业 HTTPS 检测设备,确认其对流式响应的缓冲策略是否与 nginx 的 buffering 设置冲突;此类问题往往只在权重超过百分之五十、流量足够大时才暴露。
最后,把本次切流用到的命令行片段整理进内部 CLI 工具子命令,例如 ops gateway canary --green 10,让值日生不必手敲 sed,可进一步降低人为输错端口的风险。
常见问题
能否用 Unix 套接字替代端口?
可以,nginx upstream 支持 unix: 路径,加权逻辑不变。
排空能消除所有错误吗?
不能,应用缺陷仍在,但可显著减少传输层重置类投诉。
mTLS 到模型上游如何处理?
蓝绿必须配置一致,否则会出现一侧握手失败、另一侧正常的“幽灵”故障。
7×24 网关更看重稳定热特性与可预期进程模型。Mac mini 在 Apple Silicon 上静音、低功耗,适合长时间跑双实例;macOS 与多数自动化脚本假设一致。MacHTML 租用模式让你按周扩容预发机,把 nginx reload 与 launchctl 操作练熟后再动生产,避免一次性采购闲置硬件。