Wer 2026 ein einzelnes Premium-Modell auf einem macOS-OpenClaw-Gateway betreibt, erlebt oft den Stillstand, wenn Anthropic HTTP 429 liefert, OpenAI 503 antwortet oder ein Regionalausfall den einzigen API-Schlüssel unbrauchbar macht. Modell-Failover und explizites Anbieter-Routing verwandeln harte Stopps in begrenzte Degradation: dokumentierte Sekundärketten, kompatible Tool-Schemas und Retry-Budgets, die Retry-After respektieren. Dieses Tutorial zeigt die Kette in ~/.openclaw/openclaw.json, Geheimnisse außerhalb von git und Validierung mit openclaw doctor vor Produktions-LaunchAgent-plists. Kombinieren Sie es mit 429-Retry-Disziplin, JSON- und Umgebungsprofilen, Upstream-Leistungsschaltern und doctor-Diagnostik.
Sie erhalten eine Failover-Entscheidungsmatrix, ein kopierfähiges Konfigurationsgerüst, Zahlenleitplanken (max. 3 Anbieter im Hot Path, 30 s pro Versuch, 120 s pro Turn) und eine Staging-Checkliste auf einem gemieteten Apple Silicon Mac mini für etwa 16,9 $/Tag laut MacHTML-Preisliste.
Symptome für Failover-Bedarf
Kanäle zeigen dauernd „denkt nach…“, während Logs Anbieterfehler wiederholen. Tool-Aufrufe hängen mid-turn, weil das Gateway Retries gegen einen einzigen Vendor verbraucht hat. Finanzen sieht Überraschungsrechnungen, wenn um 2 Uhr morgens manuell API-Schlüssel getauscht wird statt einer getesteten Sekundärroute—das Signal ist Routing, nicht Modellqualität.
Failover heißt nicht „immer das billigste Modell“. Es ist kontrollierte Degradation: Premium für kundenorientierte Turns, Mid-Tier für interne HTML/CSS-Audits, lokales Ollama nur für nicht-destruktive Zusammenfassungen bei Cloud-Ausfall—jede Stufe dokumentiert und per Probe verifiziert.
Designprinzipien der Failover-Kette
Hot Path kurz halten: höchstens drei Anbieter, wöchentlich mit demselben Tool-Schema wie Ihre HTML/CSS-Agenten testen. Bei Pflicht-Dateiedits in Produktion nicht auf Modelle ohne write-Tools fail-open gehen—stattdessen read-only-Zusammenfassungen. Pro Turn Anbieter und correlation id loggen, damit Finanzen Kostenspitzen zuordnen können.
Staging- und Produktions-Ketten trennen, auch bei gemeinsamer Hardware; ein Tippfehler im Staging-JSON darf Produktion nicht auf ein experimentelles lokales Modell absenken.
openclaw.json-Routing-Gerüst
Routing neben—nicht in—git-tracked HTML ablegen. Pragmatisch: Anbieternamen in openclaw.json, API-Schlüssel in ~/.openclaw/.env mit chmod 600. Primärmodell-ID, geordnete Fallbacks, Timeouts pro Anbieter und optionale Kostendeckel dokumentieren.
{
"agents": {
"default": {
"model": {
"primary": "anthropic/claude-sonnet-4-20250514",
"fallbacks": [
"openai/gpt-4.1",
"google/gemini-2.5-pro"
]
},
"providers": {
"anthropic": { "timeoutMs": 30000 },
"openai": { "timeoutMs": 30000 },
"google": { "timeoutMs": 45000 }
}
}
}
}Das Snippet ist Strukturhilfe—Feldnamen ändern sich zwischen OpenClaw-Releases, vor dem Einfügen Release Notes diffen. Danach openclaw doctor und je Anbieter eine einzeilige Chat-Probe.
Anbieter-Auswahlmatrix
| Stufe | Einsatz | Risiko |
|---|---|---|
| Primär (Premium) | Kundenorientierte Slack/Telegram-Turns | Kontingent erschöpft bei Launches |
| Sekundär (Mid) | Interne Audits, nicht dringende Fixes | Tool-Schema-Drift zum Primär |
| Lokal (Ollama) | Read-only-Zusammenfassungen bei Cloud-Ausfall | Cloud-Tiefe nicht erreichbar |
| Deaktiviert | Destruktive Tools im Ausfall | Druck „einfach aktivieren“ |
429, 503 und Retry-After
Failover ersetzt keine Rate-Limits. Liefert der Primär 429, Retry-After bis zur dokumentierten Obergrenze (Chat oft 30 Sekunden) einhalten, dann Sekundäranbieter. Bei 503-Stürmen Routing mit Gateway-Leistungsschalter koppeln. Backoff-Tabellen: 429-Artikel.
Gesamte Turn-Zeit nahe 120 Sekunden begrenzen; lesbare Degradationsmeldung statt fünf Anbieter durchzuprobieren.
Tool-Schema-Kompatibilität
Alle Modelle der Kette müssen dieselben JSON-Tool-Definitionen akzeptieren. Ein Sekundärmodell ohne browser bricht HTML/CSS-Pipelines. Vor Produktions-Fallbacks im Staging drei feste Tool-Aufrufe je Anbieter: Datei lesen, Patch schreiben, Verzeichnis listen.
Fehlt Vision beim Sekundär, Bildteile vor Failover entfernen oder Bildaufgaben nur an visionfähige Sekundäre routen.
doctor-Probes und synthetische Chats
Nach Routing-Änderungen openclaw doctor --json dem Ticket beifügen. Synthetische Nachrichten erzwingen jeden Fallback: Primärschlüssel im Staging widerrufen, Sekundär antwortet in 10 Sekunden, Schlüssel zurück, Primär ohne Neustart. Anbieter-Labels in Gateway-Logs prüfen.
Probes mit Staging-/Produktionsprofilen abstimmen—keine Produktionsgeheimnisse auf dem Entwickler-Laptop.
Staging-Rollout-Checkliste
- Fingerabdrücke von
openclaw.jsonund.env(ohne Secrets) in git-ignorierten Speicher exportieren. - Sekundärschlüssel mit separaten Billing-Alerts.
- Tool-Smoke-Tests je Anbieter am Staging-Gateway-Port.
- Primärausfall simulieren; Fallback innerhalb SLA bestätigen.
- LaunchAgent-plist erst nach 24 Stunden sauberer Staging-Metriken.
- Rollback dokumentieren: JSON zurück +
launchctl kickstart.
FAQ
Gleiche Tool-Definitionen für Failover?
Ja—Tool-Aufrufe je Anbieter vor der Kette testen.
Behebt Failover 429 automatisch?
Nur bei separatem Sekundärkontingent; sonst weiter Backoff.
Wie oft doctor?
Bei jeder Routing- oder Secret-Änderung; in Produktion wöchentlich per cron.
Ein Apple Silicon Mac mini über MacHTML testet Routing auf denselben WebKit-/Node-Builds wie Ihre Führungskräfte—kein Linux-Container als macOS-Ersatz. SSH für Chat-Probes, VNC bei Keychain-Dialogen. Leerlauf oft 6–12 W; eine Woche Failover-Übung kostet weniger als eine Nacht „provider error“ in allen Kanälen.
Preis etwa 16,9 $/Tag. Nach der Übung Instanz stoppen; Routing-Tabellen bleiben in git, CapEx über 36 Monate nicht.
OpenClaw-Modell-Failover auf echtem macOS proben
Cloud-Mac-mini mieten und Anbieterketten, 429-Fallbacks und doctor-Probes validieren, bevor LaunchAgents in Produktion gehen.