Les déploiements OpenClaw fiables commencent bien avant que vous exposiez un webhook : ils commencent par disposition de configuration prévisible, secrets isolés dans l'environnementet les autorisations du système de fichiers qui survivent aux redémarrages. Ce guide explique comment structurer ~/.openclaw/openclaw.json, compagnon .env fichiers, facultatif agents/ remplacements et profils de développement par rapport à la préparation - alors pourquoi les équipes organisent le travail sur un site loué Apple Silicon Mac mini au lieu d'un ordinateur portable personnel qui passe par la sécurité de l'aéroport.
Chemins canoniques sur macOS
État des utilisateurs des centres de documentation en amont dans ~/.openclaw/: la primaire openclaw.json, facultatif .env pour le matériel clé, le montant par agent tombe sous agents/, et les journaux ou caches que les frères et sœurs s'attendent à trouver à côté de ces fichiers. Traitez ce répertoire comme une base de données : chmod 700 ~/.openclaw Ainsi, les autres utilisateurs macOS sur un ordinateur de laboratoire partagé ne peuvent pas lire les jetons. Ne créez jamais de lien symbolique entre l'intégralité du dossier et Dropbox ou iCloud, à moins que votre équipe de sécurité ne le bénisse explicitement : les outils de synchronisation dans le cloud adorent dupliquer des écritures partielles en cours d'enregistrement.
Les dépôts de projet peuvent expédier un modèle openclaw.config.json sans secrets; CI devrait échouer si quelqu'un commet accidentellement un message rempli ~/.openclaw arbre. Ajouter .openclaw aux listes de contrôle des contributeurs à côté .env ignore. Pour les modèles de débogage opérationnels, lecture croisée Diagnostic du médecin et de la passerelle OpenClaw; pour les redémarrages du service, voir LaunchAgents contre cron sur le cloud Mac.
Ce qui appartient à JSON vs .env
Utilisez la matrice pour régler les débats lors de la révision du code :
| Type de contenu | Conserver dans | Exemple |
|---|---|---|
| Clés API, secrets client OAuth | .env (mode 600) | ANTHROPIC_API_KEY=... |
| Identificateurs de modèles, bouchons de température | openclaw.json | Réglage stable et non secret |
| Chaîner les URL de webhook avec des jetons intégrés | .env + référence nominative | Évitez les URL littérales dans git |
| Hôte et ports de liaison de passerelle | openclaw.json | Souvent non secret ; toujours un examen par les pairs |
| listes d'origines autorisées | openclaw.json | Documenter pourquoi chaque origine existe |
Lorsque vous devez partager une configuration nettoyée, exécutez jq filtres qui suppriment la correspondance des clés /token|secret|password/i avant de les joindre aux tickets : la rédaction manuelle manque les champs imbriqués dans 30 à 40 % des incidents selon les rétroactions du support interne.
Profils de développement, de préparation et de production
Les équipes prennent au sérieux le rayon d'explosion trois profils logiques même si deux partagent temporairement le matériel : développeur local, passerelle de transfert partagée et production. Chaque profil doit utiliser des clés API, des jetons de bot Discord et des secrets d'authentification de passerelle distincts. Effectuez une rotation mensuelle des clés de transfert si les stagiaires reçoivent fréquemment un accès ; les clés de production suivent votre calendrier SOC2.
Les variables d'environnement peuvent changer de profil sans dupliquer des arborescences JSON entières : OPENCLAW_PROFILE=staging lu par un script wrapper mince qui copie le bon fragment en place avant de lancer le démon. Documentez la variable dans votre fichier README interne afin que les ingénieurs de garde n'exportent pas la mauvaise valeur lors d'un 3 heures du matin page.
Prochain contextProfiles-les fonctionnalités de style (budgets contextuels par modèle) amplifient le besoin d'une séparation nette : les modèles plus petits peuvent se charger uniquement un jour de l'historique des fichiers tandis que les grands modèles conservent sept jours- le mélange de profils sans conventions de dénomination garantit que le mauvais pack de contexte s'attache après une solution de repli.
chmod, sauvegardes et runbooks
Au-delà 700 sur le répertoire, définissez 600 sur .env et tout fichier contenant des secrets partagés HMAC. Les LaunchAgents doivent s'exécuter en tant que même utilisateur propriétaire ~/.openclaw; le mélange des utilisateurs root et standard recrée des autorisations qui se manifestent par intermittence 401 erreurs lorsque la passerelle ne peut pas lire les jetons actualisés.
Sauvegardez les configurations avec des archives chiffrées :tar + age ou gpg : vers le stockage hors ligne tous les trimestres. La restauration devrait prendre en charge 15 minutes y compris openclaw doctor validation; si votre exercice de restauration dépasse ce chiffre, simplifiez la configuration avant une panne réelle.
Conservez une section runbook répertoriant toutes les dépendances externes touchées par la configuration : fournisseurs LLM, fournisseurs de chat, points de terminaison de tunnel et proxys HTTP d'entreprise. Lors de la rotation de l'un de ces certificats, vous réexécutez la même liste de contrôle au lieu d'improviser.
Cloud Mac comme banc de configuration
La location d'un Mac mini vous offre une machine qui reste éveillée, vit sous un nom d'hôte statique et ne rentre jamais chez elle dans un sac à dos. C'est idéal lorsque trois ingénieurs répètent openclaw.json sur plusieurs fuseaux horaires : vous vous connectez via SSH, modifiez avec des autorisations protégées et redémarrez LaunchAgents sans sortir l'ordinateur portable de quelqu'un d'autre du mode veille.
Les équipes de conformité préfèrent souvent les secrets sur un dédié hôte avec MDM et chiffrement de disque sur des disques BYOD dispersés. Les performances d'Apple Silicon sont suffisantes pour les charges de travail de la passerelle ainsi que pour les hooks d'automatisation occasionnels du navigateur ; la consommation électrique reste modeste par rapport à la réutilisation d’un PC de jeu comme pseudo-serveur.
Côté coûts, comparez 16,9 $/jour location élastique contre les minutes de salaire entièrement chargées perdues lorsqu'un entrepreneur ne peut pas reproduire un bug de dérive de configuration. Le seuil de rentabilité est généralement atteint après un seul événement évité demi-journée escalade.
Intégration et détection de dérive
Interactif openclaw onboard les flux génèrent rapidement des fichiers pour la première fois, mais ils incitent également les équipes à accepter les valeurs par défaut sans les enregistrer. Après l'intégration, videz un expurgé openclaw.json dans votre base de connaissances interne et notez la version CLI, lorsque openclaw --version saute un mineur, planifiez une révision des différences car les guides de migration renomment parfois les clés.
Détecter automatiquement la dérive : une tâche cron nocturne peut shasum le JSON canonique et alerte si le hachage change sans ticket de modification fusionné. Associez cela avec openclaw doctor dans le même travail afin de détecter à la fois les modifications accidentelles et les dépréciations en amont. Moyenne des équipes qui ignorent les contrôles automatisés deux fois les événements de restauration par trimestre dans nos anecdotes de support : il ne s'agit pas d'une étude formelle, mais d'une vérification instinctive utile.
Préfixez les exportations de shell personnalisées avec un espace de noms clair :OPENCLAW_ pour les scripts propriétaires, pour éviter les collisions avec des outils non liés qui lisent également des noms génériques tels que GATEWAY_PORT. Documentez le bloc d'exportation exact dans votre runbook afin que les sous-traitants ne copient pas d'extraits obsolètes de Stack Overflow.
Lorsque des incidents surviennent, geler les écritures : copier le courant ~/.openclaw arbre à /var/tmp/openclaw-incident-YYYYMMDD/ avant l'édition, puis divisez en deux les modifications. La restauration à partir de cet instantané devrait prendre une seule commande ; si cela prend plus, votre mise en page est trop fragmentée entre les répertoires personnels.
Les utilisateurs de conteneurs doivent mapper explicitement les volumes hôtes : montage ~/.openclaw la lecture-écriture dans Docker sans alignement UID produit des fichiers appartenant à la racine que les outils GUI de macOS ne peuvent pas modifier. Tenez-vous en au mappage numérique des utilisateurs ou exécutez la passerelle de manière native sur macOS lorsque vous avez besoin d'une parité stricte d'autorisations de fichiers : une autre raison pour laquelle les équipes choisissent le bare metal. Mac-mini locations sur des machines virtuelles Linux imbriquées pour OpenClaw.
Enfin, alignez l’heure : des horloges asymétriques interrompent la validation des webhooks signés et les flux OAuth. Activez l'heure du réseau macOS et vérifiez avec sntp time.apple.com pendant l'approvisionnement ; dériver au-delà 30 secondes est une victoire facile à éliminer avant de chasser les échecs d'authentification fantômes.
Auditer qui peut sudo sur l'hôte de la passerelle : un accès root inutile multiplie le rayon d'explosion si un script est accidentellement exécuté chmod -R le mauvais arbre. Préférez un utilisateur d'automatisation dédié avec des privilèges minimaux et un redémarrage sans mot de passe uniquement pour le plist LaunchAgent que vous possédez.
FAQ
openclaw.json devrait-il vivre dans le dépôt git ?
Au niveau du projet openclaw.config.json peut être commis sans secrets, mais ~/.openclaw/openclaw.json est spécifique à l'utilisateur et doit rester en dehors du contrôle de version. Utiliser des modèles archivés docs/ et injecter des secrets de l'environnement.
À quelle fréquence devons-nous alterner les jetons de passerelle ?
La rotation trimestrielle est une pratique par défaut pour les équipes ; combiner avec un 24 heures étape de trempage avant la promotion vers les passerelles de production.
Pourquoi utiliser un Mac loué pour le travail de configuration OpenClaw ?
Un hôte Apple Silicon dédié offre des chemins stables, évite que les ordinateurs portables en veille n'interrompent l'intégration et isole les secrets des disques BYOD personnels conformément aux politiques de conformité.
Une configuration OpenClaw bien structurée est un code d'infrastructure : versionnez les modèles, automatisez les vérifications et hébergez l'état en direct sur du matériel de confiance. Pomme Silicium Les locations de Mac mini allient la compatibilité native de macOS avec des dépenses élastiques : augmentez les sprints d'intégration, renforcez les autorisations, puis réduisez-les lorsque la passerelle entre en état stable. Ce modèle maintient l’automatisation de l’IA à proximité de vos flux de travail HTML et Web sans transformer l’ordinateur portable de chaque ingénieur en magasin secret de production.
Héberger la config OpenClaw sur un Mac dédié
Louez un Mac mini Apple Silicon pour des ~/.openclaw cohérents et des secrets hors BYOD, gateway 7j/7 si besoin.