Шлюзы OpenClaw кажутся неубиваемыми, пока апстрим LLM не начинает отвечать HTTP 429 Too Many Requests на целый регион. Продукт всё ещё ждёт ответ в пределах 30 секунд, финансы — предсказуемые счета, а безопасность — отсутствие утечек секретов в панических логах. Этот ранбук для команд, которые держат OpenClaw на круглосуточном macOS Mac mini и обязаны уважать Retry-After, добавлять джиттер и честно показывать перегрузку. Сочетайте его с локальными лимитами токенов и инструментов и с диагностикой doctor для шлюза: троттлы защищают хост, провайдерский backoff защищает отношения с вендором.
Вы получите матрицу решений, численные стартовые точки (секунды, глубина очереди, процент джиттера), macOS-ловушки и FAQ для дежурных. Материал написан как практический чек-лист, а не маркетинговый обзор: каждый абзац можно превратить в пункт внутренней wiki.
429 — не «мягкая» ошибка и не повод мгновенно удваивать параллелизм на клиенте. Напротив, агрессивный ретрай ухудшает положение всего пула клиентов и удлиняет восстановление после инцидента. Правильная стратегия начинается с парсинга заголовков, продолжается дисциплиной очередей и заканчивается прозрачной коммуникацией в каналах.
Локальные лимиты из гайда про бюджет токенов и белые списки инструментов задают верхнюю границу по расходу CPU и денег, но не отменяют внезапные региональные лимиты провайдера. Держите две таблицы констант в Git: «локальная справедливость» и «апстрим вежливость».
После любой смены политик прогоняйте сценарии из статьи про doctor и диагностику шлюза: искусственные 429 в стейджинге выявляют баги парсера дат и забытые mutex на общих ключах API.
Признаки неправильной обработки 429
Дубли пользовательских ответов в пределах 400 мс обычно означают, что клиент игнорирует Retry-After и тут же переигрывает тот же payload. Другой маркер — растущий p95 при загрузке CPU ниже 40%: вас душит очередь у модельного вендора, а не процессор шлюза.
Финансово осмысленные счётчики: число 429 в час, средняя фактическая задержка, отказавшиеся диалоги и повторно открытые тикеты с тегом «медленный ИИ». Без этих четырёх рядов невозможно доказать, что смена backoff помогла.
Во время инцидентов заморозьте фичи: снимите редактированные заголовки (особенно Retry-After и x-request-id), затем откатите последнее изменение клиента, если оно касалось ретраев.
Документируйте «аварийные» повышения лимитов с номерами тикетов; иначе команды тихо поднимают конкурентность в пик лендинга и удивляются счетам в воскресенье.
Саппорт должен фиксировать точную строку статуса HTTP, а не общее «ИИ лежит» — иначе инженеры не поймут, звонить вендору или чинить локальную политику.
Следите за всплесками 5xx сразу после бури 429: некоторые шлюзы ошибочно классифицируют дросселируемые апстрим-ошибки как внутренние, скрывая первопричину на дашбордах.
Коррелируйте всплески с маркерами деплоя: если 429 удвоились за 10 минут после релиза, сначала откатывайте клиент, а уже потом открывайте тикет вендору.
Если метрики из doctor-диагностики показывают здоровый DNS и TLS, но 429 растут, почти наверняка проблема в квотах маршрута модели, а не в сети до дата-центра.
Матрица: Retry-After против слепой экспоненты
| Стратегия | Согласованность с вендором | Честность для пользователя | Риск |
|---|---|---|---|
| Уважать Retry-After | Высокая | Средняя — дольше, но предсказуемо | Ошибки парсинга HTTP-date при сдвиге часов |
| Экспонента без заголовков | Низкая | Низкая — можно ждать слишком мало или слишком много | Эффект стада после простоя |
| Гибрид с джиттером | Высокая | Высокая — явные сообщения очереди | Больше веток кода и тестов |
В 2026 году выигрывает гибрид: парсим Retry-After, когда он есть, затем применяем экспоненциальный спад с джиттером и потолком 120 секунд, когда заголовок отсутствует.
Таблицу повесьте рядом с политикой из статьи про бюджет токенов, чтобы финансы видели, что вы не путаете «дешёвое локальное торможение» с «дорогим провайдерским ожиданием».
Стартовые числа, проходящие аудит
Начальные ручки клиента: базовая задержка 1,5 с, множитель 2,0×, джиттер ±15%, жёсткий потолок 120 с, глубина очереди на канал 8 ожидающих ходов до структурированного ответа «занято».
Ограничьте суммарное ожидание на пользовательское сообщение 180 с; дальше — отказ с ссылкой на живого оператора вместо бесконечного спиннера.
Когда вендор публикует окно обслуживания, заранее снижайте конкурентность на 25%, начиная за 15 минут до окна.
Красная команда с файлами повторов 429: если больше 3% синтетических сессий уходят в дедлок, в логике очереди всё ещё есть утечка.
Версионируйте таблицы backoff в Git; дежурный не должен гадать, какие константы были в проде во время инцидента.
Согласуйте лимиты веток инструментов с гайдом про лимиты инструментов, чтобы агент не запускал десять дорогих вызовов, пока провайдер уже просит подождать.
Для мультитенантных шлюзов фиксируйте справедливый round-robin: один шумный клиент не должен съедать все слоты ожидания, иначе 429 провайдера превращаются в внутренние войны между командами.
Часы macOS, LaunchAgents и повтор TLS
launchd даёт монотонные часы, удобные для таймеров backoff, но разбор HTTP-date обязан идти через UTC-библиотеки — дважды в год перепроверяйте переходы на летнее время.
Резюмирование TLS-сессий может маскировать прерывистые всплески 429: периодически ротируйте диагностические клиенты, чтобы форсировать свежие рукопожатия при бисекции вендорских проблем.
На общих Mac mini изолируйте учётные данные провайдера по арендаторам, чтобы один шумный воркспейс не сжигал общую квоту.
Сочетайте провайдерский backoff с локальными лимитами форков — см. руководство по троттлингу для потолков конкурентности.
Если закупки железа застряли, арендуйте облачный Mac mini для репетиций: хосты MacHTML на Apple Silicon обычно около $16.9/день с SSH/VNC для живых захватов заголовков.
Запускайте doctor-пробы после каждого измен plist LaunchAgent, иначе легко получить рассинхрон таймеров между несколькими plist на одной машине.
Для гибридных команд держите короткий скрипт, который печатает текущее смещение часов и версию OpenSSL — это экономит часы при разборе «почему Retry-After в прошлом».
UX каналов, когда всё в очереди
Пользователи Slack и Teams терпят ожидание, если копирайт объясняет причину. Шлите шаблон после 5 с очереди, второй — на 30 с, финальную ссылку на эскалацию — на 90 с.
Не эхом провайдерского JSON в каналы — там могут быть внутренние хостнеймы.
Если мультиязычные команды делят один шлюз, локализуйте «занято» по заголовку локали воркспейса.
Дросселируйте индикаторы набора: клиенты не должны слать «печатает», пока ассистент уже в очереди — эти события усугубляют нагрузку.
После восстановления отправьте короткое «догоняем», чтобы пользователи знали, что глубина очереди упала ниже 2 задач.
Для email-интеграций предусмотрите явный SLA: если очередь превысила порог, переводите тред в асинхронный режим с тикетом, а не держите SMTP-соединение открытым.
Телеметрия и метрики для финансов
Экспортируйте гистограммы фактически соблюдённых длительностей Retry-After и сравнивайте с моделью — расхождение свыше 20% намекает на баг парсера.
Алерт, когда 429 превышают 5× семидневной базы дольше 10 минут; сначала статус вендора, потом маршрутизация моделей.
Храните структурированные аудит-логи 90 дней с correlation ID между пользовательскими сообщениями и ID запроса провайдера.
На дашборде держите долю «ответ с первой попытки» рядом с 429, чтобы продукт не оптимизировал латентность ценой скрытого падения пропускной способности.
Ежеквартально вручную просматривайте 40 самых долгих ожиданий — автоматические корзины всё ещё путают региональные просадки с локальными багами.
Аннотируйте Grafana слияниями Git, касающимися констант backoff, чтобы всплески мапились на намеренные изменения, а не на «магию облака».
Сверяйте метрики с чек-листом doctor для шлюза: иногда рост 429 — следствие неправильного health-check, который бьётся о тот же endpoint, что и пользовательский трафик.
Координация с вендором и статус-страницы
Держите приватный runbook с маршрутом каждой модели на RSS/JSON статуса. При деградации инференса заранее режьте конкурентность на 30%, ещё до лавины 429.
В многочасовых инцидентах назначьте одного владельца «коммуникаций с вендором» с апдейтами в Slack каждые 20 минут; фрагментированные эскалации порождают лишние API-вызовы от панических скриптов.
Зафиксируйте burst-квоты письменно и приложите PDF к внутренней wiki рядом с таблицей backoff — финансам проще объяснять изменения конкурентности.
Новые SDK с другими таймаутами по умолчанию считайте рискованными: гоняйте канареечный трафик 5% 24 часа, наблюдая дельту 429.
Если вендор предлагает отдельный «slow lane» endpoint, протестируйте его на облачном Mac с тем же plist, что в проде — иногда латентность отличается из-за другого пула TLS.
Безопасность и комплаенс во время backoff
Никогда не логируйте целиком тела промптов рядом с ответами 429 — в инцидент-пакеты кладите только хэши диалогов. Редактируйте API-ключи даже в ночных дампах.
Аудиторы GDPR и SOC2 спрашивают, как вы доказываете справедливость при троттлинге; держите гистограммы, что ни один клиент не получил больше 2× медианного ожидания во время бурь.
Ротируйте общие ключи после подозрения на утечку и временно ужесточайте конкурентность по арендаторам, пока новые ключи не попадут во все plist LaunchAgent.
Пентестьте скрипты, бьющие по retry-endpoint: экспонента должна применяться и к 401-штормам, чтобы атакующий не превращал ошибки аутентификации в истощение CPU.
Дважды в год репетируйте переход на летнее время с синтетическими Retry-After в формате HTTP-date, чтобы регрессии парсера не прошли незаметно.
Напомните команде, что политика из гайда по токенам не освобождает от маскировки PII в логах ретраев — наоборот, при очередях логов больше.
FAQ
Должна ли политика для 429 провайдера совпадать с локальными троттлами?
Нет — комбинируйте слои: заголовки задают апстрим-ожидание, локальные лимиты защищают CPU и бюджет.
Что если Retry-After отсутствует?
Экспонента с джиттером и потолком около 120 секунд плюс correlation ID в логах.
Зачем репетировать на физическом Mac mini?
Планировщик macOS и поведение TLS отличаются от Linux CI; арендованный Apple Silicon воспроизводит продакшн.
Mac mini на Apple Silicon остаётся самой правдоподобной площадкой для репетиций инцидентов OpenClaw: предсказуемая термика при длинных захватах, нативная интеграция с Keychain и тайминг LaunchAgent как в бою. MacHTML сдаёт облачные Mac mini с SSH/VNC, чтобы платформенные команды проверяли 429, doctor-пробы и троттлы без нового CapEx — поднимите на учения, соберите доказательства, отключите после зелёного статуса.
Репетиция 429 для OpenClaw на облачном Mac mini
Арендуйте Apple Silicon, чтобы ловить заголовки Retry-After, крутить таблицы backoff и проверять взаимодействие doctor и лимитов на настоящем macOS. Тарифы и лимиты — на странице цен; про SSH, VNC и снимки — в справочном гиде.