當 OpenClaw 閘道突然無法連線工具主機,維運直覺常指向 TLS 或 API 金鑰。二〇二六年的事故覆盤裡,更安靜卻更高頻的仍是DNS 負向快取、企業分割 DNS,以及部署拼字錯誤後仍對 NXDOMAIN 狂打重試的迴圈。macOS 透過 mDNSResponder、行程內快取,以及與 Linux 預備容器不一致的 VPN 解析器,讓「在 CI 綠燈、在辦公室紅燈」成為常態。本文說明如何區分 NXDOMAIN 與逾時、如何調整重試預算、如何讓合成健康檢查與真實解析路徑一致,並在 Apple Silicon 上預演修補流程。
請交叉閱讀站內 doctor 閘道診斷、閘道健康監控,以及 遠端 CLI 與 SSH 隧道,以便在分割路由與 DNS 互動時對照觀測。
日誌訊號:區分 NXDOMAIN、SERVFAIL 與逾時
結構化日誌應帶上 dns_rcode、解析耗時毫秒、以及所用函式庫名稱。缺少這些欄位時,「連線失敗」工單會浪費數小時。支援流程應先看是否出現 NXDOMAIN:若有,調 TLS 無濟於事,除非清除快取或等待 TTL。
macOS 負向 TTL 行為
權威伺服器在 SOA 中公布的最小 TTL 會限制負向快取上限。macOS 透過 mDNSResponder 遵守這些提示;清除快取通常需要 dscacheutil -flushcache 並搭配行程重啟,因為使用者空間函式庫可能另有快取。請把清除步驟寫進 runbook,資安團隊才不至於質疑反覆 sudo。
重試預算與抖動表
| 情境 | 嘗試次數 | 退避上限 | 抖動 |
|---|---|---|---|
| 短暫逾時 | 3 | 8 秒 | ±20% |
| 部署錯字後的 NXDOMAIN | 1 | 不適用 | 停止並修正設定 |
| SERVFAIL 爆量 | 5 | 32 秒 | ±35% |
健康探測對上使用者流量路徑
若合成監控走機房解析器,而工具流量依賴分割 DNS,就會出現「監控全綠、客戶全紅」。請讓探測走同一解析鏈,或在實驗室才注入 /etc/hosts;正式環境禁止探測與流量默默分歧。
mDNS .local 與單播工具名稱衝突
區網工具鏈若以 *.local 廣播,可能遮蔽企業單播名稱,尤其是閘道與設計工作站共置時。工具主機請使用完整網域名稱,並在 LaunchAgent 環境避免意外的 Bonjour 捷徑。
VPN 與鑽石體入口互動
遠端工程師常把所有 TCP 走 VPN,但 DNS 仍指向公司分割視界。VPN 瞬斷時,macOS 可能短暫改用公開解析器,對僅內部可解析的工具主機回傳 NXDOMAIN,負向快取讓恢復更慢。請在 VPN 狀態從連線切到斷線時觸發快取清除監看器。
處置矩陣
- NXDOMAIN 且剛部署:回滾設定、清快取、重啟閘道行程。
- SERVFAIL 尖峰:升級給解析器團隊,暫降並行。
- 僅逾時:檢查掉封包、黑洞 MTU 或 TLS 中間盒。
可證明 DNS 回歸的指標
匯出 dns_query_total 並以 rcode 分類,另附解析延遲直方圖。若十分鐘視窗內 NXDOMAIN 占比超過0.5%,多半代表錯誤釋出而非自然流量。請把 DNS 指標與 http_client_errors_total{reason="connect"} 交錯,判斷失敗發生在 TLS 之前或之後。標籤基數需有界,避免在小型 Mac mini 指標堆疊上爆炸。
LaunchAgent 重啟與暖快取
重啟閘道會清部分使用者空間快取,但不一定清系統快取。請文件化行程使用的是 c-ares、getaddrinfo 或更高層 HTTP 用戶端,因為各層快取策略不同。就緒探測應在宣告健康前,對每個關鍵完整網域名稱連續解析兩次:第一次仍可能命中冷快取,第二次才接近穩態。
分割視界案例樣板
當內部工具僅在企業 DNS 可解析時,請建立前後對照表:解析器 IP、搜尋網域、成功與負向答案的測得 TTL。把表格附在事故報告旁,避免後人重蹈 VPN 排序覆寫的覆轍。時間戳應顯示負向快取持續多久——內部 SOA 常見300–900 秒。
附上脫敏的 dig +trace 輸出與閘道日誌片段,讓未參與 SSH 的同事也能獨立驗證結論。
IPv6 AAAA 與 Happy Eyeballs
若閘道優先嘗試 IPv6,而路由黑洞存在,可能先卡數百毫秒。請記錄 HTTP 堆疊是否啟用 Happy Eyeballs 以及競賽逾時——預設約300 毫秒會與激進 DNS 重試互相干擾。事故期間可暫時釘選 IPv4,但務必登記技術債。
DNS 變更後的 TLS 連線池
重用連線池的用戶端可能在 DNS 更新後仍對舊 IP 說話,因為 socket 未重開。若需快速切流,請把連線池閒置逾時設得低於 DNS TTL,並在 runbook 註明,避免 DNS 與應用團隊互踢皮球。
當閘道在同一 IP 後方重用 HTTP/2 連線服務多個工具主機時,確認函式庫在開新串流前會重新評估 DNS,否則控制面輪替上游時仍可能走舊路徑。
鑽石體入口與旅館 Wi-Fi
筆電閘道在旅館網路可能遭遇鑽石體入口劫持 DNS,直到接受條款頁面載入。請以已知金絲雀主機探測,並在答案特徵不符時暫停工具扇出,記錄 captive_portal_suspected 以利支援巨集分流。
會場 Wi-Fi 常在完成鑽石體頁面前,對內部網域給出較長的負向答案;請另備清除步驟,避免與真實中斷混淆。
事故覆盤時間線
每次 DNS 事故應附時間線:設定變更、VPN 狀態、解析器 IP、負向 TTL、閘道重啟與上游公告。缺少時間線會導致「以為回滚成功但快取仍在」的二次事故。附件應含脫敏追蹤輸出,讓未 SSH 進線的人也能驗證。
多區域部署時,請避免不同租戶共享同一解析快取狀態;租戶專屬工具網域可能對應不同分割視界,應以行程或設定檔隔離。
常見問題
為何 NXDOMAIN 比慢速 DNS 更痛?
負向答案會被快取,在 TTL 到期前重試也難以繞過。
OpenClaw 是否應繞過系統 DNS?
僅在架構審核通過並釘選解析器時才可行。
DNS 重試幾次合理?
預設三次並加抖動,除非廠商另有規範。
為何在 Mac mini 上測?
macOS 解析器行為貼近許多正式閘道;僅有 Linux CI 會誤導。
DNS 問題高度依賴環境:你需要與值勤工程師相同的解析器堆疊、VPN 用戶端與睡眠策略。透過 MacHTML 租用 Apple Silicon Mac mini,以約每天 16.9 美元取得可信的預演主機,無需再為資本預算拉扯。你可快照失敗的 dscacheutil 輸出、驗證 LaunchAgent 重啟,並在 runbook 更新後關機——彈性容量勝過把錯誤解析器卡在共用預備叢集。
Mac mini 低噪音與穩定散熱,也讓長時間擷取封包時的紀錄更可信。