在筆記型電腦上跑通的 OpenClaw,搬到雲端供應商的無頭 Mac 後常在 LaunchAgent、路徑與權限三處翻車。本文面向 2026 年常見安裝路徑:官方指令稿、Node 22+,以及 `openclaw onboard --install-daemon`。你將得到六步可重現指令序列、兩張不同結構的表(症狀—處置矩陣、驗收勾選清單),以及針對無頭環境的防火牆與 VNC 補救連結。讀完應能獨立判斷「閘道未監聽」屬於二進位檔、plist 還是上游 API 問題。
更完整的概念與多場景部署可對照 OpenClaw macOS 綜合安裝指南;金鑰與 plist 環境變數細節見 鑰匙圈與 .env。需要圖形介面點 TCC 時,請開啟 VNC 遠端說明 與 說明中心;若要評估專用節點成本,請參考 NodeMac 定價與區域。
無頭環境與筆記型電腦的三點差異
- 沒有互動式選單列:依賴 GUI 的首次授權必須改為 VNC、ARD 或預置描述檔,否則 `system.run` 類工具會持續失敗。
- 登入工作階段與背景守護:SSH 工作階段結束不等於使用者 GUI 登入;LaunchAgent 使用者網域 plist 要求正確的
WorkingDirectory與可寫入日誌目錄。 - 上游網路政策:雲端安全群組若未放行本機回環以外的繫結位址,CLI 顯示「已啟動」但外部健康檢查仍失敗——需核對監聽為 127.0.0.1 還是 0.0.0.0。
安裝前釘選:版本與路徑
- 確認架構:Apple Silicon 應看到
arm64;Rosetta 混用會導致某些原生依賴重複下載。 - Node 主版本:以 OpenClaw 文件目前要求為準,常見下限為 Node 22 LTS 線;以
node -v與which node釘死路徑,避免 cron 與互動式 shell 各用一套。 - 全域 CLI:安裝完成後執行
openclaw version,預期回傳三位語意化版本號而非 command not found。 - 工作區目錄:在
/Users/<svc>/openclaw-workspace預先建立並 chown 給執行使用者,避免 onboard 中途建立失敗。 - 磁碟餘量:模型快取與日誌成長快,根卷空閒建議 > 25 GB 再開始。
- 時鐘同步:與 NTP 偏差 > 120 秒會導致部分 API 簽章失敗,表現為間歇 401。
`onboard --install-daemon` 預期訊號
下列檢查項應在同一次 SSH 工作階段中依序完成;若某步超過 10 分鐘無輸出,優先懷疑網路與代理而非「機器慢」。
| 步驟 | 指令/動作 | 通過標準 |
|---|---|---|
| 1 | curl -fsSL https://openclaw.ai/install.sh | bash(以官方為準) |
指令稿結束碼 0,無殘留半下載套件 |
| 2 | openclaw onboard --install-daemon |
產生 LaunchAgent plist 且 launchctl list 可見項目 |
| 3 | 健康探測(HTTP 或 CLI status,視版本而定) | 連續 3 次間隔 5 秒探測均成功 |
| 4 | 最小對話或 ping 工具 | 回傳結構化 JSON 且無 timeout |
症狀與處置矩陣
| 現象 | 高機率根因 | 先做這一步 | 驗證方式 |
|---|---|---|---|
| plist 存在但行程瞬退 | WorkingDirectory 不可寫 |
mkdir -p + 修正擁有者 |
log show --last 5m 無重複 crash |
| CLI 報 EADDRINUSE | 舊閘道未結束或 CI 佔用同連接埠 | 查監聽 PID 並協調停機視窗 | lsof -iTCP -sTCP:LISTEN |
| 模型呼叫 429/5xx 波浪形 | 金鑰配額或區域路由 | 輪換 key、降併發到 2 路以下試壓 | 供應商主控台 QPM 曲線 |
| 僅區域網路可存取 | 繫結在 loopback | 依安全模型改 bind 或走 SSH 隧道 | 從跳板機 curl 目標 IP |
升級紀律:在改 daemon 參數前以 openclaw doctor 做基線;大版本躍遷時保留上一份 plist 與 workspace 的 tarball,便於 5 分鐘內回復。
`openclaw dashboard` 與無頭場景下的遠端管理
官方文件常建議本機瀏覽器開啟控制介面;在無頭伺服器上,你有三條成熟路徑:其一,SSH 本機連接埠轉送到筆記型電腦瀏覽器,指令形如 ssh -L 18789:127.0.0.1:18789 user@host(連接埠以實際設定為準);其二,短期啟用 VNC,完成一次性工作階段校驗後關閉;其三,若安全策略禁止任何 GUI,則僅以 CLI 子命令與結構化日誌做驗收。無論選哪條,都要在變更單寫清「誰能在什麼時間段看到什麼資料」,避免把 dashboard 暴露到公網未設鑑權的位址。
驗收時記錄三個快照:行程樹中閘道父行程、監聽連接埠列表,以及最近一次成功 RPC 的時間戳記。後續排障只要對比這三項,就能在 90 秒內判斷是「行程沒了」「連接埠變了」還是「上游模型掛了」。這與 維運 runbook 中的日誌策略一致,可合併進同一本值班手冊。
與雲端 Mac 供應商協作的檢查項
NodeMac 側提供物理獨佔 Apple Silicon 節點與雙協定接入,你仍需在應用層確認下列四項,避免「機器是好的,堆疊是歪的」。
- 出站 443:對模型供應商與 npm registry 長期放行,突發擋下會導致 daemon 自檢假陽性。
- 入站政策:若要用公網 dashboard,需明確安全群組與 TLS 終止位置;更穩妥是 SSH 本機轉送。
- 持久化:確認使用者家目錄與
~/Library/LaunchAgents在重啟後保留。 - 觀測:至少蒐集 CPU%、記憶體壓力與閘道行程存活,連續遺失 3 個心跳週期再告警,過濾抖動。
若你在多機之間複製 workspace,請同步校驗檔案權限位元與延伸屬性:從本地上傳的壓縮包有時會剝離可執行位元,導致子行程啟動失敗卻只在 stderr 留下一行「Permission denied」。可在解包後統一執行一輪 chmod +x 針對指令稿目錄,並把結果記入驗收清單附錄。對需要呼叫 xcodebuild 的 Agent,另需確認 Xcode 授權已接受且命令列工具路徑與 CI 文件一致,否則會出現「裝好了 OpenClaw 但工具鏈仍半殘」的錯覺。
上線前務必做一次冷啟動演練:重啟執行個體、等待 LaunchAgent 自舉完成,再在切流量前驗證閘道 RPC。跳過此步驟的團隊,往往在 FileVault 解鎖順序、網路卡就緒與首次請求之間撞上競態,卻在已對外宣稱「已部署」後才暴露問題。把冷啟動結果截圖或日誌片段附在變更單上,稽核與後續排障都能省掉大量複述時間。
在臺灣或亞太團隊常見的情境裡,無頭 Mac 與本機筆電之間的網路路徑、DNS 與企業代理設定差異,會讓「本機可連、雲上不行」的問題反覆出現;建議在驗收清單中明列從執行個體對模型 API 與 registry 的端到端探測結果,並保留一次成功的完整日誌作為基線。這能顯著縮短與維運或供應商來回釐清責任邊界的時間。
在 Mac mini M4 上落地 OpenClaw 時,Apple Silicon 的 NPU 與統一記憶體適合並行的輕量工具呼叫與中等上下文工作階段;原生 macOS 則減少容器裡跑 Darwin 工具鏈的摩擦。NodeMac 節點支援 SSH 與 VNC,便於無頭守護與一次性圖形授權兼顧;香港、日本、韓國、新加坡與美國的低延遲接入,有利於把閘道貼近業務資料落地區。按需租賃避免為實驗性 Agent 採購整機,把 CapEx 轉成與迭代速度匹配的 OpEx。