外向き安定の骨格:Tunnel → リバプロ → Gateway
外向きHTTPSはCloudflare Tunnelへ集約し、Macは127.0.0.1でGatewayとWebhookのみ。ingressでホストとパスを確定し、リバプロはTLSとX-Forwarded-*に専念します。K8s本番の露出整理と揃えると移行が楽です。
日韓港新・米西海岸の置き方
利用者の大陸で遅延、発行元の出口でタイムアウト。APAC主体は港新軸、米SaaS依存は米西海岸を正。CI→Macリレー表と併読。
Tunnelとリバプロの最小手順
Zero TrustでTunnel→cloudflaredをlaunchd常駐。ingressでホストとWebhook/APIパスを明示。リバプロは実IP・スキーム転送と読み取りタイムアウトをTunnel側と揃え、ループバックbindとFD上限は五リージョン同一値。更新はカナリア→同一大陸→残り。
Webhook/Gatewayの排錯
502/504はTunnel→リバプロ→Gatewayの順にcurl -v。外だけ不通はSNI・証明書。401は鍵と時刻。200で進まないは再送とingressパス。チャネル沈黙はヘルスと実往復を分離。
16GB/24GBとM4 Proの対照
| 構成 | 並列目安 | 長所 | 注意 |
|---|---|---|---|
| M4・16GB | 2〜3 | 最小コスト | GC多発時はGateway単独推奨 |
| M4・24GB | 3〜5 | バランス | Sim併用は並列別枠 |
| M4 Pro | 5〜10+ | CPU余裕 | TCC・スリープ抑止必須 |
外向きノードにも、Mac mini M4 が向く理由
Tunnel常駐は静音・低待機電力が効きます。Mac mini M4 は統合メモリ帯域とmacOSの安定性で無人公開に向き、Gatekeeper/SIP/FileVaultで脅威面も抑えやすいです。
五リージョンはまずMac mini M4一台で経路を固め、表どおり並列を積むのが安全です。外向きOpenClawを手堅く始めるなら、Mac mini M4 を起点にしてください。