- Gateway は Ingress 背後 — TLS 終端とパス限定。
- ライブ≠レディ — 依存失敗はレディで外す。
- 並行度は RSS 基準 — Mac と VPS でメモリ挙動が違う。
露出面を先に決める
Gateway はハブなので生ポート公開はスキャンやログ汚染を招きます。443 の TLS 一本に寄せ、デバッグ系は閉域へ。導入経路の確認は インストールパスと Gateway の切り分け を先に済ませてからネットを固定するのが安全です。
K8s とリバースプロキシ
ClusterIP+ Ingress/nginx 等で TLS とパス制御。Webhook は接頭辞固定でレート制限。TLS はエッジ終端、転送ヘッダは信頼一本化。デバッグ用 LoadBalancer を本番に残さない。
ヘルスチェック
TCP だけでは不十分。/healthz で応答性を見る。レディは上流(モデル・資格情報・ディスク)で落としライブと分離。冷起動は initialDelay を厚めに。
Mac と VPS のメモリ
並行はコンテキストで積み上がる。Apple Silicon は統合メモリ、VPS はスワップ挙動に注意。上限は RSS・p95 基準。 ストレージ×並列の記事 も参照。
チェックリスト
| 領域 | 推奨 | 避ける |
|---|---|---|
| 入口 | TLS・パス限定 | NodePort 直晒し |
| Probe | ライブ/レディ分離 | 同一プローブ |
| 並行 | RSS・p95 | 全コア既定 |
導入順序
まず単体ホストで安定化し、その後 K8s 化と Probe を足すと迷子になりにくいです。
FAQ
Mac mini が合う理由
自前ゲートウェイなら静音・低電力が効きます。Mac mini M4 はアイドル約 4W 級になりやすく、長期コストを抑えやすいです。macOS は Unix ツールが素直で、Gatekeeper/SIP/FileVault で安全性を補強できます。M シリーズ統合メモリは本稿の並行チューニングと相性が良いです。
OpenClaw の土台を固めるなら、今が Mac mini M4 を検討する好機です。