Cloudflare Tunnel로 공인 IP 변동 없이 외부 진입 고정
OpenClaw 외부 진입에서 흔한 불안은 공인 IP 변동과 인증서 순환입니다. Cloudflare Tunnel은 원격 Mac에 cloudflared만 두고 엣지에서 TLS를 종료해 포트 개방을 줄이면서 고정 호스트명으로 Webhook을 받습니다. Tunnel·DNS·Access를 계정 단위로 나누면 장애 시 영향 반경이 줄어듭니다. 지역 제한이 겹치면 2026년 OpenClaw 보안 강화 및 VPN 지리적 격리 실전과 함께 경로를 재점검하세요.
일본·한국·홍콩·싱가포르·미서부 원격 Mac 배치 순서
먼저 로컬 루프백에서 Gateway·Webhook 포트를 curl로 확인한 뒤 동일 경로를 Tunnel 공개 URL로 재검증합니다. 사용자 밀집 리전에 Primary Tunnel을 두고 나머지는 백업·채널 분리에 쓰면 RTT와 장애 격리를 맞출 수 있습니다. RTT·지터는 피크 시간대에 반복 측정해 최악값을 기준으로 삼으세요.
리전 선택 시 체크
- 아태 허브: 홍콩·싱가포르는 다자간 RTT가 낮고 Webhook 지연 분산이 유리합니다.
- 한국·일본 단독: 국내 SaaS·결제 연동이 많으면 해당 리전 Primary가 응답 일관성에 유리합니다.
- 미서부: 북미 SaaS·클라우드 백본과의 병렬 처리·새 기능 검증에 적합합니다.
역방향 프록시 뒤의 Gateway 라우팅
Nginx·Caddy 등은 긴 폴링·SSE를 위해 버퍼링과 읽기·쓰기 타임아웃을 Gateway 기본값과 맞추세요. WebSocket은 Upgrade·Connection을 프록시에서 명시 전달하고, 외부 헬스와 내부 루프백 헬스를 분리하면 502 오탐을 줄입니다.
Webhook과 Gateway만 끊길 때의 트러블슈팅
Webhook만 실패하면 서명 시크릿·타임스탬프 윈도·리다이렉트 체인을 먼저 봅니다. Tunnel 로그와 프록시 로그의 상태 코드를 맞추면 502(업스트림 불가)와 504(읽기 타임아웃)를 빠르게 갈릅니다. 전체가 동시에 멈춘 듯하면 launchd 체인·세션·ClawHub 감사 글을 참고하세요.
16GB·24GB·M4 Pro 동시 부하 대조(운영 감각)
동일 스택 가정의 Webhook·Gateway·에이전트 동시성 감각입니다. 채널·스킬에 따라 달라지므로 SLO에 맞춰 부하 테스트로 보정하세요.
| 구성 | 권장 동시성(가이드) | 병목 신호 | 확장 힌트 |
|---|---|---|---|
| M4 · 16GB | 단일 리전·저채널, 경량 워커 1~2 | 메모리 압박 시 Webhook 지연·OOM 로그 | 채널 분리 또는 24GB로 상향 |
| M4 · 24GB | 아태·미서부 이중 Tunnel+프록시 | CPU는 여유, 긴 세션 누적으로 RAM 상승 | 스킬 샌드박스·세션 TTL 정리 |
| M4 Pro | 다채널·다에이전트·빌드 병행 | 디스크 I/O·동시 TLS 핸드셰이크 | NVMe 용량·프록시 워커 수 조정 |
원격 엔트리를 Mac mini·macOS에 올릴 때의 이점
Tunnel·프록시·Webhook 검증은 macOS에서 방화벽·launchd와 툴체인이 한 흐름으로 맞기 쉽습니다. Apple Silicon은 전력 대비 처리량이 높고 Mac mini M4는 유휴 전력이 낮아 24시간 게이트웨이에 적합합니다. Gatekeeper·SIP·FileVault로 노출면을 줄이면서도 운영이 단순하고, 소음·유지보수까지 합친 총소유비용이 유리합니다.
Unix 기반과 Homebrew·SSH·Docker는 에이전트 스택 재배포 재현성에도 유리합니다. 외부 진입을 안정적으로 굳히려면 Mac mini M4로 기준을 맞추기 좋은 시점입니다. 아래에서 구성을 확인한 뒤 단계적으로 확장해 보세요.