生产自托管:先定「唯一入口」,再谈扩缩容
自托管 OpenClaw 时,Gateway 往往同时承担鉴权、长连接与观测出口;若再叠加多套公网 IP 或调试端口,暴露面会指数级膨胀。2026 年的务实做法是:公网只保留经 TLS 终止的反向代理或 Ingress,其余全部落在集群内或专线/VPN 之后。部署形态与自动化衔接可对照 《2026年 OpenClaw 部署实战:从安装到自动化工作流》,把「装在哪」与「谁对外」写成同一套清单。
Kubernetes 侧:收敛 Gateway 暴露面的典型策略
| 层级 | 建议 | 要避免 |
|---|---|---|
| Ingress / Gateway API | 单入口域名 + 证书托管 | 多 Host 指向同一后端却未统一鉴权 |
| Service | ClusterIP 为主 |
调试期长期开 NodePort |
| NetworkPolicy | 命名空间级默认拒绝 + 白名单 | 全集群等同内网可信 |
| 出向流量 | 固定 NAT 或 Egress 网关审计 | Pod 随意直连公网 API 无记录 |
反向代理:TLS、路径与 WebSocket 对齐
Nginx、Caddy、Traefik 等反代负责证书与 HTTP/2、WebSocket 升级;常见故障是「双层 TLS」或「后端只监听回环」。生产上反代终止 TLS,上游用集群内明文或 mTLS;CDN 场景须显式开启 WebSocket 与超时。区域与带宽前提可先对照 远程 Mac 与 VPS 选型对比。
常见误区
把健康检查 URL 指到需要鉴权的路径——kubelet 或反代探针拿不到 200,会误杀正常 Pod。
健康检查:存活、就绪与业务探针分层
liveness 应极轻,只回答「进程是否僵死」;readiness 才承接依赖就绪(数据库、队列、远端执行器)。Gateway 若参与 SSE/WebSocket,就绪探针过严会在滚动发布时过早摘流量,反而放大用户侧断连。建议为长连接单独设优雅下线窗口,并与 HPA 错开尖峰,避免探针与扩容抖动叠加。
远程 Mac 与 VPS:内存与并发怎么定
- 远程 Mac(Apple Silicon):统一内存被 GPU、模型与构建链共享,给 Gateway 与 worker 设硬上限,避免与 Xcode/本地推理争用触发 swap。
-
Linux VPS:关注页缓存与 OOM Score;Node/Go 运行时并发与连接池要和内核
fs.file-max、nf_conntrack同阶调,否则表现为间歇性超时而非直观 CPU 打满。 - 混合拓扑:Gateway 在集群、执行在远程 Mac 时,把 RTT 与重试预算写进配置,并在监控里区分「入口可用」与「执行器可用」。
落地检查表(发布前 10 分钟可过一遍)
| 项 | 确认 |
|---|---|
| 公网仅经反代/Ingress | 无额外 NodePort / 调试端口遗留 |
| 证书与域名 | 自动续期与指纹告警已接 |
| 探针路径 | 免鉴权、幂等、低开销 |
| 滚动策略 | maxUnavailable 与长连接优雅下线匹配 |
| 执行端内存 | Mac/VPS 均已设上限与 OOM 预案 |
监控建议同时看 TLS 握手失败率、就绪探针失败次数与执行队列深度,比只看 CPU 更早暴露结构性瓶颈。
把入口与执行端落在 Mac mini:静音、低功耗与原生栈
Gateway 收敛到反代后,执行侧更需要长期稳定、低运维噪声:Mac mini M4 凭 Apple Silicon 统一内存与较高带宽,适合 CLI、容器与本地模型混跑;待机约 4W,适合 7×24。macOS 的 Gatekeeper、SIP、FileVault 与原生 Unix、Homebrew、Docker 栈,让排障路径更短。
若你既要安全收敛又要少折腾、长期综合成本可控,Mac mini M4 是务实起点;现在即可入手,把 K8s 外的执行与联调跑在统一架构上。