Kernmodell
Die meisten Vorgänge laufen über das Gateway (openclaw gateway), einen einzelnen, dauerhaft laufenden Prozess, der Kanalverbindungen und die WebSocket-Steuerungsebene verwaltet.
- Loopback zuerst: Gateway WS verwendet standardmäßig
ws://127.0.0.1:18789. Nicht-Loopback-Bindungen erfordern einen gültigen Gateway-Authentifizierungsweg: Shared-Secret- Token-/Passwortauthentifizierung oder eine korrekt konfigurierte Nicht-Loopback-trusted-proxy-Bereitstellung. - Ein Gateway pro Host wird empfohlen. Für Isolation führen Sie mehrere Gateways mit isolierten Profilen und Ports aus (Mehrere Gateways).
- Canvas-Host wird auf demselben Port wie das Gateway bereitgestellt (
/__openclaw__/canvas/,/__openclaw__/a2ui/) und durch Gateway-Authentifizierung geschützt, wenn er außerhalb von Loopback gebunden ist. - Remote-Zugriff erfolgt typischerweise über SSH-Tunnel oder Tailscale-VPN (Remote-Zugriff).
Kopplung + Identität
- Kopplungsübersicht (DM + Nodes)
- Gateway-verwaltete Node-Kopplung
- Geräte-CLI (Kopplung + Token-Rotation)
- Kopplungs-CLI (DM-Genehmigungen)
- Direkte local loopback-Verbindungen können für die Kopplung automatisch genehmigt werden, damit die UX auf demselben Host reibungslos bleibt.
- OpenClaw verfügt außerdem über einen engen backend-/containerlokalen Selbstverbindungspfad für vertrauenswürdige Shared-Secret-Hilfsabläufe.
- Tailnet- und LAN-Clients, einschließlich Tailnet-Bindungen auf demselben Host, erfordern weiterhin eine explizite Kopplungsgenehmigung.