深入疑難排解
以症狀為先的診斷,包含精確的命令階梯與日誌特徵。
設定
以任務為導向的設定指南 + 完整設定參考。
祕密管理
SecretRef 合約、執行階段快照行為,以及遷移/重新載入操作。
祕密計畫合約
精確的
secrets apply 目標/路徑規則與僅限 ref 的 auth-profile 行為。5 分鐘本機啟動
驗證服務健康狀態
Runtime: running、Connectivity probe: ok,以及符合你預期的 Capability: ...。當你需要讀取範圍 RPC 證明,而不只是可連線性時,請使用 openclaw gateway status --require-rpc。閘道設定重新載入會監看作用中的設定檔路徑(從設定檔/狀態預設值解析,或在設定
OPENCLAW_CONFIG_PATH 時使用它)。
預設模式是 gateway.reload.mode="hybrid"。
首次成功載入後,執行中的程序會提供作用中的記憶體內設定快照;成功重新載入會以原子方式替換該快照。執行階段模型
- 一個永遠執行的程序,用於路由、控制平面與頻道連線。
- 單一多工連接埠用於:
- WebSocket 控制/RPC
- HTTP API(
/v1/models、/v1/embeddings、/v1/chat/completions、/v1/responses、/tools/invoke) - 外掛 HTTP 路由,例如選用的
/api/v1/admin/rpc - 控制 UI 與鉤子
- 預設繫結模式:
loopback。 - 預設需要驗證。共享祕密設定使用
gateway.auth.token/gateway.auth.password(或OPENCLAW_GATEWAY_TOKEN/OPENCLAW_GATEWAY_PASSWORD),非 loopback 反向代理設定可使用gateway.auth.mode: "trusted-proxy"。
OpenAI 相容端點
OpenClaw 目前最高槓桿的相容性表面是:GET /v1/modelsGET /v1/models/{id}POST /v1/embeddingsPOST /v1/chat/completionsPOST /v1/responses
- 多數 Open WebUI、LobeChat 與 LibreChat 整合會先探測
/v1/models。 - 許多 RAG 與記憶體管線預期有
/v1/embeddings。 - 原生代理程式用戶端越來越偏好
/v1/responses。
/v1/models以代理程式為先:它會回傳openclaw、openclaw/default與openclaw/<agentId>。openclaw/default是穩定別名,永遠對應到已設定的預設代理程式。- 當你想要後端提供者/模型覆寫時,請使用
x-openclaw-model;否則會由所選代理程式的一般模型與嵌入設定維持控制。
POST /api/v1/admin/rpc)是另一個預設關閉的外掛路由,供無法使用 WebSocket RPC 的主機工具使用。請參閱 管理 HTTP RPC。
連接埠與繫結優先順序
| 設定 | 解析順序 |
|---|---|
| 閘道連接埠 | --port → OPENCLAW_GATEWAY_PORT → gateway.port → 18789 |
| 繫結模式 | CLI/覆寫 → gateway.bind → loopback |
--port。變更 gateway.port 後,請執行 openclaw doctor --fix 或 openclaw gateway install --force,讓 launchd/systemd/schtasks 在新連接埠啟動程序。
閘道啟動會在為非 loopback 繫結植入本機控制 UI 來源時,使用相同的有效連接埠與繫結。例如,--bind lan --port 3000
會在執行階段驗證執行前,先植入 http://localhost:3000 與 http://127.0.0.1:3000。
請將任何遠端瀏覽器來源,例如 HTTPS 代理 URL,明確加入
gateway.controlUi.allowedOrigins。
熱重新載入模式
gateway.reload.mode | 行為 |
|---|---|
off | 不重新載入設定 |
hot | 只套用熱安全變更 |
restart | 在需要重新啟動的變更時重新啟動 |
hybrid(預設) | 安全時熱套用,需要時重新啟動 |
操作者命令集
gateway status --deep 用於額外的服務探索(LaunchDaemons/systemd 系統
單元/schtasks),不是更深入的 RPC 健康探測。
多個閘道(同一主機)
多數安裝應該每台機器執行一個閘道。單一閘道可以託管多個 代理程式與頻道。 只有在你刻意需要隔離或救援機器人時,才需要多個閘道。 實用檢查:gateway status --deep可能會報告Other gateway-like services detected (best effort)並在過時的 launchd/systemd/schtasks 安裝仍存在時印出清理提示。- 當不同閘道回應,或 OpenClaw 無法證明可連線目標是同一個閘道時,
gateway probe可能會警告multiple reachable gateway identities。 指向同一閘道的 SSH 通道、代理 URL 或已設定的遠端 URL, 即使傳輸連接埠不同,也是一個有多種傳輸方式的 閘道。 - 如果這是刻意的,請為每個閘道隔離連接埠、設定/狀態與工作區根目錄。
- 唯一的
gateway.port - 唯一的
OPENCLAW_CONFIG_PATH - 唯一的
OPENCLAW_STATE_DIR - 唯一的
agents.defaults.workspace
遠端存取
建議:Tailscale/VPN。 備援:SSH 通道。ws://127.0.0.1:18789。
請參閱:遠端閘道、驗證、Tailscale。
監督與服務生命週期
對類生產環境可靠性,請使用受監督執行。- macOS(launchd)
- Linux(systemd 使用者)
- Windows(原生)
- Linux(系統服務)
openclaw gateway restart 進行重新啟動。不要將 openclaw gateway stop 和 openclaw gateway start 串接起來作為重新啟動替代方案。在 macOS 上,gateway stop 預設使用 launchctl bootout,這會從目前開機工作階段移除 LaunchAgent,但不會持久停用,因此 KeepAlive 自動復原在非預期當機後仍會運作,且 gateway start 會乾淨地重新啟用。若要跨重新開機持久抑制自動重新產生,請傳入 --disable:openclaw gateway stop --disable。LaunchAgent 標籤是 ai.openclaw.gateway(預設)或 ai.openclaw.<profile>(具名設定檔)。openclaw doctor 會稽核並修復服務設定漂移。開發設定檔快速路徑
19001。
協定快速參考(操作者視角)
- 第一個用戶端訊框必須是
connect。 - 閘道回傳
hello-ok快照(presence、health、stateVersion、uptimeMs、限制/政策)。 hello-ok.features.methods/events是保守的探索清單,不是 每個可呼叫輔助路由的產生式傾印。- 請求:
req(method, params)→res(ok/payload|error)。 - 常見事件包含
connect.challenge、agent、chat、session.message、session.operation、session.tool、sessions.changed、presence、tick、health、heartbeat、配對/核准生命週期事件, 以及shutdown。
- 立即接受確認(
status:"accepted") - 最終完成回應(
status:"ok"|"error"),中間串流agent事件。
操作檢查
存活狀態
- 開啟 WS 並傳送
connect。 - 預期收到含快照的
hello-ok回應。
就緒狀態
間隙復原
事件不會重播。遇到序列間隙時,先重新整理狀態(health、system-presence)再繼續。
常見失敗特徵
| 簽章 | 可能問題 |
|---|---|
refusing to bind gateway ... without auth | 沒有有效閘道驗證路徑的非迴路繫結 |
another gateway instance is already listening / EADDRINUSE | 連接埠衝突 |
Gateway start blocked: set gateway.mode=local | 設定設為遠端模式,或受損設定缺少本機模式戳記 |
unauthorized during connect | 用戶端與閘道之間的驗證不符 |
安全保證
- 閘道通訊協定用戶端會在閘道無法使用時快速失敗(不會隱含回退到直接通道)。
- 無效或非連線的第一個 frame 會被拒絕並關閉。
- 優雅關閉會在 socket 關閉前發出
shutdown事件。
相關: