Warum antwortet /health mit 401 obwohl das Gateway läuft?

Häufig fehlt der Authorization-Header oder das Token wurde rotiert. Prüfen Sie die gleiche Header-Kombination wie im produktiven Client und vergleichen Sie die Umgebungsvariablen des LaunchAgent mit einer interaktiven Shell.

Wie vermeide ich, dass zwei Upstreams dasselbe Modell doppelt fakturieren?

Definieren Sie eindeutige Routing-Präfixe oder Tags pro Kostenstelle, loggen Sie den gewählten Upstream-Namen in jeder Antwortmetadaten-Zeile und propagieren Sie denselben Schlüssel in die CI-Summary.

Scheitert Routing nur auf dem Remote-Mac, lokal nicht?

Typisch sind Proxy, TLS-Inspection oder IPv6-Pfade. Messen Sie curl von derselben UID wie der Gateway-Prozess, setzen Sie NO_PROXY für interne LLM-Hosts und vergleichen Sie DNS-Antworten mit dem Entwickler-Laptop.

OpenClaw 2026: Mehrere OpenAI-kompatible Endpunkte, Routing & CI-Zusammenfassung auf Remote-Mac

OpenClaw auf gemieteten Apple-Silicon-Remote-Macs entkoppelt Modellaufrufe vom Entwickler-Laptop. Mehrere OpenAI-kompatible Endpunkte ohne klare Regeln führen zu Routing-Fehlern und undurchsichtiger CI. Hier: Node 24, Installation, Routing-Tabelle, /health, Webhook/Summary. Vertiefung: Gateway-Healthcheck, Tiered-Model-Cache, Technik-Blog.

Voraussetzungen (Node 24 und Gateway)

Kriterium	Zielwert / Policy	Validierung	Sicherheitsnotiz
Node.js-Runtime	24.x LTS-Kanal, identisch in CI und auf dem Mac	`node -v` im Login- und im LaunchAgent-Kontext	Keine gemischten Major-Versionen zwischen interaktiv und `launchd`
Gateway-Benutzer	Dedizierte UID ohne unnötige `sudo`-Rechte	`id` und Home-Verzeichnis dokumentiert	Tokens nur in `launchctl`-`EnvironmentVariables` oder Secret-Store
Bindung	Standard `127.0.0.1`, Exposition nur per SSH-Tunnel oder Reverse-Proxy	`lsof -nP -iTCP` zeigt erwarteten Port	Offenes `0.0.0.0` ohne mTLS erhöht Leak-Risiko
Egress	`HTTPS_PROXY` / `NO_PROXY` für alle Upstream-Hostnamen	`curl -I` von derselben UID wie der Gateway-Prozess	TLS-Inspection erfordert konsistente Trust-Stores
Platte & Logs	Mindestens 20 GiB frei für Logs und temporäre Chat-Artefakte	`df -h` und rotierende Log-Policy	PII in Prompts nicht ungefiltert in Welt-lesbare Pfade schreiben

Ohne diese Checkliste rutschen Teams in stilles Fehlrouting, unterschätzen doctor-Warnungen oder glauben einer grünen CI, obwohl das Gateway für Automatisierung nicht erreichbar ist. Derselbe Host bedient oft git pull und LLM-Calls – budgetieren Sie CPU und NVMe explizit.

Installation und Kernpunkte

Installieren Sie nach Unternehmensvorgabe global oder projektbezogen. Entscheidend bleibt eine wiederholbare Kette aus openclaw onboard und openclaw doctor. Pfade, npm-Prefix und Gateway-Token-Rotation gehören ins interne Runbook, niemals ins öffentliche Repository.

Doctor in frischer Shell bis keine kritischen Warnungen offen sind.
Onboard auf dem Remote-Mac; Checkliste archivieren, Roh-Token ausnehmen.
Konfiguration: Upstream-URLs, Modell-Aliase, Routing-Regeln versionieren; API-Keys nur per Secret-Injection.
launchd wie im Healthcheck-Artikel; nach jedem Deploy kurzen Smoke-Chat je Upstream.
CI-Schritte mit großen git- oder brew-Pulls von Gateway-Spitzen entkoppeln oder priorisieren, damit Latenz planbar bleibt.

Ein physischer Remote-Mac in passender Region verkürzt oft RTT zu Upstreams stärker als Mikro-Tuning am Laptop und entlastet Entwickler-Rechner als Relay.

Mehrere OpenAI-kompatible Endpunkte und Routing: Konfigurationsschritte (Tabelle)

Die Tabelle ist implementierungsneutral: Feldnamen können je OpenClaw-Version variieren, die Reihenfolge ist aber für Security- und Finanz-Audits identisch wichtig. Jede Zeile sollte im Runbook einen Verantwortlichen und ein Abnahmedatum tragen.

Schritt	Aktion	Parameter-Beispiel	Erfolgskriterium
1	Upstream-Alias anlegen	`vendor-a`, `onprem-vllm`, `fallback-openai`	Jeder Alias besitzt dokumentierte Basis-URL und Zielregion
2	API-Pfad und Version fixieren	`/v1` kompatibel, ggf. `api-version`-Query	Smoke-`POST` liefert HTTP 200 und parsierbares JSON
3	Modell-Routing definieren	Präfix `gpt-` → `vendor-a`; `embed-` → günstiger Upstream	Kein Modellname ohne zugeordnete Route im Runbook
4	Gewichtung / Circuit-Breaker	Primär 80 %, Sekundär 20 %; nach drei Fehlern Umschalten	Logs zeigen gewählten Alias pro Request-ID
5	Secrets injizieren	`OPENAI_API_KEY`, firmenspezifische Tokens nur via CI-Secrets	Kein Klartext-Key in Git oder Welt-lesbarem Log
6	Abnahme	Routing-Hash, Zeitstempel	CI-Summary ↔ Ticket

Routing-Strategie (Kurz)

Strategie	Vorteil	Risiko
Präfix-Routing	Kostenstellen & Audit	Pflege neuer Modellnamen
Gewichteter Split	Last & Experimente	korrelierte Logs nötig

So wissen Entwicklung und Betrieb bei einem Incident sofort, welcher Upstream zuerst geprüft wird, und vermeiden stilles Umschalten auf teure Defaults.

HTTP-Gesundheitscheck und Pfad `/health`

/health ist das früheste Signal, bevor Bots oder CI in Timeout laufen. Die Probe muss unter derselben UID wie der Gateway-Prozess laufen, sonst täuschen Proxy- oder TLS-Kontexte.

Erwartung: HTTP 200 und JSON mit status, version, optional upstream_ok. connect-timeout etwa 3–5 s, max-time 8–12 s, damit langsame Upstreams den Check nicht blockieren.

curl -sS -m 10 -H "Authorization: Bearer $OPENCLAW_GATEWAY_TOKEN" \ http://127.0.0.1:18789/health | jq .

LaunchAgent oder Cron alle 60–120 s; nach zwei aufeinanderfolgenden Fehlern Alarm auslösen (plist-Beispiel im Healthcheck-Artikel). Wenn Git- oder Container-Pulls die Platte beanspruchen, Health trotzdem grün halten oder Slots drosseln.

CI-Webhook und Log-Zusammenfassung (Beispiel)

Nach Routing- oder Upstream-Änderung sollen Orchestratoren ohne Log-Wühlen sehen, was live ist. Muster A: Webhook nach erfolgreichem Reload. Muster B: Kurzsummary am Ende des Konfig-Jobs, z. B. $GITHUB_STEP_SUMMARY oder Slack-Incoming. Authorization-Zeilen und Token nie im Klartext.

echo "## OpenClaw routing" >> "$GITHUB_STEP_SUMMARY" echo "- upstream_primary: vendor-a" >> "$GITHUB_STEP_SUMMARY" echo "- routing_hash: $(shasum -a256 routing.json | cut -c1-12)" >> "$GITHUB_STEP_SUMMARY" echo "- host: $(hostname -s) remote-mac" >> "$GITHUB_STEP_SUMMARY"

Optional internes POST event=gateway_config mit revision – hält Infra und Entwicklung auf einem gemeinsamen Remote-Mac synchron.

Häufige Fehler: FAQ

401 Unauthorized auf /health trotz laufendem Prozess?: Token in launchctl-Umgebung und interaktiver Shell abgleichen; nach Rotation plist neu laden. Health-Client muss dieselben Header-Namen wie produktive Clients senden.
Routing landet nach Deploy immer auf dem falschen Upstream?: Oft eine zweite Konfigurationsdatei im Home oder ein veralteter Symlink. Beim Start die aufgelöste Pfadliste loggen und Zeitstempel vergleichen.
Hohe Latenz nur für bestimmte Modellpräfixe?: RTT per curl vom Remote-Mac zum Upstream messen; wenn WAN stimmt, Queue-Länge und parallele Jobs auf derselben NVMe prüfen.
Secrets in CI-Summary?: Keine echo von Roh-Umgebungsvariablen; Platzhalter REDACTED und separate Audit-Logs mit Zugriffskontrolle.

Hard-Facts zum Zitieren

Node 24.x konsistent für Login-Shell und launchd verhindert die häufigste Klasse stiller Routing-Regressionen nach Updates.
Health alle 60–120 s plus zwei aufeinanderfolgende Fehler vor Page balanciert Rauschen und mittlere Zeit bis zur Detektion.
Identischer routing_hash in CI-Summary und Change-Ticket erspart bei Teilausfällen langwieriges Korrelieren von Logs.

Fazit

Ein stabil betriebenes OpenClaw-Gateway auf gemietetem Remote-Mac bündelt Modellzugriff und klassische Pull-Pipelines auf einem verlässlichen Apple-Silicon-Host. Routing-Tabelle, /health und CI-Summary machen Änderungen für alle sichtbar. Startseite, Kaufen, Hilfe; vertiefend der Healthcheck-Leitfaden und der Technik-Blog.

OpenClaw-Gateway auf Remote-Mac

Nächste Schritte – ohne Login

Region wählen, Gateway stabilisieren, verwandte Guides im Blog.

Preise & Pakete Jetzt kaufen Hilfe Technik-Blog

Apple-Silicon-Remote-Macs

Stabiles Gateway & Pull-Pfade

Support bei CI-Fragen

OpenClaw auf Remote-Mac: Multi-Endpoint, Routing & CI-Zusammenfassung