127.0.0.1 とトークンで閉じます。workspace 例・エラー対照・定時プルとプリフライトのつなぎまでまとめます。
運用前に押さえる三つの制約
ランタイム差:node -v が要件とずれると CLI が黙って落ちます。ジョブ先頭で必ず表示してください。
露出面:0.0.0.0 かつトークンなしは避け、127.0.0.1 かソケット+外向きは SSH トンネル等で閉じます。
再現性:export 頼みをやめ、openclaw.json とスキル・プリフライトを workspace に集約します。
MCP ゲートウェイの公開パターン比較
| パターン | セキュリティ | 向くシーン |
|---|---|---|
| ループバック+トークン+SSH | 高 | CI ノードの既定案 |
| Unix ソケット | 高 | 同一ホスト連携 |
0.0.0.0 裸 | 低 | 原則禁止 |
再現手順(五ステップ)
Node:公式ドキュメント(下限 22.16 付近、24 系推奨の記載)に合わせ fnm 等で固定。
導入:npm -g は PATH がブレるため公式 curl スクリプト優先。冒頭で openclaw --version をログ化。
workspace:下記構成に openclaw.json・スキル・MCP・preflight.sh を置き cwd 固定。
ゲートウェイ:127.0.0.1 バインド+長いトークン必須。0.0.0.0 の無認証公開は禁止。
常駐:LaunchAgents の plist で RunAtLoad・KeepAlive、WorkingDirectory とログを絶対パスで。
最小の再現 workspace ディレクトリ例
openclaw-ci-workspace/ ├── openclaw.json ├── skills/ ├── mcp-servers/ ├── scripts/preflight.sh └── logs/gateway.log
よくあるエラー対照表
| 症状 | 原因 | 対処 |
|---|---|---|
openclaw が見つからない | PATH | 公式スクリプト経路と shell の PATH を一致 |
| 即クラッシュ | Node 不足 | 要件どおりに上げる |
| MCP 即切断 | トークン誤り | 環境変数と設定を突合 |
| 外部から到達 | 裸の 0.0.0.0 | ループバックへ戻しトンネルで閉じる |
定時プルとプリフライトをつなぐ一例
launchd か cron で git pull --ff-only のあと preflight.sh、成功時のみ launchctl kickstart でゲートウェイ再起動、と二段にすると安全です。プリフライトで doctor 相当と MCP の list tools を exit code 化してください。
設計メモとして引用しやすい要点
- Node 下限・推奨を公式に合わせログに残す。
- 導入は公式スクリプト、ゲートウェイはループバック+トークン。
- plist の WorkingDirectory とログを絶対パスで固定。
まとめと次のアクション
三点セットは Node 固定・閉じたゲートウェイ・workspace 宣言です。ブログ一覧 と ヘルプ、ホーム も併せてご覧ください。
リモート Mac に MCP とプリフライトを載せればスキル更新と CI 入口を一箇所に集約できます。ClawHub 自動化と併読ください。専用ノードが欲しい方は 購入 から MacPull をご利用ください。