CLI commands
Gateway
Gateway là máy chủ WebSocket của OpenClaw (kênh, nút, phiên, hook). Các lệnh con trong trang này nằm dưới openclaw gateway ….
Thiết lập mDNS cục bộ + DNS-SD diện rộng.
Cách OpenClaw quảng bá và tìm các gateway.
Các khóa cấu hình gateway cấp cao nhất.
Chạy Gateway
Chạy một tiến trình Gateway cục bộ:
openclaw gatewayBí danh chạy foreground:
openclaw gateway runHành vi khởi động
- Theo mặc định, Gateway từ chối khởi động trừ khi
gateway.mode=localđược đặt trong~/.openclaw/openclaw.json. Dùng--allow-unconfiguredcho các lần chạy tạm thời/phát triển. openclaw onboard --mode localvàopenclaw setupđược kỳ vọng sẽ ghigateway.mode=local. Nếu tệp tồn tại nhưng thiếugateway.mode, hãy xem đó là cấu hình bị hỏng hoặc bị ghi đè và sửa nó thay vì ngầm giả định chế độ local.- Nếu tệp tồn tại và thiếu
gateway.mode, Gateway xem đó là hư hỏng cấu hình đáng ngờ và từ chối "đoán local" thay bạn. - Việc bind vượt quá loopback mà không có xác thực sẽ bị chặn (lan can an toàn).
lan,tailnet, vàcustomhiện phân giải qua các đường dẫn BYOH chỉ IPv4.- BYOH chỉ IPv6 hiện chưa được hỗ trợ nguyên bản trên đường dẫn này. Dùng một sidecar hoặc proxy IPv4 nếu chính máy chủ chỉ có IPv6.
SIGUSR1kích hoạt khởi động lại trong tiến trình khi được cho phép (commands.restartđược bật theo mặc định; đặtcommands.restart: falseđể chặn khởi động lại thủ công, trong khi gateway tool/config apply/update vẫn được phép).- Các handler
SIGINT/SIGTERMdừng tiến trình gateway, nhưng chúng không khôi phục bất kỳ trạng thái terminal tùy chỉnh nào. Nếu bạn bọc CLI bằng TUI hoặc đầu vào raw-mode, hãy khôi phục terminal trước khi thoát.
Tùy chọn
OPENCLAW_DOCS_MARKER:paramOpen:IHBhdGg9Ii0tcG9ydCA8cG9ydA
" type="number">
Cổng WebSocket (mặc định đến từ config/env; thường là 18789).
OPENCLAW_DOCS_MARKER:paramOpen:IHBhdGg9Ii0tYmluZCA8bG9vcGJhY2t8bGFufHRhaWxuZXR8YXV0b3xjdXN0b20
" type="string">
Chế độ bind listener. lan, tailnet, và custom hiện phân giải qua các đường dẫn chỉ IPv4.
"--authOPENCLAW_DOCS_MARKER:paramOpen:IHBhdGg9Ii0tdG9rZW4gPHRva2Vu
" type="string">
Ghi đè token (cũng đặt OPENCLAW_GATEWAY_TOKEN cho tiến trình).
"--password"--tailscale--tailscale-reset-on-exitbooleanĐặt lại cấu hình Tailscale serve/funnel khi tắt.
--bind custom + gateway.customBindHoststringHiện kỳ vọng một địa chỉ IPv4. Với BYOH chỉ IPv6, đặt một sidecar hoặc proxy IPv4 trước Gateway và trỏ OpenClaw tới endpoint IPv4 đó.
--allow-unconfiguredbooleanCho phép gateway khởi động mà không có gateway.mode=local trong cấu hình. Chỉ bỏ qua guard khởi động cho bootstrap tạm thời/phát triển; không ghi hoặc sửa tệp cấu hình.
--devbooleanTạo cấu hình phát triển + workspace nếu thiếu (bỏ qua BOOTSTRAP.md).
--resetbooleanĐặt lại cấu hình phát triển + thông tin xác thực + phiên + workspace (yêu cầu --dev).
--forcebooleanDừng mọi listener hiện có trên cổng đã chọn trước khi khởi động.
--verbosebooleanNhật ký chi tiết.
--cli-backend-logsbooleanChỉ hiển thị nhật ký backend CLI trong console (và bật stdout/stderr).
"--ws-log--compactbooleanBí danh cho --ws-log compact.
--raw-streambooleanGhi các sự kiện luồng mô hình thô vào jsonl.
Khởi động lại Gateway
openclaw gateway restartopenclaw gateway restart --safeopenclaw gateway restart --safe --skip-deferralopenclaw gateway restart --forceopenclaw gateway restart --safe yêu cầu Gateway đang chạy kiểm tra trước công việc đang hoạt động và lên lịch một lần khởi động lại gộp sau khi công việc đang hoạt động được xử lý xong. Khởi động lại an toàn mặc định chờ công việc đang hoạt động tối đa đến gateway.reload.deferralTimeoutMs đã cấu hình (mặc định 5 phút); khi ngân sách đó hết, quá trình khởi động lại sẽ bị cưỡng bức. Đặt gateway.reload.deferralTimeoutMs thành 0 để chờ an toàn vô thời hạn và không bao giờ cưỡng bức. restart thường giữ hành vi service-manager hiện có; --force vẫn là đường dẫn ghi đè ngay lập tức.
openclaw gateway restart --safe --skip-deferral chạy cùng quá trình khởi động lại phối hợp có nhận biết OpenClaw như --safe, nhưng bỏ qua cổng trì hoãn do công việc đang hoạt động để Gateway phát lệnh khởi động lại ngay cả khi có blocker được báo cáo. Dùng nó như lối thoát cho operator khi một lần trì hoãn bị giữ bởi một task run bị kẹt và chỉ dùng --safe có thể bị giới hạn bởi gateway.reload.deferralTimeoutMs. --skip-deferral yêu cầu --safe.
Hồ sơ hiệu năng Gateway
- Đặt
OPENCLAW_GATEWAY_STARTUP_TRACE=1để ghi thời gian từng pha trong quá trình Gateway khởi động, bao gồm độ trễeventLoopMaxtheo từng pha và thời gian bảng tra cứu Plugin cho installed-index, manifest registry, startup planning, và owner-map work. - Đặt
OPENCLAW_GATEWAY_RESTART_TRACE=1để ghi các dòngrestart trace:theo phạm vi khởi động lại cho xử lý tín hiệu khởi động lại, drain công việc đang hoạt động, các pha shutdown, lần khởi động kế tiếp, thời điểm sẵn sàng, và chỉ số bộ nhớ. - Đặt
OPENCLAW_DIAGNOSTICS=timelinecùngOPENCLAW_DIAGNOSTICS_TIMELINE_PATH=<path>để ghi một timeline chẩn đoán khởi động JSONL best-effort cho các harness QA bên ngoài. Bạn cũng có thể bật cờ bằngdiagnostics.flags: ["timeline"]trong cấu hình; đường dẫn vẫn được cung cấp qua env. ThêmOPENCLAW_DIAGNOSTICS_EVENT_LOOP=1để bao gồm các mẫu event-loop. - Chạy
pnpm buildtrước, rồipnpm test:startup:gateway -- --runs 5 --warmup 1để benchmark khởi động Gateway so với entry CLI đã build. Benchmark ghi lại output tiến trình đầu tiên,/healthz,/readyz, thời gian startup trace, độ trễ event-loop, và chi tiết thời gian bảng tra cứu Plugin. - Chạy
pnpm buildtrước, rồipnpm test:restart:gateway -- --case skipChannels --runs 1 --restarts 5để benchmark khởi động lại Gateway trong tiến trình so với entry CLI đã build trên macOS hoặc Linux. Benchmark khởi động lại dùng SIGUSR1, bật cả startup trace và restart trace trong tiến trình con, và ghi lại/healthztiếp theo,/readyztiếp theo, downtime, thời điểm sẵn sàng, CPU, RSS, và chỉ số restart trace. - Xem
/healthzlà liveness và/readyzlà readiness có thể sử dụng. Các dòng trace và output benchmark dùng để quy trách nhiệm cho owner; đừng xem một trace span hoặc một mẫu là kết luận hiệu năng hoàn chỉnh.
Truy vấn Gateway đang chạy
Tất cả lệnh truy vấn dùng WebSocket RPC.
Chế độ output
- Mặc định: dễ đọc cho con người (có màu trong TTY).
--json: JSON để máy đọc (không styling/spinner).--no-color(hoặcNO_COLOR=1): tắt ANSI trong khi vẫn giữ bố cục cho con người.
Tùy chọn dùng chung
--url <url>: URL WebSocket của Gateway.--token <token>: token Gateway.--password <password>: mật khẩu Gateway.--timeout <ms>: timeout/ngân sách (thay đổi theo lệnh).--expect-final: chờ phản hồi "final" (agent calls).
gateway health
openclaw gateway health --url ws://127.0.0.1:18789openclaw gateway health --port 18789Endpoint HTTP /healthz là probe liveness: nó trả về khi máy chủ có thể trả lời HTTP. Endpoint HTTP /readyz nghiêm ngặt hơn và vẫn đỏ trong khi các sidecar Plugin khởi động, kênh, hoặc hook đã cấu hình vẫn đang ổn định. Các phản hồi readiness chi tiết cục bộ hoặc đã xác thực bao gồm một khối chẩn đoán eventLoop với độ trễ event-loop, mức sử dụng event-loop, tỷ lệ lõi CPU, và cờ degraded.
OPENCLAW_DOCS_MARKER:paramOpen:IHBhdGg9Ii0tcG9ydCA8cG9ydA
" type="number">
Nhắm tới một Gateway local loopback trên cổng này. Tùy chọn này ghi đè OPENCLAW_GATEWAY_URL và OPENCLAW_GATEWAY_PORT cho lệnh health.
gateway usage-cost
Lấy tóm tắt chi phí sử dụng từ nhật ký phiên.
openclaw gateway usage-costopenclaw gateway usage-cost --days 7openclaw gateway usage-cost --agent work --jsonopenclaw gateway usage-cost --all-agentsopenclaw gateway usage-cost --json"--days"--agent--all-agentsbooleanTổng hợp tóm tắt chi phí trên tất cả agent đã cấu hình. Không thể kết hợp với --agent.
gateway stability
Lấy bộ ghi ổn định chẩn đoán gần đây từ một Gateway đang chạy.
openclaw gateway stabilityopenclaw gateway stability --type payload.largeopenclaw gateway stability --bundle latestopenclaw gateway stability --bundle latest --exportopenclaw gateway stability --jsonOPENCLAW_DOCS_MARKER:paramOpen:IHBhdGg9Ii0tbGltaXQgPGxpbWl0
" type="number" default="25">
Số sự kiện gần đây tối đa cần bao gồm (tối đa 1000).
OPENCLAW_DOCS_MARKER:paramOpen:IHBhdGg9Ii0tdHlwZSA8dHlwZQ
" type="string">
Lọc theo loại sự kiện chẩn đoán, chẳng hạn như payload.large hoặc diagnostic.memory.pressure.
"--since-seq--bundle [path]stringĐọc một bundle ổn định đã lưu thay vì gọi Gateway đang chạy. Dùng --bundle latest (hoặc chỉ --bundle) cho bundle mới nhất dưới thư mục trạng thái, hoặc truyền trực tiếp một đường dẫn JSON bundle.
--exportbooleanGhi một zip chẩn đoán hỗ trợ có thể chia sẻ thay vì in chi tiết ổn định.
OPENCLAW_DOCS_MARKER:paramOpen:IHBhdGg9Ii0tb3V0cHV0IDxwYXRo
" type="string">
Đường dẫn output cho --export.
Quyền riêng tư và hành vi bundle
- Bản ghi giữ siêu dữ liệu vận hành: tên sự kiện, số lượng, kích thước byte, chỉ số bộ nhớ, trạng thái hàng đợi/phiên, id phê duyệt, tên kênh/Plugin, và tóm tắt phiên đã biên tập. Chúng không giữ văn bản chat, body webhook, output tool, body request hoặc response thô, token, cookie, giá trị bí mật, hostname, hoặc id phiên thô. Đặt
diagnostics.enabled: falseđể tắt hoàn toàn bộ ghi. - Khi Gateway thoát lỗi nghiêm trọng, timeout shutdown, và lỗi khởi động sau restart, OpenClaw ghi cùng snapshot chẩn đoán vào
~/.openclaw/logs/stability/openclaw-stability-*.jsonkhi bộ ghi có sự kiện. Kiểm tra bundle mới nhất bằngopenclaw gateway stability --bundle latest;--limit,--type, và--since-seqcũng áp dụng cho output bundle.
gateway diagnostics export
Ghi một zip chẩn đoán cục bộ được thiết kế để đính kèm vào báo cáo lỗi. Để biết mô hình quyền riêng tư và nội dung bundle, xem Xuất chẩn đoán.
openclaw gateway diagnostics exportopenclaw gateway diagnostics export --output openclaw-diagnostics.zipopenclaw gateway diagnostics export --json"--log-lines"--log-bytes"--url"--token"--password"--timeout--no-stability-bundlebooleanBỏ qua tra cứu gói ổn định đã lưu.
--jsonbooleanIn đường dẫn đã ghi, kích thước và manifest dưới dạng JSON.
Bản xuất chứa một manifest, bản tóm tắt Markdown, hình dạng cấu hình, chi tiết cấu hình đã làm sạch, tóm tắt nhật ký đã làm sạch, ảnh chụp nhanh trạng thái/tình trạng Gateway đã làm sạch, và gói ổn định mới nhất nếu có.
Bản xuất này được thiết kế để chia sẻ. Nó giữ lại các chi tiết vận hành hỗ trợ gỡ lỗi, chẳng hạn như các trường nhật ký OpenClaw an toàn, tên hệ thống con, mã trạng thái, thời lượng, chế độ đã cấu hình, cổng, id plugin, id nhà cung cấp, thiết lập tính năng không bí mật, và thông điệp nhật ký vận hành đã được biên tập. Nó bỏ qua hoặc biên tập nội dung trò chuyện, thân webhook, đầu ra công cụ, thông tin xác thực, cookie, mã định danh tài khoản/tin nhắn, văn bản prompt/chỉ dẫn, tên máy chủ, và giá trị bí mật. Khi một thông điệp kiểu LogTape trông giống văn bản tải trọng người dùng/trò chuyện/công cụ, bản xuất chỉ giữ lại rằng một thông điệp đã bị bỏ qua cùng với số byte của nó.
gateway status
gateway status hiển thị dịch vụ Gateway (launchd/systemd/schtasks) cùng với một phép dò tùy chọn về khả năng kết nối/xác thực.
openclaw gateway statusopenclaw gateway status --jsonopenclaw gateway status --require-rpc"--url"--token"--password"--timeout--no-probebooleanBỏ qua phép dò kết nối (chỉ xem dịch vụ).
--deepbooleanQuét cả các dịch vụ cấp hệ thống.
--require-rpcbooleanNâng cấp phép dò kết nối mặc định thành phép dò đọc và thoát khác 0 khi phép dò đọc đó thất bại. Không thể kết hợp với --no-probe.
Ngữ nghĩa trạng thái
gateway statusvẫn khả dụng để chẩn đoán ngay cả khi cấu hình CLI cục bộ bị thiếu hoặc không hợp lệ.gateway statusmặc định chứng minh trạng thái dịch vụ, kết nối WebSocket, và khả năng xác thực nhìn thấy tại thời điểm bắt tay. Nó không chứng minh các thao tác đọc/ghi/quản trị.- Các phép dò chẩn đoán không gây đột biến đối với xác thực thiết bị lần đầu: chúng dùng lại token thiết bị đã lưu trong bộ nhớ đệm nếu có, nhưng không tạo danh tính thiết bị CLI mới hoặc bản ghi ghép đôi thiết bị chỉ đọc chỉ để kiểm tra trạng thái.
gateway statusphân giải các SecretRef xác thực đã cấu hình cho xác thực phép dò khi có thể.- Nếu một SecretRef xác thực bắt buộc không được phân giải trong đường dẫn lệnh này,
gateway status --jsonbáo cáorpc.authWarningkhi kết nối/xác thực dò thất bại; truyền rõ ràng--token/--passwordhoặc phân giải nguồn bí mật trước. - Nếu phép dò thành công, cảnh báo auth-ref chưa phân giải sẽ bị ẩn để tránh dương tính giả.
- Khi bật dò, đầu ra JSON bao gồm
gateway.versionkhi Gateway đang chạy báo cáo nó;--require-rpccó thể dự phòng về tải trọng RPCstatus.runtimeVersionnếu phép dò bắt tay tiếp theo không cung cấp được siêu dữ liệu phiên bản. - Dùng
--require-rpctrong script và tự động hóa khi một dịch vụ đang lắng nghe là chưa đủ và bạn cũng cần các lệnh gọi RPC phạm vi đọc hoạt động khỏe mạnh. --deepthêm quét nỗ lực tối đa để tìm các cài đặt launchd/systemd/schtasks bổ sung. Khi phát hiện nhiều dịch vụ giống gateway, đầu ra cho người đọc in gợi ý dọn dẹp và cảnh báo rằng hầu hết thiết lập nên chạy một gateway trên mỗi máy.--deepcũng báo cáo một lần chuyển giao khởi động lại supervisor Gateway gần đây khi tiến trình dịch vụ đã thoát sạch để supervisor bên ngoài khởi động lại.--deepchạy xác thực cấu hình ở chế độ nhận biết plugin (pluginValidation: "full") và hiển thị cảnh báo manifest plugin đã cấu hình (ví dụ thiếu siêu dữ liệu cấu hình kênh) để các kiểm tra smoke cài đặt và cập nhật bắt được chúng.gateway statusmặc định giữ đường dẫn chỉ đọc nhanh bỏ qua xác thực plugin.- Đầu ra cho người đọc bao gồm đường dẫn nhật ký tệp đã phân giải cùng với ảnh chụp nhanh đường dẫn/tính hợp lệ cấu hình CLI-so-với-dịch vụ để giúp chẩn đoán trôi lệch hồ sơ hoặc thư mục trạng thái.
Kiểm tra trôi lệch xác thực Linux systemd
- Trên các cài đặt Linux systemd, kiểm tra trôi lệch xác thực dịch vụ đọc cả giá trị
Environment=vàEnvironmentFile=từ unit (bao gồm%h, đường dẫn có dấu ngoặc kép, nhiều tệp, và các tệp-tùy chọn). - Kiểm tra trôi lệch phân giải SecretRef
gateway.auth.tokenbằng môi trường runtime đã hợp nhất (môi trường lệnh dịch vụ trước, sau đó dự phòng về môi trường tiến trình). - Nếu xác thực token không thực sự hoạt động (
gateway.auth.moderõ ràng làpassword/none/trusted-proxy, hoặc mode chưa đặt trong đó mật khẩu có thể thắng và không có ứng viên token nào có thể thắng), kiểm tra token-drift bỏ qua phân giải token cấu hình.
gateway probe
gateway probe là lệnh "gỡ lỗi mọi thứ". Nó luôn dò:
- gateway remote đã cấu hình của bạn (nếu đã đặt), và
- localhost (local loopback) ngay cả khi remote đã được cấu hình.
Nếu bạn truyền --url, mục tiêu rõ ràng đó được thêm trước cả hai mục tiêu. Đầu ra cho người đọc gắn nhãn các mục tiêu là:
URL (explicit)Remote (configured)hoặcRemote (configured, inactive)Local loopback
openclaw gateway probeopenclaw gateway probe --jsonopenclaw gateway probe --port 18789OPENCLAW_DOCS_MARKER:paramOpen:IHBhdGg9Ii0tcG9ydCA8cG9ydA
" type="number">
Dùng cổng này cho mục tiêu dò local loopback và cổng remote của đường hầm SSH. Khi không có --url, tùy chọn này chọn mục tiêu local loopback thay vì URL môi trường gateway đã cấu hình, cổng môi trường, hoặc mục tiêu remote.
Diễn giải
Reachable: yesnghĩa là ít nhất một mục tiêu đã chấp nhận kết nối WebSocket.Capability: read-only|write-capable|admin-capable|pairing-pending|connect-onlybáo cáo những gì phép dò có thể chứng minh về xác thực. Nó tách biệt với khả năng truy cập.Read probe: oknghĩa là các lệnh gọi RPC chi tiết phạm vi đọc (health/status/system-presence/config.get) cũng thành công.Read probe: limited - missing scope: operator.readnghĩa là kết nối thành công nhưng RPC phạm vi đọc bị giới hạn. Điều này được báo cáo là khả năng truy cập suy giảm, không phải thất bại hoàn toàn.Read probe: failedsauConnect: oknghĩa là Gateway đã chấp nhận kết nối WebSocket, nhưng chẩn đoán đọc tiếp theo đã hết thời gian chờ hoặc thất bại. Đây cũng là khả năng truy cập suy giảm, không phải Gateway không thể truy cập.- Giống
gateway status, probe dùng lại xác thực thiết bị đã lưu trong bộ nhớ đệm nhưng không tạo danh tính thiết bị lần đầu hoặc trạng thái ghép đôi. - Mã thoát chỉ khác 0 khi không có mục tiêu nào được dò có thể truy cập.
Đầu ra JSON
Cấp cao nhất:
ok: ít nhất một mục tiêu có thể truy cập.degraded: ít nhất một mục tiêu đã chấp nhận kết nối nhưng không hoàn tất chẩn đoán RPC chi tiết đầy đủ.capability: khả năng tốt nhất đã thấy trên các mục tiêu có thể truy cập (read_only,write_capable,admin_capable,pairing_pending,connected_no_operator_scope, hoặcunknown).primaryTargetId: mục tiêu tốt nhất để xem là bên thắng đang hoạt động theo thứ tự này: URL rõ ràng, đường hầm SSH, remote đã cấu hình, rồi local loopback.warnings[]: bản ghi cảnh báo nỗ lực tối đa vớicode,message, vàtargetIdstùy chọn.network: gợi ý URL local loopback/tailnet được dẫn xuất từ cấu hình hiện tại và mạng máy chủ.discovery.timeoutMsvàdiscovery.count: ngân sách khám phá/số lượng kết quả thực tế đã dùng cho lượt dò này.
Theo từng mục tiêu (targets[].connect):
ok: khả năng truy cập sau kết nối + phân loại suy giảm.rpcOk: RPC chi tiết đầy đủ thành công.scopeLimited: RPC chi tiết thất bại do thiếu phạm vi operator.
Theo từng mục tiêu (targets[].auth):
role: vai trò xác thực được báo cáo tronghello-okkhi có.scopes: các phạm vi được cấp báo cáo tronghello-okkhi có.capability: phân loại khả năng xác thực được hiển thị cho mục tiêu đó.
Mã cảnh báo thường gặp
ssh_tunnel_failed: Thiết lập đường hầm SSH thất bại; lệnh đã dự phòng về các phép dò trực tiếp.multiple_gateways: các danh tính gateway khác biệt có thể truy cập, hoặc OpenClaw không thể chứng minh các mục tiêu có thể truy cập là cùng một gateway. Đường hầm SSH, URL proxy, hoặc URL remote đã cấu hình tới cùng một gateway không kích hoạt cảnh báo này.auth_secretref_unresolved: một SecretRef xác thực đã cấu hình không thể phân giải cho mục tiêu thất bại.probe_scope_limited: Kết nối WebSocket thành công, nhưng phép dò đọc bị giới hạn do thiếuoperator.read.
Remote qua SSH (tương đương ứng dụng Mac)
Chế độ "Remote over SSH" của ứng dụng macOS dùng chuyển tiếp cổng cục bộ để gateway remote (có thể chỉ được bind vào loopback) trở nên có thể truy cập tại ws://127.0.0.1:<port>.
Tương đương CLI:
openclaw gateway probe --ssh user@gateway-hostOPENCLAW_DOCS_MARKER:paramOpen:IHBhdGg9Ii0tc3NoIDx0YXJnZXQ
" type="string">
user@host hoặc user@host:port (cổng mặc định là 22).
--ssh-autobooleanChọn máy chủ gateway đầu tiên được khám phá làm mục tiêu SSH từ endpoint khám phá đã phân giải (local. cộng với miền diện rộng đã cấu hình, nếu có). Gợi ý chỉ TXT bị bỏ qua.
Cấu hình (tùy chọn, dùng làm mặc định):
gateway.remote.sshTargetgateway.remote.sshIdentity
gateway call <method>
Trình hỗ trợ RPC cấp thấp.
openclaw gateway call statusopenclaw gateway call logs.tail --params '{"sinceMs": 60000}'"--params"--url"--token"--password"--timeout--expect-finalbooleanChủ yếu dành cho các RPC kiểu agent truyền dòng sự kiện trung gian trước tải trọng cuối cùng.
--jsonbooleanĐầu ra JSON máy đọc được.
Quản lý dịch vụ Gateway
openclaw gateway installopenclaw gateway startopenclaw gateway stopopenclaw gateway restartopenclaw gateway uninstallCài đặt với trình bao bọc
Dùng --wrapper khi dịch vụ được quản lý phải khởi động thông qua một tệp thực thi khác, ví dụ một
shim của trình quản lý bí mật hoặc một helper chạy dưới danh nghĩa người dùng khác. Trình bao bọc nhận các đối số Gateway thông thường và
chịu trách nhiệm cuối cùng thực thi openclaw hoặc Node với các đối số đó.
cat > ~/.local/bin/openclaw-doppler <<'EOF'#!/usr/bin/env bashset -euo pipefailexec doppler run --project my-project --config production -- openclaw "$@"EOFchmod +x ~/.local/bin/openclaw-doppler openclaw gateway install --wrapper ~/.local/bin/openclaw-doppler --forceopenclaw gateway restartBạn cũng có thể đặt trình bao bọc thông qua môi trường. gateway install xác thực rằng đường dẫn là
một tệp có thể thực thi, ghi trình bao bọc vào ProgramArguments của dịch vụ, và lưu bền
OPENCLAW_WRAPPER trong môi trường dịch vụ cho các lần cài đặt lại bắt buộc, cập nhật, và sửa chữa bằng doctor
về sau.
OPENCLAW_WRAPPER="$HOME/.local/bin/openclaw-doppler" openclaw gateway install --forceopenclaw doctorĐể xóa một trình bao bọc đã được lưu bền, hãy xóa OPENCLAW_WRAPPER trong lúc cài đặt lại:
OPENCLAW_WRAPPER= openclaw gateway install --forceopenclaw gateway restartCommand options
gateway status:--url,--token,--password,--timeout,--no-probe,--require-rpc,--deep,--jsongateway install:--port,--runtime <node|bun>,--token,--wrapper <path>,--force,--jsongateway restart:--safe,--skip-deferral,--force,--wait <duration>,--jsongateway uninstall|start:--jsongateway stop:--disable,--json
Lifecycle behavior
- Dùng
gateway restartđể khởi động lại một dịch vụ được quản lý. Không nối chuỗigateway stopvàgateway startđể thay thế thao tác khởi động lại. - Trên macOS, theo mặc định
gateway stopdùnglaunchctl bootout, thao tác này xóa LaunchAgent khỏi phiên khởi động hiện tại mà không lưu bền trạng thái tắt — tính năng tự khôi phục KeepAlive vẫn hoạt động cho các sự cố về sau vàgateway startbật lại sạch sẽ mà không cầnlaunchctl enablethủ công. Truyền--disableđể chặn KeepAlive và RunAtLoad một cách bền vững, để Gateway không tái sinh cho đến lầngateway startrõ ràng tiếp theo; dùng tùy chọn này khi một lần dừng thủ công cần tồn tại qua các lần khởi động lại máy hoặc khởi động lại hệ thống. gateway restart --safeyêu cầu Gateway đang chạy kiểm tra trước công việc đang hoạt động và lên lịch một lần khởi động lại gộp sau khi công việc đang hoạt động được xả hết. Khởi động lại an toàn mặc định chờ công việc đang hoạt động tối đa theogateway.reload.deferralTimeoutMsđã cấu hình (mặc định 5 phút); khi ngân sách đó hết, lần khởi động lại sẽ bị bắt buộc. Đặtgateway.reload.deferralTimeoutMsthành0để chờ an toàn vô thời hạn và không bao giờ bắt buộc. Không thể kết hợp--safevới--forcehoặc--wait.gateway restart --wait 30sghi đè ngân sách xả trước khi khởi động lại đã cấu hình cho lần khởi động lại đó. Số trần là mili giây; các đơn vị nhưs,m, vàhđược chấp nhận.--wait 0chờ vô thời hạn.gateway restart --safe --skip-deferralchạy khởi động lại an toàn có nhận biết OpenClaw nhưng bỏ qua cổng trì hoãn, để Gateway phát ra lệnh khởi động lại ngay cả khi có báo cáo về các tác nhân chặn. Đây là lối thoát cho người vận hành khi các trì hoãn do lượt chạy tác vụ bị kẹt; yêu cầu--safe.gateway restart --forcebỏ qua bước xả công việc đang hoạt động và khởi động lại ngay lập tức. Dùng tùy chọn này khi người vận hành đã kiểm tra các tác vụ chặn được liệt kê và muốn Gateway hoạt động trở lại ngay.- Các lệnh vòng đời chấp nhận
--jsonđể viết script.
Auth and SecretRefs at install time
- Khi xác thực bằng token yêu cầu token và
gateway.auth.tokenđược quản lý bằng SecretRef,gateway installxác thực rằng SecretRef có thể phân giải nhưng không lưu bền token đã phân giải vào siêu dữ liệu môi trường dịch vụ. - Nếu xác thực bằng token yêu cầu token và SecretRef token đã cấu hình chưa được phân giải, quá trình cài đặt sẽ đóng lỗi thay vì lưu bền văn bản thuần dự phòng.
- Với xác thực bằng mật khẩu trên
gateway run, ưu tiênOPENCLAW_GATEWAY_PASSWORD,--password-file, hoặcgateway.auth.passworddựa trên SecretRef thay vì--passwordnội tuyến. - Trong chế độ xác thực suy luận,
OPENCLAW_GATEWAY_PASSWORDchỉ có trong shell không nới lỏng các yêu cầu token khi cài đặt; hãy dùng cấu hình bền vững (gateway.auth.passwordhoặcenvtrong cấu hình) khi cài đặt một dịch vụ được quản lý. - Nếu cả
gateway.auth.tokenvàgateway.auth.passwordđều được cấu hình vàgateway.auth.modechưa được đặt, quá trình cài đặt sẽ bị chặn cho đến khi mode được đặt rõ ràng.
Khám phá Gateway (Bonjour)
gateway discover quét các beacon Gateway (_openclaw-gw._tcp).
- DNS-SD multicast:
local. - DNS-SD unicast (Bonjour diện rộng): chọn một miền (ví dụ:
openclaw.internal.) và thiết lập split DNS + một máy chủ DNS; xem Bonjour.
Chỉ các Gateway đã bật khám phá Bonjour (mặc định) mới quảng bá beacon.
Các bản ghi khám phá diện rộng có thể bao gồm các gợi ý TXT này:
role(gợi ý vai trò Gateway)transport(gợi ý transport, ví dụgateway)gatewayPort(cổng WebSocket, thường là18789)sshPort(chỉ ở chế độ khám phá đầy đủ; client mặc định mục tiêu SSH là22khi không có)tailnetDns(tên máy chủ MagicDNS, khi có)gatewayTls/gatewayTlsSha256(TLS đã bật + vân tay chứng chỉ)cliPath(chỉ ở chế độ khám phá đầy đủ)
gateway discover
openclaw gateway discover"--timeout--jsonbooleanĐầu ra máy đọc được (cũng tắt định kiểu/spinner).
Ví dụ:
openclaw gateway discover --timeout 4000openclaw gateway discover --json | jq '.beacons[].wsUrl'