Почему Docker Compose помечает шлюз OpenClaw как unhealthy в macOS?

Часто команда healthcheck выполняется до того, как процесс слушает порт, проба обращается к localhost из неверного сетевого пространства имён или в образе нет curl/wget. Добавьте start_period (например 40–60 с), согласуйте endpoint с тем, что реально отдаёт шлюз, и убедитесь, что проверка выполняется тем же пользователем внутри контейнера, что и сервис.

Для состояния OpenClaw на Mac лучше bind-mount или именованный том?

Bind-mount проще смотреть с хоста и бэкапить через Time Machine или rsync, но чаще плывут пути и права. Именованные тома изолируют данные от смены путей на хосте и упрощают перенос compose; bind выбирайте, если аудиторам нужен явный путь на диске, именованные — если хотите меньше сюрпризов с правами при обновлениях.

Когда bare metal выгоднее Docker для OpenClaw на удалённом Mac?

Выбирайте bare metal при минимальном джиттере планировщика для UI-автоматизации, прямом доступе к Screen Sharing и подписанию с привязкой к железу, либо когда тонкости VirtioFS и обмена файлами с контейнером съедают больше инженерного времени, чем один аккуратно патченный хост. Docker — когда нужны воспроизводимые образы, фиксация зависимостей и быстрый откат нескольких стеков на одном Mac.

Руководство по развёртыванию 2026-03-26 12 мин

2026: OpenClaw на удалённом Mac — Docker или bare metal? Healthchecks в Compose, постоянные тома и воспроизводимый FAQ по ошибкам

Команды, которые крутят OpenClaw на удалённых Mac, выбирают между изоляцией контейнеров и простотой bare metal. Здесь — матрица решений, готовые шаблоны Docker Compose для healthcheck, компромиссы по томам, пять шагов внедрения и FAQ, который можно повторить, когда пробы или монтирование ломаются.

2026 OpenClaw на удалённом Mac: Docker, bare metal, Compose и тома

Введение: одна развилка, две модели эксплуатации

Вопрос не в том, «модно ли Docker». Важно, что важнее для команды: воспроизводимость на уровне образа и быстрые откаты или прямая интеграция с macOS для UI, подписи и периферии. Удалённые узлы добавляют задержку и обслуживание без физического доступа — любой выбранный путь обязан включать наблюдаемое здоровье и устойчивое состояние, иначе дежурства съедают выгоду от контейнеров.

Для высокодоступных шлюзов и мультирегионального расклада дополните материал статьёй Безопасное развертывание OpenClaw в 2026 году: Построение высокодоступного шлюза AI-агентов на узлах ZoneMac. Если нужен воспроизводимый цикл health и launchd для Gateway 24/7, см. 2026 OpenClaw Gateway 7×24: сбои и диагностика демона — install-daemon, launchd и openclaw health (воспроизводимый сценарий).

1. Три боли на удалённом Mac

Проверки здоровья по умолчанию врут. Зелёная строка docker compose ps лишь значит, что контейнер запущен. Без пробы, согласованной с реальным сигналом готовности шлюза, и оркестратор, и люди думают, что всё стабильно, пока очереди вверх по цепочке замирают — особенно после холодной загрузки арендованного узла.
Выбор тома меняет аудит и восстановление. Bind-mount упрощает форензику, но открывает путь к смене путей macOS, маскам прав и случайному дрейфу chmod. Именованные тома снижают хрупкость путей, но требуют дисциплины бэкапов; ни один вариант не заменяет документированные учения по восстановлению.
Скрытая цена: VirtioFS и слежение за файлами. Интенсивный синхрон через обмен файлами Docker Desktop может добавить CPU и задержку относительно нативного диска. Если нагрузка OpenClaw болтлива к I/O, bare metal или более жёсткая схема монтирования могут победить «всегда Docker» на бумаге.

2. Матрица: Docker / Compose и bare metal

Используйте таблицу до стандартизации парка. Оценки ориентировочные, не бенчмарки; микс подписи и UI перевешивает формальные баллы.

Измерение	Docker / Compose	Bare metal (нативно)
Скорость отката	Сильная: pin digest образа, смена тега	Слабее без снимков ВМ или стадийных каталогов
UI / Screen Sharing	Доп. обвязка; часто всё равно нужен хост	Сильная сторона: сессии и права нативно
Наблюдаемость	Health в Compose + логи контейнера; нужна настройка	launchd + unified logging; привычно Mac-админам
Агенты с тяжёлым диском	Следить за VirtioFS и оверхедом bind-mount	Обычно меньше джиттера на Apple Silicon
Изоляция нескольких стеков	Сильная: сети и секреты по проектам	Слабее; опираются на пользователей, пути и MDM

3. Пять шагов: compose, health, тома, проверка

Явно объявите stateful-пути. Сопоставьте конфиг, учётные данные (лучше секреты или env-файлы с жёсткими правами), логи и рабочие каталоги агента с именованным томом или одним каталогом на хосте — никогда не храните долговечные данные в /tmp.
Добавьте healthcheck под реальность. Пример (порт и путь подставьте под свой шлюз):
```
healthcheck:
  test: ["CMD-SHELL", "curl -fsS http://127.0.0.1:8787/health || exit 1"]
  interval: 30s
  timeout: 5s
  retries: 3
  start_period: 60s
```
Если в образе нет curl, используйте имеющийся бинарник или производный образ — не копируйте чужую пробу, которая не исполняется.
Разделите «живость» и «готовность». Liveness должен перезапускать только при зависании; readiness — отсекать балансировщики. На одном удалённом Mac их слияние даёт петли перезапуска на длинных миграциях — расширьте start_period, прежде чем ужесточать retries.
Зафиксируйте артефакты для повторения. После успешного docker compose up -d выполните docker compose ps, docker inspect по сервису и сохраните compose с pin digest образа в git — будущий вы без догадок восстановит тот же стек.
Сделайте контрольный эксперимент на bare metal. Установите ту же версию OpenClaw нативно, проверьте тот же health URL или CLI, сравните секунды холодного старта, CPU в простое и пик на худшем сценарии автоматизации. Если Docker выигрывает в эксплуатации, но проигрывает по задержке, рассмотрите гибрид: шлюз в контейнере, тяжёлые UI-воркеры на хосте.

4. Цифры и параметры для ссылок

Каденция пробы: стартовый набор interval: 30s, timeout: 5s, retries: 3; подстройте по фактическому прогреву шлюза.
Грация на холодный старт: start_period: 60s (диапазон 40–120 с) снижает ложные unhealthy, пока поднимаются Node или инструменты Apple.
Потребление Mac mini M-серии в простое: часто порядка нескольких ватт у розетки при лёгкой автоматизации — полезно сравнивать круглосуточный оверхед Docker с фоновым сервисом на хосте.

5. Воспроизводимый FAQ по ошибкам

Почему сразу после деплоя Compose показывает `unhealthy`?

Воспроизведение: поднять стек, подождать 10 с, выполнить docker compose ps. Исправление: увеличить start_period, убедиться, что команда health есть в образе, и выполнить curl на тот же URL изнутри контейнера (docker compose exec …).

Bind-mount внутри контейнера пустой, а на Mac файлы есть

Воспроизведение: смонтировать путь-симлинк или заглушку iCloud без полной загрузки. Исправление: использовать полностью разрешённые пути, материализовать файлы на диске и не использовать корни, которые Docker Desktop исключает по политике.

Стоит ли середине проекта уходить с Docker на bare metal?

Воспроизведение: сравните P95 длительности самого тяжёлого сценария OpenClaw в обоих режимах за 48 часов. Если bare metal сильнее режет хвост задержки, чем образы экономят время дежурств, закрепите нативный режим для этого класса узлов; Compose оставьте для второстепенных экспериментов.

6. Почему Mac mini — практичный узел для этого стека

Оборачиваете ли вы OpenClaw контейнером или крутите нативно, вам всё равно нужны пропускная способность памяти Apple Silicon, тихий тепловой режим и поведение macOS, совпадающее с целями автоматизации. Mac mini в простое потребляет мало — часто порядка нескольких ватт — и при этом достаточно стабилен для шлюзов 24/7. Связка Gatekeeper, SIP и FileVault задаёт более чистую границу доверия, чем усреднённая ферма PC, для задач рядом с подписью.

Нативный Unix-стек, Homebrew и полноценная поддержка Docker Desktop означают: то же железо без «драйверного Франкенштейна» подходит и для контейнерного, и для bare-metal пути из этой статьи. Если нужна площадка с минимальным трением, чтобы отработать политики health и томов до масштабирования по регионам, Mac mini M4 — разумный дефолт; ознакомьтесь с узлами ZoneMac, когда будете гонять сценарий на выделенном удалённом железе.

Удалённые узлы Mac

Запускайте OpenClaw на выделенном Apple Silicon

Физические Mac mini для шлюзов, сборок и автоматизации — с той моделью изоляции (Docker или нативно), которую выбираете вы.

Низкое потребление в простое Несколько регионов Доверие к macOS