当 OpenClaw 的任务图拆到多台独占 Mac 上协作时,最容易「看起来像单点」的往往不是算力,而是把 TLS、会话粘滞与健康探针绑在同一网关语义里:某个可用区一抖,探针误杀、Webhook 丢包与重试风暴会连环出现。
场景与多节点分工
本文面向在 clustervps 上同时托管 2~6 台 Mac、需要把 OpenClaw 控制面与入口流量拆开的小团队。我们刻意保持单文件地址:2026-openclaw-clustervps-multi-az-gateway-webhook.html,便于写进值班手册。若你此刻更关心多机构建产物扇出,请先读《2026 跨区并联集群 rsync 决策矩阵》;若单人远程租机,可对照《自由职业者 Mac Mini M4 租赁实战经验》。
- 控制面节点(1 台起步):只做策略、聚合健康与签发轮换,不承载长连接业务路径。
- GW-AZ1 / GW-AZ2:各自独立侦听与上游连接池;会话表留在本机 SSD,避免跨 AZ 共享易碎状态。
- 观测节点:订阅 Webhook 失败摘要广播,卡片化展示重试次数与截断错误,不把完整回调体打进群聊。
HowTo:最小可复现步骤
- 冻结拓扑标签:在每台 Mac 的环境变量或 plist 中写入
AZ与ROLE,保证 launchd/systemd 单元名可逆追溯到物理机。 - 按 AZ 拆分网关:复制最小网关配置到两个可用区,仅替换本 AZ 的上游列表;跨区依赖一律改走控制面 RPC,而不是「顺手」直连另一台 GW。
- 合并健康探针语义:各 GW 暴露轻量
/livez(进程存活)与/readyz(依赖就绪);对外 SLA 只探针控制面的/aggregate/readyz,避免外部 LB 直接锤业务端口。 - Webhook 失败摘要广播:在队列 worker 侧维护固定长度环形缓冲(例如 200 条),向观测主题推送
{id, attempt, httpStatus, errSnippet};完整 body 留在受控日志卷,按需由具备权限的节点拉取。 - 令牌重叠轮换:先让校验层同时接受新旧 secret,再切换签发端,最后吊销旧令牌;重叠窗口必须覆盖 P99 回调重试链的墙钟时间。
- 故障注入验收:拔掉 AZ2 上行 30 秒,应只见该区域网关红、聚合探针仍可解释「哪一台」失能,而不是全局 UNKNOWN。
聚合探针建议自带墙钟纪律,例如:
curl --max-time 5 --connect-timeout 2 -fsS \ "https://ctl.internal/openclaw/aggregate/readyz" >/dev/null
上线前检查清单(可打印勾选)
| 检查项 | 通过标准 |
|---|---|
| 双 AZ 网关配置 diff | 除上游主机名与证书 SAN 外无「偶然漂移」字段。 |
| 聚合探针失败定位 | 告警卡片能映射到单 GW 实例 ID,而不是泛化 503。 |
| 失败摘要脱敏 | 广播 JSON 不含客户隐私字段,错误片段 ≤ 256 字符。 |
| 令牌重叠窗口 | ≥ 最长退避 × 最大重试次数,并有自动回滚开关。 |
| 入口与探针隔离 | 业务入口与 /aggregate/readyz 分属不同 LB 目标组。 |
多节点协作的关键是把「谁该红」讲清楚:控制面聚合的是意图,网关暴露的是事实,观测层消费的是摘要。三者边界一旦糊掉,再漂亮的重试策略也会被探针噪声淹没。
常见问题
只有两台 Mac 也要拆网关吗?可以先用逻辑 AZ(不同监听端口 + 不同上游池)模拟;当延迟或运营商路径出现结构性分叉时,再把进程迁到第二台物理机。
摘要广播会不会放大风暴?用令牌桶限流:同一 delivery_id 在 10 秒内只发一条合并卡片,其余计数折叠进计数器。
轮换期间旧回调会失败吗?双验阶段应允许旧签名通过;只有在观测确认新令牌占比超过阈值后,才进入吊销旧 secret 的最后一步。
本文仅为工程实践建议。OpenClaw 与具体发行版的配置键名可能随版本变化,请在变更窗口前于 staging 复跑本清单;文中阈值属工程目标而非合同 SLA。