OpenClaw のリモート経路で SSH トンネルと Direct（wss）のどちらを使うべきですか？

Direct（wss）は、Gateway がインターネット側から到達でき、外向きが TLS 上の WebSocket を許可しているときに最短経路になります。openclaw onboard --mode remote --remote-url wss://… の形です。SSH トンネルは、リージョン横断の wss がノート PC からブロックされるときや、リモートのループバックで待ち受けている Gateway をローカルに写してから接続するときに有効です。排他ではなく、トンネルは輸送のラッパーで、端末側は依然として wss クライアントの論理です。

OpenClaw のトラブルシュートで exit status 127 は何を意味しますか？

POSIX シェルでは 127 は多くの場合「コマンドが見つからない」です。openclaw や node が PATH にない、launchd がシェル初期化を読んでいない、スクリプトの shebang が存在しないインタプリタを指している、などが典型です。which openclaw、echo $PATH、launchctl print でドメインを比較し、対話的 SSH と launchd ジョブで同じ絶対パスまたは単一のインストール接頭辞を共有してください。

Health や doctor が Gateway 問題を報告するとき、どう絞り込みますか？

openclaw gateway status を実行し、公式の openclaw doctor 出力と突き合わせます。待ち受けバインド（例：127.0.0.1 のみ）、トンネルが転送しているポート、onboard のトークン一致を確認します。リージョンをまたぐ場合は、アプリ層の前に DNS/TLS と企業プロキシによる長寿命接続の切断を疑ってください。

CLI は動くのに Web Chat やブラウザツールが失敗するのはなぜですか？

mixed content ポリシー、WebSocket を遮る拡張機能、Upgrade ヘッダが欠けたリバースプロキシ、ブラウザのオリジンと CLI の remote-url の不一致が典型です。ブラウザのオリジン、CLI の wss エンドポイント、SSH のローカル転送先を一つの表に並べ、行ごとに揃えてください。

Mac クラウドホストで daemon を永続化するときに重要なことは？

公式の install/onboard と gateway install に従い、常駐には LaunchAgent を使います。実行ユーザーがログとワークスペースに書き込めることを確認します。再起動後は再度 openclaw gateway status を実行し、同一ポートに複数の plist がぶつからないようにしてください。

米東・米西・APAC は wss の体感にどう効きますか？

可能なら Gateway のリージョンをインタラクティブ作業を主導する人々に揃えます。リポジトリと成果物が北米にありオペレータが APAC にいる場合、大洋横断の直結 wss は RTT が高くなりがちです。並列分割で北米に Gateway、APAC メンバーは短時間の VNC やトンネルで検収する、といった設計もあります。具体ノードはコンソールの表記に従ってください。

M4 16GB と 24GB はトンネル対 Direct の選択に影響しますか？

リンク種別そのものはメモリ束縛ではありません。差は並列ツール、ブラウザのサイドカー、索引、チャネルの積み重ねに出ます。16GB は単一セッションの検証向き、常駐 Gateway と並列ツールがあると 24GB の方がスワップ尾部遅延と Health の揺れを抑えやすいです。

1TB と 2TB、並列リソースはリンクの不安定に見える事象をどう減らしますか？

大容量ディスクはログとキャッシュでルートボリュームが満杯になる非ネットワーク障害を減らします。並列分割は重いコンパイルと成果物アップロードを Gateway から切り離し、CPU/IO と常駐メモリの競合を下げるため、誤って wss が不安定と判断しにくくなります。キャッシュルートと成果物パスをランブックに固定してください。

インストールのランブック記事とどう組み合わせますか？

openclaw doctor と gateway status でベースラインを取ったうえで、輸送トポロジは本稿を参照します。インストール手順はサイト内の OpenClaw Mac クラウドホストインストール記事と同じ公式アンカーを共有しています。

2026 OpenClaw リモート経路 | SSH トンネル対 Direct（wss）米東・米西・APAC M4

Q: 公式のリモート onboard コマンド例は？

CLI ドキュメント：openclaw onboard --mode remote --remote-url wss://gateway-host:18789。平文 ws と OPENCLAW_ALLOW_INSECURE_PRIVATE_WS は文書化された脅威モデル下のブレイクグラスのみです。https://docs.openclaw.ai/cli/onboard と Remote gateway setup を参照してください。

OpenClaw をインストールしたあとの次の関門は多くの場合リモート経路です。ノート PC・CI の踏み台・別の Mac から Vuncloud の M4 クラウドホスト 上の Gateway にどう届けるか、あるいはその逆に APAC のオペレータが北米の Gateway を使うか。Direct（wss） は TLS と WebSocket を一ホップでまとめた最短経路です。SSH トンネル（典型的には -L のローカルポートフォワード）は「パブリック越しの wss」を「まずマシンへ SSH し、ループバックで話す」に置き換えます。本稿では両モードを一枚の意思決定表にし、米東・米西・APACでのフォローアロング上の置き方、M4 16GB 対 24GB、1TB/2TB と並列リソース、launchd 常駐、そして exit 127・Health・Web Chat 系の失敗について FAQ でまとめます。事実は Install、onboard CLI、Remote gateway setup に固定し、前稿のインストール手順は Mac クラウドホストで OpenClaw をゼロからインストールし SSH/VNC で検収するを参照してください。

経路パターン（SSH トンネル / Direct wss）

構造化 FAQ（127 / Health / Web Chat 含む）

HowTo（トンネル / 直結）

検索意図：輸送を選ぶ前に外向き制約を潰す

「SSH 対 wss」と単純対決にしがちですが、より正確には クライアントと Gateway の間のアプリプロトコルは wss のままで、SSH は パブリック経路の代替や リモートのループバックをノートのループバックへ写す役です。下表で事実を揃えてから設定を変えてください。

見えていること	第一候補の原因	まず試すこと
会社 Wi‑Fi で wss ハンドシェイクが落ち、テザリングでは通る	外向きが WebSocket/TLS を遮る、またはプロキシが証明書を差し替えている	コンプライアンス上の許可リスト、または遮られた区間を迂回する承認済み SSH トンネル
大洋横断の直結はつながるが頻繁に切れる	高 RTT と中間装置のアイドルタイムアウト、または単一ホストの CPU/IO 飽和	Gateway のリージョンをオペレータに寄せる、並列で役割分割、公式の Gateway ログ指針に従う
launchd だけ失敗し、対話的 SSH は問題ない	シェル初期化と PATH が異なる（exit 127 の典型）	plist に絶対パス、単一インストール接頭辞、launchctl の環境を print する
ブラウザの Web Chat だけ壊れ CLI は動く	mixed content、拡張機能、ブラウザのオリジン違い	wss URL・証明書・リバースプロキシの Upgrade を行ごとに揃える

Vuncloud との関係（定性的）

Vuncloud は 米東・米西・主要 APAC で Mac mini（M4 系）の専有を提供します。Gateway をどこに置くかはオペレータの位置と成果物・モデル API へのホットパスの両方で決め、SKU はプランと料金、プロビジョニングとリモートセッションはヘルプセンターを参照してください。

SSH トンネルと Direct（wss）：比較と境界

ここでは Direct を公式のリモート onboard で wss:// に届ける経路とし、SSH トンネルを ssh -L（または同等）でリモートポートを localhost に写してから接続するパターンとします。ポート例は CLI ドキュメントのよくある形です。実際の Gateway 設定に置き換えてください。

観点	Direct（wss）	SSH トンネル（-L）
ホップ数	少ない：TLS が Gateway または終端まで直結	SSH が上に乗る。ノートからリージョン横断 wss が届かないときの迂回になり得る
運用の認知負荷	証明書・DNS・トークンと公式 doctor が正典	トンネルの生存監視とローカルポートのズレも見る
セキュリティとコンプライアンス	エンタープライズ TLS と鍵ローテの基線に従う	SSH にも MFA・踏み台・監査が要る。両端で平文を積まない
典型の適合	外向きが許し、待ち受けアドレスと証明書が揃っている	一時トリアージ、リージョン横断 DNS が煩雑、ポリシーが SSH のみ、など

Direct（wss）：最小コマンドとドキュメントアンカー

公式のリモートモード例は onboard にあります。

remote onboard（公式の形）

openclaw onboard --mode remote --remote-url wss://gateway-host:18789

平文の ws:// と OPENCLAW_ALLOW_INSECURE_PRIVATE_WS は文書化された脅威モデル下のブレイクグラスのみです。本番のデフォルトは上流のセキュリティ既定に従ってください。

SSH トンネル：リモート Gateway をローカルループバックへ

Gateway がリモートの 127.0.0.1 のみで待ち受け、ノートからローカルサービスのように扱いたいときの典型パターンです（ポートは実値に置換）。

SSH ローカルポートフォワード（例）

# ノート：リモート 127.0.0.1:18789 をローカル 18789 に写す
ssh -N -L 18789:127.0.0.1:18789 user@vuncloud-remote-host

その後 remote-url を wss://127.0.0.1:18789 またはドキュメントの形に合わせます。TLS が SSH の外で終端する場合も、公式の証明書検証に従い、「自己署名＋検証の全面無効化」のような監査不能な組み合わせは避けてください。

米東・米西・APAC：Gateway とオペレータの一枚図

リージョンのニュアンスは Mac クラウドホストのリージョンとレンタル判断と Mac クラウドホストの CI/CD にも出てきます。OpenClaw で一行にまとめると、wss の RTT と損失はツール往復で増幅されるということです。大洋横断でも、高頻度のインタラクションは人の近くに、バッチや外向きチャネルはリポジトリと API の近くに寄せると誤診が減ります。

M4 16GB 対 24GB、1TB/2TB、並列分割：リンクが「不安定」に見えるとき

メモリとディスクは wss プロトコルそのものは変えませんが、スワップの churn・ルートボリューム満杯・多ジョブ競合をネット障害と取り違えやすくします。経験則として、常駐 Gateway にブラウザツールと並列索引が乗るなら尾部遅延抑制に 24GB が有利、1TB/2TB はログ・キャッシュ・複数ツールチェーンの余白を確保します。並列インスタンスは役割を分け単一ホストの競合を下げ、CPU 飢餓による Health の偽陽性も減らします。

トポロジ	どの「偽リンク」問題に効くか	コスト
単一ホスト Direct wss	経路は最も単純、トリアージ面が最小	ビルドスパイクが Gateway I/O と競合し得る
二ノード並列：A Gateway / B 重いジョブ	キューと Health が滑らかになりやすい	トークン・キャッシュルート・証明書をランブックに残す必要がある
ノートから北米 Gateway へ SSH トンネル	外向きが SSH のみ許可されるとき	トンネルが死ぶとすべて止まる。autossh・systemd・ターミナルセッションを監視する

daemon の永続化（launchd）と「SSH だけ動く」ギャップ

公式パスには openclaw onboard --install-daemon と gateway install の launchd / LaunchAgent 指針があります。検収のチェックリスト：

再起動直後に openclaw gateway status を実行する。手動起動の記憶に頼らない。
launchd と対話シェルで同じ Node/OpenClaw の絶対パス、または公式の単一接頭辞インストールを使い exit 127 を避ける。
公式の macOS ログ指針に沿ってログディレクトリとワークスペースの権限を確認する。

FAQ：exit 127、Health、Web Chat、およびトンネル/wss の横断トリアージ

各項目は 症状 → 素早い読み → 対処。本文の FAQPage JSON-LD と対応します。

launchd や cron で exit 127 → PATH に openclaw / Node がない → plist に絶対パス。対話 SSH の which openclaw と比較。
子プロセスのスクリプトだけ 127 → shebang か環境 → /usr/bin/env node を明示するかインタプリタパスを修正。
doctor / Health が Gateway 不良だがトンネルが落ちている → remote-url が 127.0.0.1 のまま → status の前に SSH -L を起動。
Web Chat が接続できない → ホスト違い / mixed content / 拡張機能 → DevTools の WebSocket を確認し、ブロッカー無効で再試行。
直結で間欠的 401/403 やトークン不一致 → 設定の複数ソース → 一つのファイルと一つの環境源に収束。
エンタープライズ TLS MITM → OS がカスタムルートを信頼しない → ポリシーに従ってインポートするか文書化された終端パターンを使う。

リスク系スイッチ

平文 ws://、証明書検証の無効化、ブレイクグラス用の環境変数は、明示的な脅威モデルと変更チケット下にのみ。デフォルトは公式のセキュリティ既定に従ってください。

締めと関連読み

推奨順：リージョンと Gateway の置き場を決める → Direct か SSH ラッパーかを選ぶ → daemon と PATH を揃える → doctor/status でベースライン → 16/24GB・ディスク・並列分割を調整する。料金とリージョン：https://vuncloud.com/ja/mac-mini-rentaru.html。セルフサーブ：https://vuncloud.com/ja/help-center.html。