2026 OpenClaw на арендованной RunMini Mac Mini: OPENCLAW_HOME — раздельные экземпляры и неинтерактивные шаблоны для прод и лабораторного шлюза, плюс один объединённый патруль инспекции

Когда несколько внутренних команд или клиентских полос делят одну арендованную Mac Mini, OpenClaw перестаёт быть «одним демоном» и превращается в мультитенантный долгий процесс: продовые вебхуки должны оставаться скучными, пока в лаборатории крутят Skills, модели и настройки шлюза.

Здесь сравниваются два приёма изоляции из runbook 2026: раздельные экземпляры (два дерева OPENCLAW_HOME и два порта) и неинтерактивные шаблоны (отрендеренные plist и env без мастера в SSH). В конце — объединённая инспекция, чтобы не утонуть в дублирующихся алертах. Читайте вместе с изоляцией портов и двумя домами, разделением прод/эксперимент через launchd, апгрейдом шлюза и чекпойнтами отката и хабом OpenClaw в оглавлении блога.

Раздельные экземпляры и неинтерактивные шаблоны

Раздельные экземпляры — у продакшена свой каталог (например ~/openclaw/prod) и OPENCLAW_GATEWAY_PORT A, у лаборатории — второй каталог и порт B. Состояние, блокировки SQLite и файлы учётных данных не пересекаются. Это та же ментальная модель, что и в материале про два OPENCLAW_HOME, но с акцентом на мультитенант: договорная грань между «трафик клиента» и «песочницей инженера».

Неинтерактивные шаблоны бьют по другому риску: когда оператор по ошибке копирует интерактивный онбординг в прод. Вместо ввода секретов в TTY держите версионируемый каркас plist и компактный env, который подхватывает launchd: EnvironmentVariables для OPENCLAW_HOME, PATH и порта; флаги онбординга в аргументах; логи в отдельные StandardOutPath по полосам. CI подставляет краткоживущие секреты из хранилища, не из git. Лаборатория по-прежнему может быть вторым домом, но процедура остаётся неинтерактивной — каждый выкат совпадает с последней зелёной сборкой.

Два дома выбирайте, когда оба шлюза должны работать параллельно неделями. Шаблоны — когда лабораторное дерево часто сносят, а прод держится на известном хеше plist. Пользователи и Label в launchd остаются последней линией, если путь в plist опечатали.

Конфигурация шлюза, «горячее» обновление и секреты (уровень рассказа)

В документации OpenClaw 2026 шлюз всё чаще описывают как плоскость управления для оператора: хочется менять маршрутизацию, модели по умолчанию или веса каналов без полного апгрейда пакета. На практике «горячая перезагрузка» должна означать ограниченные рестарты: правите документированную поверхность конфига, проверяете openclaw doctor и снимки статуса шлюза, затем применяете минимальный перезапуск процесса, который поддерживает ваша сборка (часто один агент launchd), чтобы слушатели и TLS-слой согласовались. Смена порта, путей к TLS или идентичности upstream — это окно обслуживания, а не тихий file watch в проде.

Секреты живут по другим правилам: токены, ключи подписи вебхуков и API провайдеров — в sidecar с chmod 600, связке с цепочкой ключей входа или в окружении, заданном в plist и загружаемом launchd с ограниченными привилегиями — в духе узкого PAT в repository_dispatch и файла чекпойнта из runbook апгрейда. Ротацию привязывайте к календарю и к semver: «горячая» подмена секрета в гонке с батчем вебхуков на общем хосте — типичный сценарий перепутывания полос мультитенанта.

Если внутри компании есть сводка «перезагрузка шлюза + секреты», пусть в оглавлении явно стоят три колонки: что требует рестарта шлюза, что достаточно заменить в sidecar, что требует нового bootstrap plist, чтобы в launchctl print был виден новый блок окружения. Одна таблица экономит часы, когда три команды делят одну RunMini.

Объединённая инспекция: один патруль вместо трёх таймеров

Антипаттерн — три cron: один бьёт health прода, второй — лабы, третий опрашивает GitHub Actions каждые пять минут, и каждый спамит чат. Объединённая инспекция — один LaunchAgent (с ThrottleInterval по заметкам про справедливость batch и launchd), который последовательно гоняет openclaw doctor и статус в продовом OPENCLAW_HOME, повторяет для лабы, добавляет провалы CI в один JSON и шлёт один дайджест за окно — обобщение идеи «слить CI в один webhook» из мульти-дом и CI на самопроверки шлюза.

Патруль подключайте по тем же принципам, что daemon, healthcheck и webhook: стабильные заголовки, потолок размера тела, backoff, если внешний наблюдатель недоступен. Дежурному проще: одна карточка с секциями вместо стены одинаковых проб.

Минимальные воспроизводимые шаги и чекпойнты отката

Ниже — Apple Silicon, глобальный @openclaw/cli по гайду по установке и две метки launchd, которыми вы владеете целиком.

1. Чекпойнт A (префлайт). Запишите node -v, npm list -g @openclaw/cli --depth=0, which openclaw, блоки ProgramArguments обоих plist и оба порта в ~/openclaw-split-checkpoint.txt — та же дисциплина, что в semver-откате.
2. Каталоги и порта. Создайте деревья прода и лабы, зарезервируйте высокие порта, занесите в сервис-каталог, чтобы файрвол-ревью оставалось идемпотентным.
3. Лаборатория без дрейфа интерактива. Экспортируйте OPENCLAW_HOME в лабораторный путь, onboard/init через env-файлы или флаги — без многострочных секретов в scrollback SSH.
4. launchd. Дублируйте plist: разные Label, зеркальный PATH, отдельные логи. Bootstrap обоих; проверьте lsof -nP -iTCP -sTCP:LISTEN.
5. Чекпойнт B (откат только лабы). После эксперимента со Skill, если ломается лаба: launchctl bootout только лабораторной метки, восстановите дерево из снимка или удалите, повторите шаги 3–4 с путями из A. Прод не выходил из известного состояния.
6. Объединённый патруль. Добавьте один LaunchAgent инспекции; убедитесь, что при здоровых шлюзах и зелёном CI уходит ровно один дайджест за интервал.
7. Чекпойнт C (общий CLI). Если npm install -g @openclaw/cli@latest ломает обе полосы, закрепите @openclaw/cli@<предыдущий> из A, перезагрузите оба plist, сравните захваты openclaw status.

Долгий мультитенант на одной машине — это гигиена: раздельные дома или шаблоны, секреты вне репозитория, объединённая инспекция и три именованных чекпойнта, чтобы ночной вызов ссылался на файл, а не на память дежурного.

Кратко

Раздельные OPENCLAW_HOME дают жёсткую изоляцию одновременных прод и лабораторных шлюзов; неинтерактивные шаблоны убирают онбординг из SSH-истории. Сочетайте любой подход с явной семантикой перезагрузки конфига, консервативной ротацией секретов, одним патрулём doctor+status+CI и чекпойнтами отката — тогда общая RunMini остаётся управляемой для всех арендаторов процессора.