Der Schritt von «es läuft» zu «darf in die Produktion» scheitert auf einer gemieteten Mac mini M4 in Kanada meist an drei Stellen gleichzeitig: Disk, Authentifizierung, Gateway. Dieser Beitrag ist ein praxisnahes Runbook in HowTo-Form mit angehängter FAQ — gedacht als Checkliste, die ein On-call-Team in einer ruhigen Stunde durchgehen kann. Wenn Sie zuerst entscheiden müssen, ob das 18789-Gateway direkt oder über SSH-Tunnel erreichbar sein soll, lohnt vorab OpenClaw 2026: SSH-Tunnel oder Direkt-Gateway? Token, 18789 und launchd auf Kanada-M4 im Vergleich; für Channels, install.sh und Tokens siehe OpenClaw 2026: Remote-Mac-Kanäle — install.sh, Gateway 18789, Telegram/Slack, Tokens und Tunnel-Check auf Kanada-M4.
1. Node- und Workspace-Disk-Planung (HowTo)
Trennen Sie auf einem Produktionshost mental vier Bereiche: das Systemvolume (nur macOS und LaunchAgents/Daemons), den Node-Cache (~/.npm, globale node_modules, pnpm-Store), den OpenClaw-Workspace mit Build-Artefakten sowie den Logbaum. Setzen Sie für jeden Bereich eine weiche Auslastungsgrenze — etwa 70 % auf dem Systemvolume — und automatisieren Sie regelmäßige Aufräumarbeiten für alte Caches und rotierte Logs, statt sie auf eine spätere Kalenderwoche zu vertagen.
df -h / du -sh ~/.npm ~/Library/Logs/* 2>/dev/null | sort -hr | head
Vor jedem Node- oder OpenClaw-Minor-Upgrade sollten mindestens 15 % Systemvolume frei und der globale Cache einmal bereinigt sein; sonst kommt es zu «Skript erfolgreich, Service halb oben»-Zuständen, die in keinem Healthcheck rot werden, aber dem Operator beim Reboot um die Ohren fliegen. Pflegen Sie eine kleine «Disk & Auth»-Tabelle: links Belegung und 7-Tages-Trend von Workspace, npm-Cache und Logroot, rechts der nächste Rotationstermin der Channel-Credentials und der zuständige Owner. Eine kompakte SKU- und Skalierungsübersicht für Mittel- und High-End-M4 in Kanada bringt der Beitrag Fern-Mac 2026: Langzyklus-Entwicklung, Disk- und Parallelitätsengpässe, Kanada-M4-Skalierungsmatrix.
2. Channels-Authentifizierung und Erneuerung (HowTo)
Channels-Disconnects haben in der Praxis fast immer eine von drei Ursachen: abgelaufene Credentials, Zeit-Drift oder Umgebungsvariablen, die nur in der interaktiven Shell, aber nicht in launchd sichtbar sind. Prüfen Sie deshalb getrennt: einmal in der SSH-Sitzung mit echo $TOKEN, einmal aus dem Kindprozess des LaunchAgents heraus — wer nur Variante eins testet, hält den Daemon für korrekt konfiguriert, obwohl er ein leeres Token sieht. Änderungen an der plist erfordern launchctl bootout und bootstrap (oder eine äquivalente Reload-Sequenz), damit das System die neue Umgebung wirklich neu einliest.
| Prüfpunkt | Empfohlene Aktion |
|---|---|
| Token / OAuth-Erneuerung | 7 Tage vor Ablauf rotieren; alten Token explizit revoken, um Doppelschreiben zu vermeiden |
| Systemzeit | NTP-Drift < 1 s halten; Zeitzone des Hosts mit dem Signaturfenster abgleichen |
| launchd-Umgebung | PATH und sensible Variablen in der plist setzen; Geheimnisse als Datei einbinden, nicht als Klartext-Argument |
Wer transatlantisch auf den Kanada-Knoten zugreift, vergisst gern die Netzwerksicht: ein neuer Token nützt nichts, wenn die Tailscale-ACL oder die DNS-Auflösung nicht synchron mitgezogen werden — das Dashboard zeigt dann sporadisch graue Kacheln. Packen Sie Credential-Datei und Netzwerkpolitik daher in einen Change und schließen Sie ihn erst, wenn beide Seiten verifiziert sind.
3. Gateway-Jitter und Fehler-Runbook (Vergleichstabelle + FAQ)
Wenn das Gateway aus Sicht eines Remote-Desktops oder Tailscale-Clients zuckt, trennen Sie zuerst zwei Welten: Schlägt der Healthcheck auf dem Host selbst fehl (curl 127.0.0.1:18789), liegt das Problem lokal — suchen Sie nach Portkollisionen, fehlerhafter plist oder OOM. Ist der Host grün und nur die Ferne rot, wandert der Verdacht auf MTU, DERP-Relay, Überseelink oder das kanadische Egress-Limit.
| Symptom / Fehler-Hinweis | Vorrangig prüfen |
|---|---|
| 401 / unauthorized in Spitzen | Token-Rotationsfenster, zwei Prozesse lesen verschiedene Secret-Dateien |
Sporadisches connection reset oder 502 |
Upstream-Prozess OOM, Disk voll → Logwriter blockiert |
| Lokal flüssig, nur remote zäh | Tailnet-ACL, transpazifische Bandbreite, paralleler Log-Download sättigt Link |
FAQ — drei Fragen aus On-call-Schichten
F: Gehört der Workspace auf ein externes Volume? A: Für häufige Builds und große Artefakte ja — mindestens auf ein eigenes APFS-Volume; das senkt das Risiko, das Systemvolume vollzuschreiben, und vereinfacht Snapshots vor Upgrades.
F: Muss man für die Token-Rotation den Service stoppen? A: Ein Hot-Reload ist möglich, aber bestätigen Sie vorher, dass der launchd-Kindprozess die neue Datei wirklich gelesen hat — sonst kommt der Fehler 401 erst Stunden später, wenn niemand mehr danach sucht.
F: Gateway «mal ja, mal nein» — wo zuerst hinschauen? A: Erst Disk-Free und CPU-Spitzen einzelner Prozesse, dann prüfen, ob die Anzahl der 401-Fehler mit Ihrem Rotationsplan korreliert. Erst danach Netzwerk und ACL.
Fazit
Ein OpenClaw-Knoten in Kanada wird nicht durch ein einzelnes Tuning «produktionsreif», sondern durch ein konsistent geführtes Runbook: vier Disk-Bereiche mit Budget, eine schriftliche Token-Rotation samt launchd-Reload, eine Symptomtabelle für Gateway-Probleme. Wer diese drei Bausteine vor dem Go-Live festschreibt, halbiert die Nächte, in denen später improvisiert werden muss — und gewinnt ein Setup, das auch beim Wechsel der Bereitschaft verständlich bleibt.