« Les équipes développement distant et conformité UE ancrent la CI sur un Mac mini M4 LeanVPS près de Francfort tandis que VMs et stockage objet vivent chez Hetzner Cloud ou Scaleway EU. » Cette page regroupe des tableaux p95 séparés, le routage résidence et masquage des journaux, une matrice location 16/24 Go, des règles SSH collaboratives et la barrière OpenClaw doctor — heuristiques d’ingénierie, sans SLA fournisseur ni avis juridique.
Partez de l’accueil, puis croisez AWS eu-central-1 et le corridor Dublin–Londres si vous touchez aussi aux hyperscalers. Figez les scripts de sonde avant signature sur achat Allemagne ou tarifs.
8–18
ms TTFB p95 Mac DE → api.hetzner.cloud (heures calmes)
200
échantillons HTTPS par fournisseur avant fusion achat
6 ms
dérive hebdo sur la même sonde avant ticket routage
- Friction 1 : moyenner latence SSH APAC et latence API UE dans une même slide — les auditeurs ne voient plus les frontières de responsabilité.
- Friction 2 : fusionner Hetzner et Scaleway sur un graphique alors que chaînes TLS et fenêtres de maintenance diffèrent.
- Friction 3 : prolonger une location 16 Go pendant des plans Terraform lourds alors que les lignes API ambre accusent le réseau.
Francfort vers Hetzner et Scaleway : tableau des seuils RTT API courants
Sondez depuis le Mac dédié Allemagne, pas un portable à Singapour. Gardez stockage objet et registres sur des lignes distinctes — ce tableau cible les plans de contrôle REST uniquement.
| Point de terminaison (depuis Mac DE) | TTFB p95 vert | Ambre | Action rouge |
|---|---|---|---|
| api.hetzner.cloud | 8–18 ms | 19–42 ms × 3 jours | DNS, PAC, écritures disque de jetons |
| api.scaleway.com | 10–22 ms | 23–48 ms | Séparer colonnes curl tcp / tls / ttfb |
| registry.scw.cloud (fumée pull) | +12–35 ms vs API | > 2× p95 API | Miroir ou projet registre régional |
| APAC → entrée SSH (segment A) | < 220 ms interactif | > 400 ms | Ne pas ajouter aux lignes API UE |
Résidence des données et routage de masquage des journaux
Une RTT basse ne prouve pas la résidence. Routez état et sauvegardes vers le projet/région UE nommé dans votre DPA ; le Mac reste une surface de build et d’orchestration seulement.
| Classe de trafic | Chemin préféré | Règle journal |
|---|---|---|
| API cycle de vie VM | Mac DE → corridor Francfort → API UE fournisseur | Masquer jetons API ; conserver request id seul |
| Stockage objet | Même région que le bucket (fsn1, par, ams) | Pas d’URL pré-signées dans syslog |
| Export diagnostics | SIEM UE depuis liste blanche | Rétention 30/90 j selon ticket politique |
Associez le routage au guide sortie UE et masquage JSONL pour conserver un refus par défaut en egress.
M4 16 Go vs 24 Go et matrice de location avec extension stockage
Mémoire et disque sont figés à la commande. Liez la durée à la RSS et à la taille du cache d’images, pas au seul prix catalogue.
| Profil | 16 Go + 512 Go | 24 Go + 1 To | Indice durée |
|---|---|---|---|
| CLI léger + patrouille curl | Location preuve 2–4 semaines | Optionnel | Renouvellement mensuel jusqu’à p95 stable |
| Xcode + deux agents conteneur | Ambre sous pulls parallèles | Trimestriel ou annuel | Disque si couches registre > 120 Go |
| OpenClaw + CLI hcloud | OK runtime unique | Préféré pour doctor CI | Monter RAM avec changement egress |
Entrée SSH et recommandations de sessions collaboratives
- Une entrée SSH primaire par équipe sur l’hôte Allemagne ; documentez bastion vs direct dans le même lot que les sondes API.
- tmux ou screen pour les plans Terraform longs afin qu’une coupure APAC ne laisse pas de verrous d’état orphelins chez Hetzner.
- Clés séparées humain vs automatisation ; rotation au même rythme que les jetons cloud.
- VNC pour GUI d’acceptation uniquement ; gardez l’automatisation API sur SSH avec journaux de session auditables.
Liste blanche sortante OpenClaw UE et acceptation conformité doctor
Le refus par défaut en sortie doit lister api.hetzner.cloud, api.scaleway.com et les hôtes registre requis — versionnez le YAML à côté de la séparation admin/runtime.
- Étiqueter segments : préfixer les journaux
SEG-A-SSHvsSEG-B-EU-APIavant archivage CSV hebdomadaire. - curl Hetzner :
curl -sS -o /dev/null -w 'tcp:%{time_connect} tls:%{time_appconnect} ttfb:%{time_starttransfer}\n' https://api.hetzner.cloud/v1/servers— deux cents échantillons ; ambre si p95 ttfb > 42 ms. - curl Scaleway : même schéma sur
https://api.scaleway.com/— ne fusionnez pas les CSV avec Hetzner. - Fumée registre : chronométrez un petit pull de manifeste ; rouge si p95 pull dépasse 2× le p95 plan de contrôle trois jours.
- openclaw config validate puis
openclaw doctor --non-interactive— stoppez la release si doctor échoue même lorsque les lignes API sont vertes. - Crochet location : joignez chemins CSV et palier RAM au ticket de changement avant prolongation sur tarifs.
Seuils citables en revue d’architecture
- 200 échantillons HTTPS par point de terminaison fournisseur avant validation achat.
- 6 ms de dérive semaine sur semaine sur la même sonde → ticket routage avant upgrade RAM.
- 42 ms plafond ambre TTFB API Hetzner (ajustable par tenant).
- 400 ms ligne rouge SSH APAC interactif — ne jamais mélanger aux tableaux API UE.
Questions fréquentes
Un seul tableau pour les deux fournisseurs ? Non — archivez des CSV séparés ; fusionnez seulement en synthèse exécutive avec notes de bas de page.
Quand acheter ? Dès que deux semaines de sondes SEG-B restent vertes alors que SEG-A souffre encore — louez le métal Allemagne, puis choisissez la RAM via la matrice sur achat Allemagne.
Notes de connectivité LeanVPS uniquement — pas le support Hetzner ou Scaleway, pas de garantie de résidence, pas de conseil juridique.
Allemagne · Hetzner · Scaleway API
Figez les sondes corridor Francfort, puis louez un M4 dédié
Lorsque les lignes SEG-B API restent vertes, lisez AWS eu-central-1 ou le guide corridor Dublin si vous utilisez aussi des bords hyperscaler — puis validez sur achat Allemagne et confirmez SSH dans aide.