トップ・ドイツノード購入・EU ログ伏字・SSH LocalForward・AWS 稿を併読し、本番前にスクリプトを凍結してください。
- 1. ペアリングなしの open DM — 任意ハンドルがエージェントを起動できる。
- 2. allowlist と
config validateが別チケットに分離し、一リリースで米国 CDN ホストが開く。 - 3. 出站は default-deny なのにログにペアリングコードやトークンが残る。
ドイツノードのデータ駐留と出站(egress)戦略
ドイツ PoP のMac mini M4で設定と JSONL を同一ホストに置き、出站はdefault-deny。駐留は DPA 代替ではなく、検収を簡素化します。
| 観点 | ドイツノード(フランクフルト) | APAC ノートのみ |
|---|---|---|
| EU API p95 | 安定(EU リゾルバ) | 太平洋経路で歪む |
| 設定/ログパス | 単一ホスト・単一スナップショット | 開発者間でドリフト |
| OpenClaw 門禁 | 対象ホストで validate+doctor | ローカル緑・EU 赤 |
| 再委託先の説明 | 調達で DE 拠点を明示 | 複数大陸 |
DM pairing/allowlist 設定断片
pairing は未知の送信者がゲートウェイエージェントに届くのを防ぎます。CI と同じ openclaw 版を固定し、openclaw config validate が緑になるまで変更はステージングのみ。
"channels": { "telegram": { "dmPolicy": "pairing", "allowFrom": ["@approved-bot", "123456789"] } }
"egress": { "mode": "allowlist", "hosts": ["api.openai.com", "registry.npmjs.org", "*.europe-west3.gcr.io"] }
プロバイダホストはリリースノートから追加し、直感は使わない。allowlist 拡張のたびに openclaw doctor --non-interactive と EU ネットからのスモークテスト。
ログフィールド伏字(ペアリングコード・トークン・出站エラー)
DM pairing と logging.redactPatterns を同票に。EU ログ伏字 Runbookのフィールド対応を参照。最低限 pairing_code、authorization、api_key、cookie、クエリ付き URL を伏せます。
| フィールド/パターン | 処理 | 保持メモ |
|---|---|---|
| pairing_code, otp | Hash oder [REDACTED] | デバッグ ≤7 日 |
| authorization Bearer | 常に伏字 | JSONL に全文なし |
| egress_denied host | ホストのみ・パス除去 | 監査 30 日 |
コンプライアンス門禁・config validate・ロールバック検査点
マージ門禁(CI):固定版インストール → 合成秘密の注入 → openclaw config validate → openclaw doctor --non-interactive → 非ゼロ終了で中止。
- 検査点 A:変更前にタイムスタンプ付き
~/.openclaw/openclaw.json。 - 検査点 B:ステージングのドイツ Mac で validate 緑。
- 検査点 C:doctor で計画外マイグレーションなし。
- 検査点 D:JSONL 50 行に平文秘密なし。
- ロールバック:ゲートウェイ停止・スナップショット復元・パッケージ固定・ステージングで doctor 再実行。
loopback + SSH — 露出面の最小化
ゲートウェイは 127.0.0.1 のみ。SSH LocalForward(-L 18789:127.0.0.1:18789)を使い、チケットなしの Gateway.Bind=lan は禁止。手順:SSH LocalForward+doctor。変更後 lsof -iTCP:18789 -sTCP:LISTEN は loopback のみ。
フランクフルト経由 EU API p95 簡表(ドイツリモート Mac 起点)
ホストあたり二百回の HTTPS、Europe/Berlin、同一ランに APAC VPN なし。閾値は運用信号であり SLA ではありません。
| 対象(EU) | p95 TTFB (ms) | 信号 | OpenClaw 関連 |
|---|---|---|---|
| eu-central-1 (AWS) | 18–32 | 緑 | STS/S3-Allowlist |
| westeurope (Azure) | 22–38 | 緑 | Key Vault-Provider |
| europe-west3 (GCP) | 24–42 | 四十ミリ秒超で黄 | Artifact Registry |
| api.openai.com (EU-Pfad) | 35–55 | 黄 | モデル出站 |
| Unlisted CDN | — | 赤 — allowlist | doctor egress_warn |
Mac mini M4:16GB と 24GB の選定(OpenClaw + CI プローブ)
| プロファイル | 16 GB + 1 TB | 24 GB + 2 TB |
|---|---|---|
| validate + doctor parallel | 単一ゲートウェイ | ゲートウェイ+Playwright カナリア |
| JSONL + lokaler Cache | 六 GB 超でスワップ | 七日ログの余裕 |
| 推奨 | ステージング/小規模 | 本番+EU コンプライアンス CI |
RAM 増設はSEG-B の API 行が緑でビルド成果物だけ差し替えるとき — 逆順は不可。
七つの展開手順(最小再現)
- Node 22.14+ と固定
openclawを導入し JSON 設定をスナップショット。 dmPolicy: pairingundallowFromin Staging setzen.- インベントリから EU 出站 allowlist(モデル・レジストリ・Git・テレメトリ)。
- ログ Runbook に従い
logging.redactPatternsを有効化。 openclaw config validate— 終了コード 0 必須。openclaw doctor --non-interactive;ゲートウェイ再起動;JSONL サンプル。- loopback/SSH 確認;フランクフルト p95 CSV を CAB に;その後本番。
FAQ — DM pairing・allowlist・config validate
validate と doctor が緑?ドイツノードで OpenClaw を固定
validate/doctor 門禁が緑のあと、トップ・フランクフルト・ドイツノード・EU ログ伏字を同一リリーストレインに束ねてください。