Почему docker login или crane падает с invalid-key при pull из europe-west3?

Чаще всего истёк JSON-ключ сервисного аккаунта, неверный audience для OAuth токена артефактов, либо ключ не имеет роли artifactregistry.reader в том же проекте и регионе europe-west3; проверьте время на Mac, формат base64 и отсутствие лишних пробелов в переменной окружения.

Можно ли стабильно тянуть образы из europe-west3 с Mac в Германии без кросс-региональных задержек?

Да, при условии что реестр и артефакты физически в europe-west3, а маршрут идёт через EU uplink; кросс-регион к us-central1 добавляет RTT и иногда ломает политику egress — держите реестр и билд-ноду в одном регионе или документируйте исключение в матрице.

OpenClaw и GCP Artifact Registry europe-west3: ротация readonly, EU egress и аудит на Mac LeanVPS Германия

Если CI и агенты OpenClaw на Mac LeanVPS во Франкфурте тянут образы из GCP Artifact Registry в europe-west3, вам нужны не только ключи только для чтения, но и доказуемый EU egress, маскирование логов и единый merge с политикой без нежелательного loopback. Ниже — матрица решений по RTT, доменам и полям логов, затем восемь шагов установки OpenClaw, выбора SSH LocalForward или жёсткого запрета non-loopback, и runbook ротации сервисного аккаунта. Материал не является юридическим заключением по GDPR и не гарантирует задержку у Google.

Главная, узел Германия, помощь. Связанные материалы: маскирование логов и doctor, разделение администратора и runtime, матрица AWS eu-central-1 через Франкфурт.

RTT

Класс p95 с DE Mac к endpoint europe-west3

FQDN

Континентальный белый список исходящих

KEY

Ротация JSON-ключа только для чтения

Ограничение 1: сервисный ключ с правами записи в реестр повышает blast-radius при компрометации Mac или утечке переменной окружения в логе CI.
Скрытая стоимость 2: смешение pull из europe-west3 и зеркала в us-central1 на одном узле без матрицы даёт нестабильный p95 и спорные трассировки при аудите трансграничного трафика.
Стабильность 3: привязка OpenClaw к localhost без явного туннеля ломает политику «только EU FQDN», если локальный прокси случайно указывает вне allowlist.

Инженерный принцип 2026 года: храните YAML egress, шаблон redact для JSONL и версию openclaw в одном репозитории инфраструктуры; перед merge запускайте openclaw doctor и пробный crane manifest с ключом, который ещё не попал в централизованный секрет-хранилище.

Матрица: RTT через Франкфурт, белый список egress и поля логов

Три оси в одной таблице: задержка к типовым endpoint Artifact Registry в europe-west3, минимальный набор FQDN для pull и метаданных, классы полей, которые нельзя писать в stdout агента без маски.

Класс сигнала	Ориентир для Mac LeanVPS DE → europe-west3	Инженерное действие при отклонении
p95 RTT к oauth2.googleapis.com и artifactregistry.googleapis.com	6–16 мс внутри EU uplink без лишних VPN	При p95 выше тридцати миллисекунд — проверить AS-path и запретить неявный transit вне EU
p95 к storage.googleapis.com для слоёв образа	8–22 мс при регионе бакета в EU	Если выше сорока миллисекунд — вероятен кросс-регион бакета; перенести артефакт или зафиксировать исключение в матрице
Белый список FQDN egress	oauth2.googleapis.com, artifactregistry.googleapis.com, storage.googleapis.com, europe-west3-artifactregistry.gcr.io при миграции формата	Любой новый CDN-хост из лога crane добавлять только через pull-request с диффом allowlist
Поля логов для обязательного маскирования	private_key_id, client_email, token, refresh_token, Authorization, полный JSON ключа	Хранить сырой ключ только в Keychain или временном файле с chmod six-zero-zero и удалением после docker login

Режим сети для OpenClaw	Когда выбирать	Риск и комплаенс-нотация
Запрет non-loopback и строгий allowlist	Есть централизованный EU egress-шлюз с явным DNS	Низкий риск случайного обхода; требует дисциплины в merge
SSH LocalForward на Mac к корпоративному прокси	Нужен единый выход в интернет через бастион в юрисдикции компании	Фиксируйте порт и владельца сокета в runbook; иначе drift портов ломает агента после ребута
Гибрид: loopback прокси плюс явный список upstream	Локальные инструменты не умеют SOCKS напрямую	Жёлтый класс: проверяйте, что upstream не уводит трафик вне таблицы FQDN

Восемь шагов: OpenClaw, loopback или туннель, ротация ключа и объединённый аудит

Установите Node LTS и OpenClaw по upstream-документации; зафиксируйте версию в lockfile инфраструктуры и выполните openclaw onboard на отдельной POSIX-учётной записи runtime.
Сегментируйте админа и агента согласно внутреннему гайду: ключи GCP не должны лежать в домашнем каталоге администратора, который также открывает браузер и почту.
Выберите стратегию сети: либо политика запрета non-loopback с YAML allowlist, либо SSH LocalForward к корпоративному EU-прокси; задокументируйте порт, systemd или launchd plist и таймауты.
Создайте сервисный аккаунт только с ролями artifactregistry.reader и узким IAM на конкретный репозиторий europe-west3; выпустите JSON-ключ и сразу занесите fingerprint в журнал ротации.
Настройте docker или crane для проверочного pull с переменной GOOGLE_APPLICATION_CREDENTIALS; убедитесь, что stdout не содержит base64 ключа и что redactPatterns применяются к JSONL OpenClaw.
Runbook ротации: сгенерируйте второй ключ, переключите CI на новый секрет, дождитесь двух успешных пайплайнов, отзовите старый ключ в консоли GCP, обновите state в Git и приложите вывод doctor к тикету.
Объединённый комплаенс-аудит: один merge-request связывает изменения allowlist, redact и версии агента; в описании укажите ссылку на матрицу RTT и дату замеров curl с Mac во Франкфурте.
Приёмка: неинтерактивный openclaw doctor, тестовый pull образа и просмотр последней сотни строк лога без секретов; при расхождении с матрицей откатите merge и откройте инцидент сети.

Контрольный пакет для аудитора: CSV с двадцатью TLS-пробами к трём FQDN, экспорт allowlist из Git, вывод doctor, скриншот IAM ролей и журнал ротации ключей с двумя подписями владельцев сервиса.

Цитируемые параметры и пороги

Регион реестра зафиксирован как europe-west3; кросс-региональные зеркала требуют отдельной строки в матрице и согласования security.
connect-timeout три секунды и max-time пятнадцать секунд для curl-замеров с удалённого Mac к каждому FQDN из белого списка.
Два успешных пайплайна после выдачи нового ключа как минимальный критерий перед отзывом старого JSON.
chmod six-zero-zero на временный файл ключа и удаление файла сразу после docker login или crane auth login.
Retention техно-сидов в vault не более семи суток, если политика команды не задаёт иное явным документом.

FAQ: invalid-key и кросс-региональный pull

Сообщение invalid-key при docker pull: проверьте срок действия JSON, соответствие project_id, наличие роли reader и системные часы на Mac; при ротации убедитесь, что старый ключ отозван только после зелёного CI.

Кросс-региональный pull из us-central1 с DE Mac: ожидайте более высокий p95 и отдельные FQDN; либо перенесите репозиторий в europe-west3, либо оформите исключение в матрице egress и обновите логику агента OpenClaw.

Свяжите матрицу с закупкой железа: узел Германия и тарифы после стабилизации RTT и ротации ключей.

Текст описывает инженерные эвристики для удалённого Mac на инфраструктуре LeanVPS в Германии; не заменяет политику вашей организации, DPIA и договор с Google Cloud. Выполняйте собственные замеры RTT и юридический review перед продакшеном.

GCP · europe-west3 · OpenClaw · EU egress

Закрепите узел Германия под реестр и аудит

После матрицы RTT и runbook ротации оформите аренду Mac во Франкфурте, сравните тарифы и при необходимости откройте тикет в помощи.

Оформить узел Германия Тарифы