2026 OpenClaw Linux VPS 헤드리스 배포: systemd 데몬, 리버스 프록시 TLS, 게이트웨이 CLI 분석 사다리

01. 통증 분류: 0.0.0.0 바인딩, 감독자 없음, 잘못된 프록시 헤더

1) 모든 인터페이스에 기본 바인딩. 실험용 튜토리얼은 제어 평면을 인터넷에 노출해도 되지만 공용 VPS에서는 보통 부적절합니다. Gateway는 127.0.0.1에 두고 443은 리버스 프록시만 담당하게 하세요. 다중 노드와 SecretRef 경계는 원격 게이트웨이 가이드를 따르고, 셸 기록에 토큰을 복제하지 마세요.

2) 긴 SSH 세션을 운영으로 착각. 노트북을 닫으면 죽는 프로세스는 서비스가 아니라 인터랙티브 데모입니다. systemd는 재시작 정책, network-online 이후 순서, 구조화된 로그를 제공하며 단일 VPS에서는 Kubernetes 비용을 피할 수 있습니다.

3) WebSocket을 고려하지 않은 리버스 프록시. 간헐적 502, 채널은 연결되지만 응답 없음, 재연결 폭풍이 모델 장애처럼 보이는 현상은 proxy_read_timeout 기본값 탓인 경우가 많습니다. 엣지를 먼저 고치고 API 크레딧을 태우지 마세요.

국내 클라우드에서는 보안 그룹·과금형 대역폭·DDoS 완화가 조합되며, 잘못된 리스너 하나가 알림 피로를 키웁니다. 루프백으로 수렴시킬수록 스캔 잡음이 줄고 온콜이 숨을 돌립니다. 변경 티켓에 ss -lntp 출력 스냅샷을 첨부하는 습관은 재발 방지에 도움이 됩니다.

팀 단위로 갈 때는 로컬 노트북에서 되던 인증 경로가 서버에 그대로 이식되지 않는다는 점을 문서화해야 합니다. 헤드리스 환경에는 GUI 키체인이 없으므로 SecretRef·파일 권한·배포 파이프라인에서 비밀을 주입하는 방식을 처음부터 설계하는 편이 안전합니다.

02. systemd 대 Docker 대 Kubernetes

이미 Ingress와 인증서 자동화가 표준인 조직은 Gateway를 클러스터에 올리는 것이 자연스럽습니다. 반면 저사양 VPS 한 대만 쓰는 경우 Helm보다 유닛 한 장으로 동작을 고정하는 편이 학습 비용 대비 효율적일 때가 많습니다.

03. 방화벽과 리스너 기준선

원칙적으로 22, 80, 443만 엽니다(ACME HTTP-01이면 80 유지). Gateway 관리 포트는 ss -lntp에서 0.0.0.0에 나타나면 안 됩니다. 임시 디버깅이 필요하면 소스 IP 허용 목록이나 WireGuard로 감싸고 같은 티켓에서 닫습니다.

운영 체크리스트에 방화벽 규칙·리스너 목록·인증서 만료를 한 묶음으로 넣으면 드리프트를 빨리 잡습니다. 셋 중 하나만 정상이어도 다른 축이 무너지면 사고는 납니다.

04. 공개 TLS까지 7단계

1. OS 기준선: 보안 업데이트, curl·git·ca-certificates, 설치 가이드의 Node 매트릭스 확인.
2. CLI 설치: 공식 스크립트 또는 단일 npm 전역—같은 사용자에서 npm·pnpm·수동 tarball을 섞지 말거나, 이긴 바이너리를 문서화.
3. onboard:~/.openclaw/openclaw.json 생성, 키는 게이트웨이 문서의 SecretRef 패턴으로.
4. 루프백 강제: 기동 후 ss -lntp로 검증, WAN에는 프록시만.
5. systemd 등록:openclaw gateway install 사용 가능 시 활용, 아니면 Restart=on-failure와 StartLimitIntervalSec로 크래시 루프 방지.
6. Nginx 또는 Caddy: 인증서, HSTS는 의도적으로, 장시간 연결용 read/send 타임아웃.
7. 외부 스모크: 공개 호스트명으로 curl, 채널 프로브, 티켓에는 마스킹된 로그 요약.

# 서비스 상태(유닛 이름은 버전에 따라 다를 수 있음)
systemctl status openclaw-gateway.service
journalctl -u openclaw-gateway.service -n 200 --no-pager

7단계는 기업 SSL 가입 검사나 캐리어 프록시 때문에 로컬과 다르게 실패할 수 있습니다. 릴리스 템플릿에 외부 경로 테스트를 넣으면 롤백 근거가 남습니다.

05. 분석 사다리와 지표

사다리를 따르고, 인시던트에는 전체 시크릿이 아니라 요약만 붙입니다.

1. openclaw status
2. openclaw gateway status
3. openclaw logs --follow 또는 journalctl
4. openclaw doctor / openclaw doctor --fix
5. openclaw channels status --probe

명령 FAQ와 문자열 매칭하면 JSON5 드리프트나 플러그인 ABI 불일치가 네트워크처럼 보일 때 시간을 절약합니다.

• 지표 1: 첫 주 셀프호스트 Gateway 사고 중 약 28%–41%가 모델 API가 아니라 리스너 또는 방화벽 설정에서 비롯됐다는 내부 회고가 있습니다.
• 지표 2: Gateway를 127.0.0.1에 두고 443만 노출하면 관련 없는 포트 스캔 잡음이 공급자별로 60%–85% 감소하는 경우가 있습니다.
• 지표 3: 로그 로테이션 없이는 소형 디스크 VPS의 18%–27%가 7–14일 안에 journal을 가득 채웠다는 표본이 있었습니다. journal 크기 상한 또는 외부 전송을 설정하세요.

수치는 SLA가 아니라 규모감입니다. 채널 수와 fan-out에 따라 달라집니다. 임계값을 대시보드 기준선으로 쓰고 초과 시 네트워크와 디스크를 먼저 의심하는 편이 실무에 맞습니다.

06. 로그, 로테이션, SecretRef 규율

openclaw.json을 인프라 코드로 취급하고 PR·리뷰어·SecretRef 간접 참조를 쓰며 채팅에 토큰을 붙여넣지 않습니다. 로테이션 런북에는 이중 자격 증명 겹침, 컷오버 타임스탬프, 검증 프로브를 넣습니다. Docker 중심 팀은 Docker 가이드에 맞춰 이미지 파이프라인에 동일 검사를 넣습니다.

대규모 업그레이드 전에는 폐기 가능한 머신에서 리허설합니다. 로컬 Mac이 없으면 단기 macOS로 검증한 뒤 VPS에 승격시키고, 일일 대여 Mac 설치 주의사항을 따릅니다. 분기마다 금고+유닛 정의로 1시간 이내 복구 연습을 권장합니다.

가시성 보강: 프로세스 가동·마지막 성공 채널 프로브 시각 등 최소 헬스를 기존 스택으로 보냅니다. cron 합성 검사용 curl만 있어도 추측보다 낫습니다. Gateway 재시작을 OOM과 상호 연관하고, 소형 VPS에서는 모델 fan-out 시 Node 힙 스파이크에 주의하며 swap은 신중히.

변경 관리: 프로덕션 openclaw.json에 Git SHA나 설정 버전 주석(형식이 허용하면)을 달아 온콜이 문서 버전을 알 수 있게 합니다. 롤백용으로 이전 유닛과 고정 npm 버전을 금고 항목 옆 텍스트로 보관합니다.

07. 트레이드오프와 macOS 리허설 대여 시점

노트북 Gateway는 PoC에는 충분하지만 수면, 이동 Wi‑Fi, 동적 DNS가 가용성 스토리를 깨뜨립니다. WSL2나 devcontainer는 개발에 좋지만 주권적인 인터넷 엔드포인트로는 어색합니다. SSH·표준 TLS·예측 가능한 청구를 원하는 1인 운영자에게 Linux VPS+systemd가 균형이 좋습니다.

반면 GUI 디버깅·Safari 동작·Apple 툴체인 인접성에서는 macOS가 여전히 편합니다. 프로덕션 전에 격리된 곳에서 깨뜨리려면 Mac 임대가 자본 리스크를 낮추고 네이티브 도구를 유지합니다. 용량은 가격 페이지, 연결은 원격 접속 가이드를 보고 VPS 옆에 리허설 용량을 더하세요.

프로덕션과 스테이징의 디렉터리 구조·환경 변수 이름을 맞출수록 사람 실수가 줄어듭니다. 대칭 스캐폴딩에 시간을 쓰는 편이 사고 당일 탐색 비용을 크게 줄입니다.