2026 Exécuter OpenClaw dans Docker Sandboxes : baselines, plafonds ressources et FAQ de triage face au bare metal et à un docker run classique (Mac cloud 7×24)
Les guides officiels et la communauté poussent désormais à lancer OpenClaw dans Docker Sandboxes pour renforcer l’isolation, contrôler la sortie réseau et éviter que les secrets n’atterrissent sur le système de fichiers du conteneur. Cela n’efface pas les OOM, les incohérences d’uid ni le DNS capricieux : vous conservez la même hygiène cgroups et volumes que dans l’article VPSMAC sur l’Exit 137. Ici nous précisons quand les Sandboxes gagnent, comparons trois formes de déploiement dans un tableau, listons cinq étapes reproductibles plus un instantané de validation, notons journalisation Mac cloud et pare-feu pour le port 18789, et tranchons s’il faut d’abord déboguer la politique ou openclaw doctor.
Dans cet article
1. Limites : n’adoptez pas les Sandboxes pour la vitrine
Si vous itérez seul, modifiez la config toutes les heures ou dépendez d’outils graphiques sur l’hôte, un npm nu ou l’installeur amont reste en général plus rapide. Si Compose tourne déjà avec racines en lecture seule, plafonds mémoire et volumes sains, votre modèle de menace peut ne pas justifier une couche supplémentaire pour l’instant.
- Penchez-vous vers les Sandboxes lorsque plusieurs locataires partagent un nœud Mac cloud, que les skills ou plugins sont traités comme du code non fiable par défaut, que vous avez besoin de listes d’autorisation en sortie ou d’injection centralisée des secrets via un proxy, ou que les auditeurs exigent des listes de domaines jointes au dossier de déploiement.
- Restez sur bare metal ou Compose si vous vivez dans des builds sources, montez d’immenses workspaces à fort I/O, ou si l’équipe n’a pas encore épinglé Docker et la sémantique sandbox sur l’image.
- Spécificités Mac cloud : pas d’écran local, paliers RAM fixes, données Docker souvent sur le même volume que les journaux—budgétisez l’overhead Sandboxes avec les jobs de compilation qui peuvent partager l’hôte.
Traitez les Sandboxes comme une couche politique au-dessus de la discipline conteneur ordinaire, pas comme un substitut. Quand quelque chose casse, vous lisez encore docker inspect, les événements cgroup et les droits de volume avant de réécrire toute la politique réseau.
Les leads techniques doivent aussi documenter qui possède le dépôt de politique sandbox par rapport au fichier Compose applicatif. Une propriété éclatée sans contrôles CI ramène le « ça marche chez moi » : l’un met à jour l’image OpenClaw pendant que l’autre oublie d’élargir une règle egress pour un nouvel endpoint modèle. Un gabarit de pull request qui exige les deux diffs—ou un test d’intégration minimal qui démarre la pile et tape un health synthétique—se rentabilise au premier vendredi évité.
La plateforme doit trancher comment les changements de politique Sandboxes sont approuvés (même barème que l’IaC ou allégé) et traiter les skills comme du code exécutable : Sandboxes pour le rayon d’explosion, revue ou analyse statique avant prod si l’exigence métier le commande.
Enfin, les Sandboxes brillent quand les secrets ne touchent jamais la couche inscriptible. Si vous gravez encore des clés API dans des images custom ou les commitez « temporairement » dans Git, vous annulez l’argument économique de la complexité supplémentaire. Déplacez l’injection vers le proxy, le coffre ou l’orchestrateur et gardez le filesystem du conteneur jetable.
2. Bare metal, Docker classique et Sandboxes
Utilisez la matrice en revue de conception ; les drapeaux exacts évoluent avec Docker, citez donc la date de cet article lorsque vous figez une décision.
| Dimension | Bare metal / npm | Docker classique | Isolation type sandbox |
|---|---|---|---|
| Isolation | Modèle utilisateur OS | Namespaces/cgroups si les caps sont réduites | Frontière par défaut plus forte, sortie orientée proxy |
| Observabilité | Journaux directs | docker logs, health checks | Proxy/sidecar supplémentaire ; corréler les identifiants |
| Mise à niveau | Gestionnaires de paquets | Digest d’image, épingles Compose | Épingler runtime, image et politique ensemble |
| Performance | La plus basse | Moyenne | Moyenne à élevée selon les règles |
| Mode défaillance | Erreurs hôte | uid, DNS, OOM (voir article dédié) | Mauvaise politique : « rien n’atteint Internet » |
~/.openclaw, puis ajustez egress sandbox ou parts CPU.
3. Cinq étapes plus un instantané de validation
La séquence privilégie l’auditabilité ; remplacez par vos tags d’image officiels et noms de fichiers de politique.
- Épinglez le triplet. Enregistrez moteur Docker/CLI, digest d’image OpenClaw et révision de politique sandbox dans le runbook ; l’automation ne déploie que ce triplet.
- Séparez les volumes. Config, workspace et journaux sur des montages ou sous-chemins distincts ; évitez de binder tout un home. Gardez l’alignement uid (souvent 1000) comme dans l’article Docker classique.
- Déclarez des plafonds ressources. Limites mémoire et CPU plus environ vingt pour cent de marge pour les pics modèle ; si le même hôte Mac cloud exécute de la CI, décalez les créneaux.
- Listes réseau sortantes. Énumérez API modèles, webhooks canaux, registres et tout ce dont la passerelle a réellement besoin ; refusez le reste par défaut ou poussez le trafic via proxy d’entreprise avec injection d’identifiants.
- Health checks. Sondez
18789(ou votre port publié) dans le conteneur et depuis l’hôte ; fixez unstart_periodassez long pour les caches à froid. - Instantané de succès. Stockez une sortie
openclaw statusredactée, une empreinte d’environnement sans secrets et le hachage du fichier de politique pour que les rollbacks montrent un diff évident.
Extrait de principes :
4. Mac cloud 7×24
Sans humain au bureau, enveloppez les conteneurs avec des politiques de redémarrage incluant backoff ou disjoncteur pour qu’un mauvais fichier de politique ne déclenche pas une tempête de redémarrages. Expédiez les journaux vers des fichiers rotatifs ou un stockage central ; corrélez les logs du proxy sandbox et ceux de la passerelle avec un identifiant de requête partagé.
Les groupes de sécurité doivent autoriser SSH, les ports passerelle publiés et la sortie HTTPS vers les domaines approuvés. Lorsque curl sur l’hôte réussit mais le conteneur échoue, soupçonnez d’abord le réseau Docker, pas les clés API.
Sur nœuds Mac loués, placez les agents de supervision avec la même vue réseau que le conteneur passerelle. Si votre collecteur de métriques n’écoute que la loopback hôte alors que la sandbox utilise un pont défini par l’utilisateur, vous verrez des tableaux de bord verts pendant que les utilisateurs signalent des timeouts. Une sonde black-box légère dans un conteneur éphémère sur la même famille de namespaces réseau attrape tôt ce glissement.
Sauvegarde et reprise méritent une mention explicite : snapshottez le volume qui stocke openclaw.json et les jetons canaux, pas seulement l’image disque de la VM. Restaurer une image dorée sans les volumes de configuration recrée la pire panne—conteneurs sains avec un état vide.
5. Baselines de référence
Ces chiffres sont des points de départ pour les revues capacité ; mesurez toujours votre propre latence p95 et RSS après une semaine de trafic production.
- Mémoire : beaucoup d’équipes démarrent vers 4 Go de limite pour passerelle et canaux légers ; montez vers 8 Go ou plus quand des skills ou modèles locaux partagent le nœud.
- Disque : tenez couches d’image, scratch sandbox et journaux hors du volume système exigu ; pausez les mises à jour en dessous d’environ 10 Go libres.
- CPU : allouez au moins deux vCPU avec parts garanties si des voisins
xcodebuildexistent. - Exposition : ne publiez pas
18789largement sans durcissement appairage/auth ; préférez tunnels SSH pour les équipes internes. - Descripteurs de fichiers : les charges canal chargées peuvent épuiser les limites logicielles ; relevez
ulimitde façon cohérente sur hôte et points d’entrée conteneur pour éviter des boucles de déconnexion subtiles.
Côté FinOps, modélisez simplement l’overhead Sandboxes en minutes vCPU supplémentaires par instance passerelle et comparez au gain attendu sur la gestion des secrets consolidée et aux heures d’incident évitées. Si le bilan est positif, l’architecture tient ; sinon, vérifiez si Docker classique avec capabilities strictes suffit déjà à votre risque.
Les auditeurs demandent souvent « qui peut voir quelles données ». Les Sandboxes offrent une histoire claire : seul le processus passerelle dans le conteneur parle au proxy ; fichiers hôte et autres conteneurs restent dehors. Documentez cette frontière dans le wiki d’architecture.
6. FAQ
Lors d’incidents, classez les lignes de journal en quatre couches : processus passerelle, réseau conteneur, proxy sandbox, services SaaS externes. Un identifiant de corrélation commun sur toutes les couches épargne des heures sur les latences intermittentes que le chat résume par « parfois lent ».
Crash immédiat avec erreurs de droits ? D’abord uid des volumes et chemins inscriptibles, puis refus d’écriture sandbox—même ordre que le playbook Exit 137.
Processus vivant mais canaux morts ? DNS et listes egress avant les sections canaux de openclaw doctor.
Politique cassée après upgrade ? Diff des notes de version sur chemins et réseau ; conservez le tag Git de politique précédent.
Les Sandboxes sur portable subissent veille, VPN et antivirus grand public. Les labs Windows-only ajoutent des longues traînes de chemins et permissions. Docker apporte flexibilité mais aussi coût d’abstraction et raisonnement performance plus difficile. Quand OpenClaw est une passerelle de production plutôt qu’un week-end d’essai, les équipes préfèrent en général une capacité Mac cloud dédiée sur du matériel Apple réel : le flux SSH ressemble aux opérations Linux tout en préservant la compatibilité toolchain. Associez cet article au guide VPSMAC de dépannage Docker pour enchaîner correctifs cgroup, contrôles DNS, étapes openclaw doctor et politique sandbox dans un runbook continu—les Sandboxes restent une couche à mesurer, versionner et auditer, pas un slogan.