Gateway

• Varsayılan olarak Gateway, ~/.openclaw/openclaw.json içinde gateway.mode=local ayarlanmadığı sürece başlamayı reddeder. Geçici/geliştirme çalıştırmaları için --allow-unconfigured kullanın.
• openclaw onboard --mode local ve openclaw setup komutlarının gateway.mode=local yazması beklenir. Dosya varsa ancak gateway.mode eksikse, bunu bozuk veya üzerine yazılmış bir yapılandırma olarak değerlendirin ve yerel modu örtük olarak varsaymak yerine onarın.
• Dosya varsa ve gateway.mode eksikse, Gateway bunu şüpheli yapılandırma hasarı olarak değerlendirir ve sizin için "local tahmini" yapmayı reddeder.
• Kimlik doğrulama olmadan loopback dışına bağlanma engellenir (güvenlik koruması).
• SIGUSR1, yetkilendirildiğinde süreç içinde yeniden başlatmayı tetikler (commands.restart varsayılan olarak etkindir; manuel yeniden başlatmayı engellemek için commands.restart: false ayarlayın, gateway aracı/yapılandırma uygulama/güncelleme ise izinli kalır).
• SIGINT/SIGTERM işleyicileri gateway sürecini durdurur, ancak özel terminal durumlarını geri yüklemez. CLI'ı bir TUI veya raw-mode girdisiyle sarmalarsanız, çıkmadan önce terminali geri yükleyin.

• Kayıtlar operasyonel meta verileri tutar: olay adları, sayımlar, bayt boyutları, bellek okumaları, kuyruk/oturum durumu, kanal/Plugin adları ve redakte edilmiş oturum özetleri. Sohbet metni, webhook gövdeleri, araç çıktıları, ham istek veya yanıt gövdeleri, token'lar, çerezler, gizli değerler, ana makine adları veya ham oturum kimliklerini tutmazlar. Kaydediciyi tamamen devre dışı bırakmak için diagnostics.enabled: false ayarlayın.
• Ölümcül Gateway çıkışlarında, kapanış zaman aşımlarında ve yeniden başlatma başlatma hatalarında, kaydedicide olaylar varsa OpenClaw aynı tanılama anlık görüntüsünü ~/.openclaw/logs/stability/openclaw-stability-*.json konumuna yazar. En yeni bundle'ı openclaw gateway stability --bundle latest ile inceleyin; --limit, --type ve --since-seq de bundle çıktısına uygulanır.

• gateway status, yerel CLI yapılandırması eksik veya geçersiz olsa bile tanılama için kullanılabilir kalır.
• Varsayılan gateway status, hizmet durumunu, WebSocket bağlantısını ve el sıkışma sırasında görünür olan kimlik doğrulama yeteneğini kanıtlar. Okuma/yazma/yönetici işlemlerini kanıtlamaz.
• Tanılama yoklamaları, ilk kez cihaz kimlik doğrulaması için değişiklik yapmaz: varsa mevcut önbelleğe alınmış cihaz belirtecini yeniden kullanırlar, ancak yalnızca durumu denetlemek için yeni bir CLI cihaz kimliği veya salt okunur cihaz eşleştirme kaydı oluşturmazlar.
• gateway status, mümkün olduğunda yoklama kimlik doğrulaması için yapılandırılmış kimlik doğrulama SecretRefs'lerini çözer.
• Bu komut yolunda gerekli bir kimlik doğrulama SecretRef'i çözümlenmemişse, yoklama bağlantısı/kimlik doğrulaması başarısız olduğunda gateway status --json rpc.authWarning bildirir; açıkça --token/--password iletin veya önce gizli bilgi kaynağını çözün.
• Yoklama başarılı olursa, yanlış pozitifleri önlemek için çözümlenmemiş kimlik doğrulama başvurusu uyarıları bastırılır.
• Dinleyen bir hizmet yeterli olmadığında ve okuma kapsamlı RPC çağrılarının da sağlıklı olması gerektiğinde betiklerde ve otomasyonda --require-rpc kullanın.
• --deep, ek launchd/systemd/schtasks kurulumları için en iyi çabayla tarama ekler. Birden fazla Gateway benzeri hizmet algılandığında, insan tarafından okunabilir çıktı temizleme ipuçları yazdırır ve çoğu kurulumun makine başına bir Gateway çalıştırması gerektiği konusunda uyarır.
• --deep, hizmet süreci harici bir supervisor yeniden başlatması için temiz şekilde çıktığında yakın zamandaki bir Gateway supervisor yeniden başlatma devrini de bildirir.
• İnsan tarafından okunabilir çıktı, profil veya durum dizini kaymasını tanılamaya yardımcı olmak için çözümlenmiş dosya günlük yolunu ve CLI ile hizmet yapılandırma yolları/geçerlilik anlık görüntüsünü içerir.

• Linux systemd kurulumlarında, hizmet kimlik doğrulama sapması denetimleri birimden hem Environment= hem de EnvironmentFile= değerlerini okur (%h, tırnak içindeki yollar, birden fazla dosya ve isteğe bağlı - dosyaları dahil).
• Sapma denetimleri, birleştirilmiş çalışma zamanı ortamını kullanarak gateway.auth.token SecretRefs'lerini çözer (önce hizmet komutu ortamı, ardından süreç ortamı yedeği).
• Belirteç kimlik doğrulaması etkin şekilde aktif değilse (açık gateway.auth.mode değeri password/none/trusted-proxy ise veya mod ayarlanmamışken parola kazanabiliyor ve hiçbir belirteç adayı kazanamıyorsa), belirteç sapması denetimleri yapılandırma belirtecini çözmeyi atlar.

• Reachable: yes, en az bir hedefin WebSocket bağlantısını kabul ettiği anlamına gelir.
• Capability: read-only|write-capable|admin-capable|pairing-pending|connect-only, yoklamanın kimlik doğrulama hakkında neyi kanıtlayabildiğini bildirir. Bu, erişilebilirlikten ayrıdır.
• Read probe: ok, okuma kapsamlı ayrıntı RPC çağrılarının (health/status/system-presence/config.get) da başarılı olduğu anlamına gelir.
• Read probe: limited - missing scope: operator.read, bağlantının başarılı olduğu ancak okuma kapsamlı RPC'nin sınırlı olduğu anlamına gelir. Bu, tam hata değil bozulmuş erişilebilirlik olarak bildirilir.
• Connect: ok sonrasında Read probe: failed, Gateway'in WebSocket bağlantısını kabul ettiği, ancak takip eden okuma tanılamalarının zaman aşımına uğradığı veya başarısız olduğu anlamına gelir. Bu da erişilemeyen bir Gateway değil, bozulmuş erişilebilirliktir.
• gateway status gibi, probe mevcut önbelleğe alınmış cihaz kimlik doğrulamasını yeniden kullanır ancak ilk kez cihaz kimliği veya eşleştirme durumu oluşturmaz.
• Çıkış kodu yalnızca yoklanan hiçbir hedef erişilebilir değilse sıfır olmayan değerdir.

Üst düzey:

• ok: en az bir hedef erişilebilir.
• degraded: en az bir hedef bağlantı kabul etti ancak tam ayrıntılı RPC tanılamalarını tamamlamadı.
• capability: erişilebilir hedefler arasında görülen en iyi yetenek (read_only, write_capable, admin_capable, pairing_pending, connected_no_operator_scope veya unknown).
• primaryTargetId: etkin kazanan olarak ele alınacak en iyi hedef, şu sırayla: açık URL, SSH tüneli, yapılandırılmış uzak, ardından local loopback.
• warnings[]: code, message ve isteğe bağlı targetIds içeren en iyi çabayla uyarı kayıtları.
• network: geçerli yapılandırma ve ana makine ağından türetilen local loopback/tailnet URL ipuçları.
• discovery.timeoutMs ve discovery.count: bu yoklama geçişi için kullanılan gerçek keşif bütçesi/sonuç sayısı.

Hedef başına (targets[].connect):

• ok: bağlantı + bozulmuş sınıflandırma sonrasında erişilebilirlik.
• rpcOk: tam ayrıntılı RPC başarısı.
• scopeLimited: eksik operator kapsamı nedeniyle ayrıntı RPC başarısız oldu.

Hedef başına (targets[].auth):

• role: mevcut olduğunda hello-ok içinde bildirilen kimlik doğrulama rolü.
• scopes: mevcut olduğunda hello-ok içinde bildirilen verilmiş kapsamlar.
• capability: ilgili hedef için yüzeye çıkarılan kimlik doğrulama yeteneği sınıflandırması.

• ssh_tunnel_failed: SSH tüneli kurulumu başarısız oldu; komut doğrudan yoklamalara geri döndü.
• multiple_gateways: birden fazla hedef erişilebilirdi; kurtarma botu gibi yalıtılmış profilleri bilerek çalıştırmadığınız sürece bu olağan değildir.
• auth_secretref_unresolved: yapılandırılmış bir kimlik doğrulama SecretRef'i başarısız bir hedef için çözümlenemedi.
• probe_scope_limited: WebSocket bağlantısı başarılı oldu, ancak okuma yoklaması eksik operator.read nedeniyle sınırlıydı.

• gateway status: --url, --token, --password, --timeout, --no-probe, --require-rpc, --deep, --json
• gateway install: --port, --runtime <node|bun>, --token, --wrapper <path>, --force, --json
• gateway restart: --safe, --force, --wait <duration>, --json
• gateway uninstall|start|stop: --json

• Yönetilen bir hizmeti yeniden başlatmak için gateway restart kullanın. Yeniden başlatma yerine gateway stop ve gateway start komutlarını zincirlemeyin; macOS'te gateway stop, durdurmadan önce LaunchAgent'ı bilerek devre dışı bırakır.
• gateway restart --safe, çalışan Gateway'den etkin OpenClaw işlerini ön denetimden geçirmesini ve yanıt teslimi, gömülü çalıştırmalar ve görev çalıştırmaları boşalana kadar yeniden başlatmayı ertelemesini ister. --safe, --force veya --wait ile birlikte kullanılamaz.
• gateway restart --wait 30s, bu yeniden başlatma için yapılandırılmış yeniden başlatma boşaltma bütçesini geçersiz kılar. Birimsiz sayılar milisaniyedir; s, m ve h gibi birimler kabul edilir. --wait 0 süresiz bekler.
• gateway restart --force, etkin iş boşaltmasını atlar ve hemen yeniden başlatır. Bir operator listelenen görev engelleyicilerini zaten incelemiş ve gateway'i hemen geri istiyorsa bunu kullanın.
• Yaşam döngüsü komutları betikleme için --json kabul eder.

• Belirteç kimlik doğrulaması bir belirteç gerektirdiğinde ve gateway.auth.token SecretRef tarafından yönetildiğinde, gateway install SecretRef'in çözümlenebilir olduğunu doğrular ancak çözümlenen belirteci hizmet ortamı meta verilerine kalıcı olarak yazmaz.
• Belirteç kimlik doğrulaması bir belirteç gerektiriyorsa ve yapılandırılmış belirteç SecretRef'i çözümlenemiyorsa, kurulum yedek düz metni kalıcı olarak yazmak yerine güvenli kapalı şekilde başarısız olur.
• gateway run üzerinde parola kimlik doğrulaması için satır içi --password yerine OPENCLAW_GATEWAY_PASSWORD, --password-file veya SecretRef destekli gateway.auth.password tercih edin.
• Çıkarımlı kimlik doğrulama modunda, yalnızca kabuktaki OPENCLAW_GATEWAY_PASSWORD kurulum belirteci gereksinimlerini gevşetmez; yönetilen bir hizmet kurarken kalıcı yapılandırma (gateway.auth.password veya yapılandırma env) kullanın.
• Hem gateway.auth.token hem de gateway.auth.password yapılandırılmışsa ve gateway.auth.mode ayarlanmamışsa, mod açıkça ayarlanana kadar kurulum engellenir.