Pourquoi le déploiement OpenClaw demande un modèle d’exploitation
Les workflows de type OpenClaw deviennent sérieux quand les agents quittent le portable et modifient des dépôts depuis un VPS. C’est utile pour les tâches longues, mais dangereux si le runner possède trop de droits. Office Claws n’est pas un runtime OpenClaw natif : c’est une couche locale de gestion desktop/VPS pour des workflows proches d’OpenClaw, souvent avec des agents Codex. Pour comparer les chemins, commencez par OpenClaw vs Codex.
La forme sûre du déploiement OpenClaw
La forme saine est volontairement simple : contrôle local, exécution distante, intégration via pull request.
| Couche | Où | Indispensable | Évite |
|---|---|---|---|
| Console | desktop local | tâches, logs, arrêt d’urgence | sessions distantes aveugles |
| Branche Git | GitHub/GitLab | une branche par tâche | modifications cachées sur main |
| Runner | VPS | workdir isolé, token limité | collisions entre tâches |
| CI | CI hébergée | build/test/lint | code cassé non relu |
| Release | humain | checks verts et revue | mauvais déploiements auto |
Avec Office Claws for OpenClaw users, la vue doit montrer la tâche, le runner, la branche et la commande en cours.
Base VPS pour agents type OpenClaw
Commencez par un petit VPS jetable. Il doit être recréable, pas précieux.
adduser agent
usermod -aG sudo agent
mkdir -p /srv/agents/openclaw-deployment-guide
chown -R agent:agent /srv/agentsUtilisez des clés SSH, désactivez les mots de passe, limitez l’utilisateur agent au répertoire de travail et gardez les clés de production hors du runner. À lire avec OpenClaw on VPS et OpenClaw GitHub Workflow.
Secrets et tokens
Un runner doit cloner, créer une branche, pousser et lancer les checks. Il n’a généralement pas besoin de secrets de production, billing ou release.
| Secret | Meilleur endroit | Accès runner ? |
|---|---|---|
| Clé API | machine locale Office Claws ou vault | seulement si nécessaire |
| Token Git | limité au dépôt et au workflow | oui, étroitement |
| Token deploy | CI/release | non |
| Accès données client | secret store production | non |
| Clé SSH runner | machine locale | pas de copie sur le runner |
Ce partage garde l’exécution Codex utile sans élargir inutilement le rayon de risque. Voir OpenClaw Security Best Practices.
Étapes de déploiement
- Créer une branche avant l’agent.
- Assigner un VPS propre.
- Cloner le dépôt dans un workdir par tâche.
- Injecter seulement les secrets nécessaires.
- Démarrer l’agent depuis Office Claws et streamer les logs.
- Pousser tôt un draft PR.
- Lancer build, tests et checks.
- Relire le diff manuellement.
- Réinitialiser ou supprimer le runner.
Supervision et rollback
Le déploiement n’est pas terminé quand l’agent dit “done”. Il l’est quand la CI est verte, le PR relu et le retour arrière clair. Suivez commande courante, dernière ligne de log, CPU, mémoire, commits et tests en échec. Le rollback peut être revert de branche, fermeture du PR, snapshot, révocation du token ou arrêt du runner.
Modèle recommandé Office Claws
Utilisez Office Claws comme couche d’opération : contrôle local, VPS distant, credentials étroits, logs visibles et merge humain. Pour la couche de gestion, continuez avec OpenClaw desktop manager.