限流放在 TLS 反代还是 OpenClaw 进程内？

反代做粗粒度每 IP/每 Key 与 TLS；OpenClaw 内做会话、工具调用与模型路由等语义限流。两层都要写进 runbook，避免客户端重试放大流量。

多节点怎样避免同时对同一网关雷群？

多副本 behind LB 时限流参数须一致，或按团队分片网关并用 Redis 等集中配额；CI 与 cron 加抖动，每节点 Worker 并发上限之和不超过网关会话顶。

被限流时应该返回 429 还是 503？

常态配额用尽用 429 并带 Retry-After；依赖故障或合并健康失败用 503。日志用同一套字段便于告警区分「饱和」与「故障」。

HowTo · FAQ · OpenClaw · 多节点 · 网关

2026 OpenClaw MeshMac 实战：共享网关上配置 rate limit 与会话并发上限的最小可复现步骤

2026.04.07 Meshmac 约 7 分钟阅读

多台 MeshMac 共用一台 OpenClaw 网关时，CI 矩阵、Matrix/Teams 类 Webhook 与多机 Agent 的长连接会叠加，瞬间打满 CPU、文件描述符或上游模型配额。本文用 HowTo + FAQ 给出可抄步骤：流量分级、令牌桶与连接/会话阈值、与 CI/消息通道并发对齐、可选健康检查联动卸流，以及失败观测用的日志字段。拓扑与 VIP 侧建议先读多节点负载均衡与故障转移。

为何共享网关易被挤爆（多节点协作前提）

网关是单入口加法器：每台 Mac 上跑两个并行作业，十台机就可能对同一进程呈现二十路并发会话；Webhook 风暴与人工调试流量同权叠加。协作团队需要三件事：公布的容量模型（每类 RPS、最大会话）、CI 与聊天侧预算与网关一致、LB 后多副本的限流参数一致。边缘层在哪里挂 HTTP 限流模块，可与Nginx/Caddy 反代入口决策对照。

步骤化：网关限流设计（最小可复现）

路径清单与 route_class：列出对外 HTTP/gRPC，标记 interactive、ci_ingest、internal_worker，日志与配额都挂此类别。
身份键：按 API Key 指纹、OAuth subject、或 CI 注入 tenant_id 分桶，避免「匿名 IP」互相踩踏。
每类两个数：（a）可持续 RPS + 突发令牌数 → 令牌桶；（b）同时进行的长会话或上游连接数 → 信号量/连接顶。
准入严于队列：网关在入队前拒绝比 dequeue 毒任务便宜；退避与重试策略与任务队列与重试一致，避免重试风暴。
灰度观测再 enforcement：先只打点「本会 429」计数，确认误伤面后再打开真实拒绝。

令牌桶 vs 连接/会话阈值

令牌桶吸收秒级尖峰（例如一秒内几十条 Webhook）；会话/连接顶约束 TLS、WebSocket、子进程与 GPU/工具占用的同时存在量。生产上通常两者都要：桶管到达率，顶管昂贵并行度。下列为硬件无关的起点，需按机型与上游配额压测调整。

机制	适用	起点（须压测调参）
每租户令牌桶	Webhook POST、REST 轮询	补充 5–20 rps，突发 30–60 token
全局令牌桶	共享上游 LLM / 供应商配额	按配额留安全余量
并发会话顶	长连 Agent、工具执行	每节点类 2–8；全网总和 ≤ 网关顶
TCP/上游连接顶	防 fd 耗尽	与 `ulimit -n` 留 headroom

CI 与消息通道：并发耦合

网关配满限额若 CI 仍矩阵扇出，等于白做：为环境级 workflow 设 concurrency，限制 matrix 并行；聊天侧多个 bot 同房间会重复入站，把「每分钟消息数」视作第二层桶，与 HTTP RPS 并列预算。skills 预热若多机同时触发，需错峰，避免与网关恢复流量叠加；预热与健康探针节奏可参考站内 OpenClaw 专栏中的 skills 与探针文。

健康检查联动

合并 /healthz（磁盘、队列 ping、关键依赖）与网关 SLA：探针失败或延迟 SLO 连续破线时，对新会话返回 503 并带 Retry-After，在飞任务按短截止 drain。可选：CPU 持续高于阈值时自动收紧令牌补充速率，恢复稳定后再放宽。LB 与网关用同一探针口径，先摘流再宕机。

失败观测与日志字段

各节点 grep 同一 JSON 形态。每次拒绝或卸流至少包含：

字段	用途
`mesh_node_id`	关联 CI label 与 Mac 机角色
`gateway_instance_id`	launchd/主机名，对照 VIP 后哪副本
`route_class`	interactive / ci_ingest / internal_worker
`limit_name`	如 `tenant_rps`、`global_sessions`
`client_id`	脱敏 Key 指纹或 subject
`http_status`	429（配额）vs 503（健康/依赖）
`retry_after_ms`	与响应头一致，客户端退避
`queue_depth_hint`	可选，看 backlog 是网关还是队列

告警：某租户持续高 429 多为配置或客户端失控；503 与健康失败同屏多为容量或依赖事故。结合 trace 区分「边缘拒绝」与「Worker 超时」。

FAQ

问：限流放在 TLS 反代还是 OpenClaw 里？

反代做粗粒度与 TLS；进程内做会话与工具语义限流。两层写清文档，重试策略与队列文一致，避免放大。

问：多机如何避免同时对网关雷群？

LB 后副本共享同一套限流配置，或分片网关 + 集中配额；定时与 CI 加抖动，每节点 Worker 上限之和不超过网关会话顶。

问：429 与 503 怎么选？

配额型限流用 429 + Retry-After；探针红或依赖挂用 503。字段集保持一致便于 on-call。

小结与延伸阅读

共享网关要用显式预算把多节点、CI 与消息通道关在一起；令牌桶 + 会话顶、健康卸流与结构化日志是最小闭环。更多 OpenClaw 与 Mesh 编排见OpenClaw 专栏与博客列表。

网关 · 多节点 · 免登录

扩容 Mesh 而不压垮共享网关

查看套餐与价格、帮助中心（SSH/VNC/访问模式），在博客继续读多节点 OpenClaw 实战。

首页立即租用帮助中心（免登录） OpenClaw 专栏

去购买