——从网络命名空间到 Docker Host 模式的完整排查

在部署 OpenClaw 时，我遇到一个非常典型但容易误判的问题：

1. bind = lan 时，OpenClaw TUI 行为异常
2. 改为 bind = loopback 后，TUI 正常
3. 但通过 Cloudflare Tunnel 公网访问直接 502

这篇文章完整解释：

• 为什么 OpenClaw TUI 只能在 loopback 下正常
• 为什么 LAN 模式会出问题
• 为什么改成 loopback 后公网访问失效
• Docker bridge 网络的真实行为
• 为什么 host 模式可以彻底解决问题
• 最终推荐部署方式

---

一、OpenClaw TUI 为什么 LAN 不行？

OpenClaw 的 gateway 配置类似：

"gateway": {
  "port": 18789,
  "mode": "local",
  "bind": "lan"
}

当设置为：

"bind": "lan"

等价于监听：

0.0.0.0:18789

也就是：

• 所有网卡开放
• 局域网可访问
• 宿主机所有 IP 都能连

理论上“更开放”，但实际出现的问题是：

OpenClaw TUI 行为异常或连接异常

原因在于：

TUI 本质是本地控制界面

TUI 设计目标是：

• 本机 CLI / 本机浏览器访问
• 本地 agent 调度
• 本地子进程控制

当监听 0.0.0.0 时：

• 有些组件通过 localhost 解析
• 有些通过 LAN IP 回环
• 出现连接路径不一致
• 某些内部回调可能走外部网卡

在某些系统环境下会导致：

• 连接状态异常
• 子 agent 无法正确建立内部通道
• WebSocket 连接路径错乱

---

二、为什么 Loopback 反而稳定？

改为：

"bind": "loopback"

监听：

127.0.0.1:18789

此时：

• 所有内部组件统一走 localhost
• 不涉及网卡选择
• 不触发 LAN 路由
• 无跨网卡回环

网络路径极度简单：

进程 → 127.0.0.1 → OpenClaw

结果：

TUI 完全恢复正常

这说明：

OpenClaw 的本地控制面设计更适合 loopback，而不是 LAN 暴露。

---

三、但改为 loopback 后公网 502

我的公网架构是：

Cloudflare Tunnel (Docker)
        ↓
127.0.0.1:18789

结果访问域名：

502 Bad Gateway
connection refused

但在宿主机：

curl 127.0.0.1:18789

完全正常。

这时候问题就明显了：

容器访问的 127.0.0.1 不是宿主机

---

四、Docker bridge 网络的真实行为

默认 Docker 使用 bridge 网络。

在 bridge 模式下：

容器有自己的网络命名空间

结构如下：

容器
 ├── 127.0.0.1  （容器自己）
 ├── 172.17.0.x
        ↓
    NAT 转发
        ↓
宿主机
 ├── 127.0.0.1
 ├── 192.168.x.x

关键结论：

容器 127.0.0.1 ≠ 宿主机 127.0.0.1

所以 cloudflared 在容器里访问：

127.0.0.1:18789

实际上访问的是：

容器内部

当然连接失败。

于是 Cloudflare 返回：

502 Bad Gateway

---

五、为什么 LAN 模式“看起来正常”？

如果 OpenClaw 使用：

bind = lan

监听：

0.0.0.0:18789

容器可以通过：

http://192.168.16.2:18789

访问宿主机。

所以：

• bridge 模式下可用
• 公网可用
• 但 TUI 内部逻辑可能异常
• 且服务暴露在整个局域网

安全风险明显增加。

---

六、正确解决方案：Docker Host 网络模式

解决方案不是回退到 LAN。

而是：

让 cloudflared 使用 host 网络模式。

---

Host 模式的原理

使用：

network_mode: host

容器将直接使用宿主机网络栈。

此时：

容器 127.0.0.1 = 宿主机 127.0.0.1

访问路径变为：

Cloudflare → Tunnel → 宿主机 127.0.0.1 → OpenClaw

公网访问恢复。

同时：

• OpenClaw 仍然只监听 loopback
• 不暴露 LAN
• TUI 正常
• 安全性最佳

---

七、最终推荐部署结构

OpenClaw

"bind": "loopback"

---

Docker Compose

version: "3.8"

services:
  cloudflared:
    image: cloudflare/cloudflared:latest
    container_name: cloudflared
    restart: unless-stopped
    network_mode: host
    command: tunnel --no-autoupdate run --token <TOKEN>

---

八、安全性对比总结

模式	TUI 稳定性	局域网暴露	公网可用性	推荐
LAN + bridge	❌ 可能异常	✅ 暴露	✅	不推荐
loopback + bridge	✅	❌	❌	不可用
loopback + host	✅	❌	✅	✅ 推荐

---

九、核心技术认知

理解这个问题只需要一句话：

127.0.0.1 永远属于当前网络命名空间

Docker bridge 会创建独立 namespace。

Host 模式不会。

这就是全部根因。

---

十、最终架构建议（企业环境）

• 控制面永远使用 loopback
• 不暴露 LAN 管理端口
• 公网访问必须经过 Tunnel 或 Zero Trust
• Docker 网络模型必须与安全策略匹配