安全链路为: (浏览器) │ ▼ [1] 公网 HTTPS (TLS 加密) │ https://x.x.x.x:443 ll x.x.x.x:80 │ ▼ [2] 阿里云安全组 │ 入方向放行 TCP 44 ll 80 跳转 │ ▼ [3] Nginx 反向代理 (宿主机) │ - 监听 0.0.0.0:443 │ - SSL 终止,统一处理 HTTPS 加密 │ - 可扩展额外认证 (可选) │ - 日志记录,反向代理头注入 (X-Forwarded-For 等) │ ▼ proxy_pass http://127.0.0.1:18789 │ [4] Docker 端口映射 │ 127.0.0.1:18789 → 容器:18789 │ 外部公网无法绕过 Nginx 直连此端口 │ ▼ [5] Docker 网桥 (网关 x.x.x.x) │ 容器看到请求来自 x.x.x.x (Docker 网关) │ ▼ [6] OpenClaw 容器 (监听 0.0.0.0:18789) │ - trustedProxies: ["x.x.x.x"] → 信任此来源的代理头 │ - 从 X-Forwarded-For 提取你的真实公网 IP (日志审计/安全) │ - allowedOrigins: ["https://x.x.x.x"] → 允许域名/IP 跨域 │ - auth.mode: "token" → 强制网关令牌认证 │ - 业务处理,AI 服务 梁圣恩情还不完\😭/ #openclaw #通信链路安全 #梁圣的恩情还不完