我的 AI 团队阵容 #交互手势控制 我搭了一个 8 人 AI 团队,各司其职 每个 Agent 是一个独立 Docker 容器,docker compose up -d 一键拉起。 踩了一个大坑, 部署完,浏览器打开,直接给我一行报错: disconnected (1008): pairing required 服务有个安全机制:检测到本地连接才自动配对,远程连接需要手动审批。 1 个 Agent 手动配一下还行。8 个 Agent 每次重建容器都要手动配?这个必须自动化。 我试了所有能想到的办法: ❌ --bind 0.0.0.0 — 服务只认 5 种预设模式,直接报错退出 ❌ network_mode: host — 我用 Colima(macOS),host 指的是 Linux VM 不是 Mac,端口根本映射不过来 ❌ trustedProxies — Docker NAT 不是反向代理,不会加 X-Forwarded-For header ❌ 清空配对数据重来 — CLI 审批命令自身也需要先配对,鸡生蛋蛋生鸡 🐣 翻=源码,找到了检测逻辑: 只有 remote IP = 127.0.0.1 才会自动批准配对。 但 Docker 端口映射是 NAT(网络地址转换): 浏览器(127.0.0.1) → Docker NAT → 容器(172.23.0.x) 服务看到的不是 loopback,判定为远程连接,拒绝自动配对。 关键认知:Docker 端口映射是 NAT,不是代理。它改写源 IP,且不添加任何转发 header 破解:socat IP 洗白 最终效果 8 个 Agent 容器 docker compose up -d 一键启动 这个技巧不限于特定软件,任何满足以下条件的场景都能用: 服务跑在 Docker 容器里 服务有"本地连接检测"逻辑 Docker NAT 破坏了本地检测 常见例子:Web UI、数据库管理面板的免密本地访问、CI/CD 工具的本地模式等。 一句话总结 socat 在容器内做了一次 IP 地址洗白——把 Docker 网桥的 172.x 连接,通过 loopback 重新建连,伪装成 127.0.0.1 的本地连接,骗过应用层的 localhost 检测。#OpenClaw #OpenClaw本地Docker部署 #OpenClaw团队 #openclaw调用本地大模型配置