Настройка сетевой политики песочницы
Добавляйте, удаляйте или изменяйте эндпоинты, к которым песочнице разрешено обращаться. NemoClaw поддерживает как статические изменения политики, сохраняемые между перезапусками, так и динамические обновления для работающей песочницы.
Предварительные требования
- Работающая песочница NemoClaw для динамических изменений или исходный репозиторий NemoClaw для статических изменений.
- CLI OpenShell в вашем
PATH.
Статические изменения
Статические изменения модифицируют файл базовой политики и вступают в силу после следующего создания песочницы.
Редактирование файла политики
Откройте nemoclaw-blueprint/policies/openclaw-sandbox.yaml и добавьте или измените записи эндпоинтов.
Каждая запись в разделе network определяет группу эндпоинтов со следующими полями:
endpoints
Пары хост-порт, к которым песочница может обращаться.
binaries
Исполняемые файлы, которым разрешено использовать этот эндпоинт.
rules
HTTP-методы и пути, которые разрешены.
Повторный запуск мастера настройки
Примените обновлённую политику, повторно запустив мастер настройки:
$ nemoclaw onboardМастер подхватывает изменённый файл политики и применяет его к песочнице.
Проверка политики
Убедитесь, что песочница работает с обновлённой политикой:
$ openclaw nemoclaw statusДинамические изменения
Динамические изменения применяют обновление политики к работающей песочнице без её перезапуска.
Создание файла политики
Создайте файл YAML с эндпоинтами для добавления.
Используйте тот же формат, что и базовая политика в nemoclaw-blueprint/policies/openclaw-sandbox.yaml.
Применение политики
Используйте CLI OpenShell для применения обновления политики:
$ openshell policy set <policy-file>Изменение вступает в силу немедленно.
Область действия динамических изменений
Динамические изменения применяются только к текущей сессии. При остановке песочницы действующая политика сбрасывается до базовой, определённой в файле политики. Для постоянных изменений обновите статический файл политики и повторно запустите настройку.
Связанные темы
- Одобрение или отклонение сетевых запросов агента — одобрение оператором в реальном времени.
- Сетевые политики — полный справочник базовой политики.