自定义沙箱网络策略
添加、移除或修改沙箱允许访问的端点。 NemoClaw 支持跨重启持久化的静态策略更改和对运行中沙箱的动态更新。
前提条件
- 对于动态更改,需要一个正在运行的 NemoClaw sandbox;对于静态更改,需要 NemoClaw 源代码仓库。
- OpenShell CLI 在你的
PATH中。
静态更改
静态更改修改基线策略文件,在下次创建沙箱时生效。
编辑策略文件
打开 nemoclaw-blueprint/policies/openclaw-sandbox.yaml 并添加或修改端点条目。
network 部分中的每个条目定义一个端点组,包含以下字段:
endpoints
沙箱可以访问的主机和端口对。
binaries
允许使用此端点的可执行文件。
rules
允许的 HTTP 方法和路径。
重新运行引导
通过重新运行引导向导来应用更新后的策略:
$ nemoclaw onboard向导会获取修改后的策略文件并将其应用到沙箱。
验证策略
检查沙箱是否使用更新后的策略运行:
$ openclaw nemoclaw status动态更改
动态更改将策略更新应用到运行中的沙箱而无需重启。
创建策略文件
创建一个包含要添加的端点的 YAML 文件。
遵循与 nemoclaw-blueprint/policies/openclaw-sandbox.yaml 中基线策略相同的格式。
应用策略
使用 OpenShell CLI 应用策略更新:
$ openshell policy set <policy-file>更改立即生效。
动态更改的范围
动态更改仅适用于当前会话。 当沙箱停止时,运行策略会重置为策略文件中定义的基线。 要使更改永久生效,请更新静态策略文件并重新运行设置。
相关主题
- 审批或拒绝代理网络请求了解实时操作员审批。
- 网络策略查看完整的基线策略参考。