运维-远程-1个月

项目编号：【188688】
项目介绍
【项目背景】
本人拥有三台纯净版 Mac mini (M4 10+10芯片，16G统一内存，512G硬盘)。由于需要频繁前往各地及海外出差，这台机器将作为长年不关机、无人值守的 AI 智能体服务器使用（运行 OpenClaw 框架及 Codex 架构插件）。
现寻找一位具备丰富 Linux/macOS 运维或大厂 DevOps 经验的专家，全权负责该设备的远程网络架构、安全沙箱及高可用容灾配置。

【核心工作内容与硬性技术要求】
1. 全局终端网络代理：
配置 Clash Verge 或 sing-box 代理客户端。必须支持并开启 TUN 模式（虚拟网卡全局接管流量），确保 macOS 命令行终端（Terminal）在不进行手动 export 转发的情况下，默认能丝滑连接海外大模型底层接口（如 api.openai.com）。不接受修改 hosts、临时别名或国内第三方大模型镜像等不稳定凑合方案。

2. 安全沙箱权限隔离：
安装并配置 Docker Desktop (Apple Silicon 架构版)。OpenClaw 框架的代码执行端（Exec-Server）必须全面在 Docker 容器沙箱内运行，绝对禁止赋予 AI 直接读写 Mac 主机根目录（Root/Home）的物理 Shell 权限，防止提示词注入风险。配置日志轮转（Log Rotation）防止运行日志爆硬盘。

3. 异地远程穿透组网：
配置 Tailscale 虚拟组网，并打通异地笔记本电脑（客户端）与该 Mac mini 的原生屏幕共享（Screen Sharing）加密通道，确保在海外/外网环境下能无缝流畅远控。同时协助配置一个轻量开源远控（如 RustDesk）并设置高强度无人值守密码作为备用连接。

4. 无人值守与系统级容灾守护：
- 配置硬件层通电自动开机（通过 `sudo pmset autorestart 1`），并关闭一切节能睡眠和硬盘休眠选项，保持 24 小时活跃。
- 将网络代理服务、Tailscale 服务、小龙虾网关及核心服务全部配置为系统级开机自启守护进程（如利用 launchd、PM2 或 Docker compose restart 策略）。必须做到：机器就算物理断电重启，在【不输入用户密码登录桌面】的状态下，后台所有服务也必须全自动联网挂载成功。

【远程协作方式】
本次任务全程远程调试进行。我会坐在电脑前当您的“物理外挂”，配合您处理所有由于苹果安全机制导致的底层密码输入、指纹和安全弹窗授权。您负责把整体网络路由、安全沙箱和容灾自启脚本调通。

【交付与结算验收标准】
由于本项目有平台资金托管担保，最终结项放款将严格执行以下现场测试：
1. 技术人员远程配置完成后，由我本人在现场【直接物理拔掉 Mac mini 的电源线】强行关机，再重新插上电源。
2. 期间我的双手完全离开该 Mac mini（不点按键盘、不移动鼠标、不登录桌面用户）。
3. 我拿出自己的笔记本电脑，切断家里 WiFi 连手机热点（模拟异地出差网络），尝试通过 Tailscale 远程控制这台 Mac mini。
4. 如果能成功连入桌面，且确认后台网络代理、Docker 容器以及小龙虾运行完全正常，即视为交付合格，立刻确认结项并放款。

【人员要求】
3年以上 Linux/macOS 运维开发经验，熟悉网络路由穿透，有丰富的 Docker 和大模型 Agent 部署经验。能看懂并严格执行需求标准、沟通高效者优先。