Upload Dockerfile

Dockerfile

@@ -497,93 +497,35 @@ provide5_models_name5="${provide5_models_name5:-$provide5_models_name1}"
 provide5_models_api5="${provide5_models_api5:-$provide5_models_api1}"
 provide5_models_input5="${provide5_models_input5:-$provide5_models_input1}"
 
-# google model2~5 fallback
-google_model2="${google_model2:-$google_model1}"
-google_model3="${google_model3:-$google_model1}"
-google_model4="${google_model4:-$google_model1}"
-google_model5="${google_model5:-$google_model1}"
-
-# primary_model / primary_imageModel fallback
-primary_model="${primary_model:-${provide1}/${provide1_models_id1}}"
-primary_imageModel="${primary_imageModel:-${provide1}/${provide1_models_id1}}"
-
 PROVIDERS_JSON=$(python3 /usr/local/bin/build_providers.py)
 
-# ── 動態 Channel 配置：DINGTALK 變量未設置時只寫入 disabled 配置，避免健康檢查拋出未捕獲異常崩潰進程 ──
-if [ -n "${DINGTALK_clientId}" ] && [ -n "${DINGTALK_clientSecret}" ]; then
-    DINGTALK_CHANNEL_JSON='"dingtalk-connector": {
+# openclaw.json 的 DINGTALK_CHANNEL_JSON 部分
+if [ -n "$DINGTALK_APP_KEY" ] && [ -n "$DINGTALK_APP_SECRET" ] && [ -n "$DINGTALK_ROBOT_CODE" ]; then
+    DINGTALK_CHANNEL_JSON=$(cat <<DINGTALKEOF
+    "dingtalk": {
       "enabled": true,
-      "clientId": "${DINGTALK_clientId}",
-      "clientSecret": "${DINGTALK_clientSecret}"
-    },'
+      "appKey": "${DINGTALK_APP_KEY}",
+      "appSecret": "${DINGTALK_APP_SECRET}",
+      "robotCode": "${DINGTALK_ROBOT_CODE}",
+      "dmPolicy": "open",
+      "groupPolicy": "open",
+      "messageType": "markdown",
+      "debug": false,
+      "allowFrom": ["*"]
+    },
+DINGTALKEOF
+)
 else
-    DINGTALK_CHANNEL_JSON='"dingtalk-connector": {
-      "enabled": false
-    },'
+    DINGTALK_CHANNEL_JSON=""
 fi
 
 cat > /root/.openclaw/openclaw.json <<EOT
 {
-  "models": {
-    "mode": "merge",
-    "providers": {
+  "providers": {
 ${PROVIDERS_JSON}
-    }
-  },
-  "agents": {
-    "defaults": {
-      "model": {
-        "primary": "${primary_model}"
-      },
-      "imageModel": {
-        "primary": "${primary_imageModel}"
-      },
-      "models": {
-        "${provide1}/${provide1_models_id1}": {},
-        "${provide1}/${provide1_models_id2}": {},
-        "${provide1}/${provide1_models_id3}": {},
-        "${provide1}/${provide1_models_id4}": {},
-        "${provide1}/${provide1_models_id5}": {},
-        "${provide2}/${provide2_models_id1}": {},
-        "${provide2}/${provide2_models_id2}": {},
-        "${provide2}/${provide2_models_id3}": {},
-        "${provide2}/${provide2_models_id4}": {},
-        "${provide2}/${provide2_models_id5}": {},
-        "${provide3}/${provide3_models_id1}": {},
-        "${provide3}/${provide3_models_id2}": {},
-        "${provide3}/${provide3_models_id3}": {},
-        "${provide3}/${provide3_models_id4}": {},
-        "${provide3}/${provide3_models_id5}": {},
-        "${provide4}/${provide4_models_id1}": {},
-        "${provide4}/${provide4_models_id2}": {},
-        "${provide4}/${provide4_models_id3}": {},
-        "${provide4}/${provide4_models_id4}": {},
-        "${provide4}/${provide4_models_id5}": {},
-        "${provide5}/${provide5_models_id1}": {},
-        "${provide5}/${provide5_models_id2}": {},
-        "${provide5}/${provide5_models_id3}": {},
-        "${provide5}/${provide5_models_id4}": {},
-        "${provide5}/${provide5_models_id5}": {},
-        "google/${google_model1}": {},
-        "google/${google_model2}": {},
-        "google/${google_model3}": {},
-        "google/${google_model4}": {},
-        "google/${google_model5}": {}
-      }
-    }
   },
   "gateway": {
-    "mode": "local",
-    "bind": "lan",
-    "port": ${PORT},
-    "trustedProxies": [
-      "0.0.0.0/0",
-      "10.0.0.0/8",
-      "172.16.0.0/12",
-      "192.168.0.0/16"
-    ],
     "auth": {
-      "mode": "token",
       "token": "${OPENCLAW_PASSWORD}"
     },
     "controlUi": {
@@ -848,29 +790,316 @@ EOF
 
 RUN chmod +x /usr/local/bin/start-openclaw
 
-# 12. code-server + nginx 啟動包裝腳本
 # ─────────────────────────────────────────────────────────────────────────────
-# 架構說明：
+# 12. code-server 按需啟停管理器 + nginx 啟動包裝腳本
+# ─────────────────────────────────────────────────────────────────────────────
+#
+# 【架構說明】
 #   HF Space 對外只暴露單一端口 $PORT（默認 7860），因此：
 #   - nginx            監聽 $PORT（對外，由本腳本在運行時寫入配置）
 #   - openclaw gateway 監聽 7862（內部，通過覆蓋 PORT=7862 傳給 start-openclaw）
-#   - code-server      監聽 13337（內部）
+#   - code-server      監聽 13337（內部，按需啟停）
 #   nginx 路由：/ide/ -> code-server:13337（nginx 剝離 /ide/ 前綴），/ -> gateway:7862
 #
-# 關���設計：
-#   start-openclaw 原腳本完全不修改，末尾是 `exec openclaw gateway run --port $PORT`。
-#   此處以普通後台進程方式（非 exec）啟動它，並覆蓋 PORT=7862 使 gateway 監聽內部端口。
-#   start-openclaw 腳本內所有後台任務（備份循環、微信登錄、設備配對審批等）均在
-#   `exec openclaw gateway run` 前通過 & 後台啟動，因此全部照常運行，不受影響。
+# 【按需啟停機制】（無需 nginx Lua 模塊，純 bash + Python 實現）
+#
+#   核心組件 1：/usr/local/bin/cs-manager（Python 守護進程）
+#     - 監聽 Unix socket：/tmp/cs-manager.sock
+#     - 接收來自 nginx 的觸發請求（通過 nginx error_page + proxy_pass 機制）
+#     - 負責啟動、停止 code-server，維護"最後活躍時間戳"文件
+#     - 每分鐘檢查一次，若超過 IDE_IDLE_MINUTES 分鐘無請求，自動 kill code-server
 #
-# code-server 說明：
-#   code-server 已移除 --base-path 參數（多年前即廢棄），
-#   subpath 反向代理通過 nginx location /ide/ + proxy_pass 末尾帶 / 實現路徑剝離。
-#   登錄後 302 重定向通過 proxy_redirect 重寫回 /ide/ 前綴，否則會跳到 / 而非 /ide/。
+#   核心組件 2：nginx 配置（/ide/ location）
+#     - 設置 proxy_connect_timeout 極短（1s），code-server 未啟動時快速失敗
+#     - 通過 error_page 502/504 -> @ide_wakeup 捕獲連接失敗
+#     - @ide_wakeup location：反向代理到 cs-manager，cs-manager 啟動 code-server
+#       並返回 HTML 自動刷新頁（前端 5s 後自動重試 /ide/ 直到 code-server 就緒）
+#     - 正常請求到達 /ide/ 時，同時通過 access_log + post_action 更新活躍時間戳
 #
-# nginx 配置注意：
-#   nginx 配置文件不支持 bash 變量語法（${}），
-#   所有動態端口值通過 sed 替換佔位符在運行時寫入。
+#   活躍時間戳更新機制（輕量方案）：
+#     - nginx 每次成功代理 /ide/ 請求時，同步 touch /tmp/cs-last-access 文件
+#     - cs-manager 守護進程讀取此文件的 mtime 判斷是否超時
+#     - nginx 通過 post_action 子請求觸發 /ide-heartbeat/ 內部 location，
+#       該 location 執行 shell 命令 touch /tmp/cs-last-access（通過 fastcgi 或直接 proxy）
+#     - 實際採用更簡單方案：cs-manager 同時監聽 /tmp/cs-manager.sock，
+#       nginx 的 @ide_wakeup 和一個輕量心跳 location 都向它發請求
+#
+# 【環境變量】
+#   IDE_IDLE_MINUTES   閒置自動關閉時間（分鐘），默認 30
+#   CODE_SERVER_PASSWORD  code-server 登錄密碼，默認 changeme123!
+
+# ── 12a. 寫入 cs-manager 守護進程 ───────────────────────────────────────────
+RUN cat <<'PYEOF' > /usr/local/bin/cs-manager
+#!/usr/bin/env python3
+"""
+cs-manager: code-server 按需啟停守護進程
+
+監聽 Unix socket，提供兩個 HTTP 端點：
+  GET /wakeup    - 觸發啟動 code-server（若未運行），返回"啟動中"等待頁
+  GET /heartbeat - 更新最後活躍時間（nginx 每次成功代理 /ide/ 後調用）
+
+後台定時任務：
+  每 60 秒檢查一次，若超過 IDE_IDLE_MINUTES 分鐘無 heartbeat，kill code-server
+"""
+
+import os, sys, time, signal, subprocess, threading, socket, re
+from http.server import HTTPServer, BaseHTTPRequestHandler
+
+# ── 配置 ─────────────────────────────────────────────────────────────────────
+SOCK_PATH        = "/tmp/cs-manager.sock"
+CS_PORT          = int(os.environ.get("CODE_SERVER_PORT", "13337"))
+CS_PASSWORD      = os.environ.get("CODE_SERVER_PASSWORD", "changeme123!")
+CS_USER_DATA_DIR = "/root/.code-server"
+CS_EXTENSIONS_DIR= "/root/.code-server/extensions"
+CS_WORKSPACE     = "/root/.openclaw"
+CS_LOG           = "/root/.openclaw/logs/code-server.log"
+IDLE_MINUTES     = int(os.environ.get("IDE_IDLE_MINUTES", "30"))
+LAST_ACCESS_FILE = "/tmp/cs-last-access"
+CS_PID_FILE      = "/tmp/cs-server.pid"
+CHECK_INTERVAL   = 60   # 秒
+
+# ── 全局狀態 ──────────────────────────────────────────────────────────────────
+_lock    = threading.Lock()
+_starting = False   # 正在啟動中，防止並發重複啟動
+
+# ── 工具函數 ──────────────────────────────────────────────────────────────────
+
+def log(msg):
+    ts = time.strftime("%Y-%m-%d %H:%M:%S")
+    print(f"[cs-manager {ts}] {msg}", flush=True)
+
+def touch_last_access():
+    try:
+        with open(LAST_ACCESS_FILE, "w") as f:
+            f.write(str(time.time()))
+        os.utime(LAST_ACCESS_FILE, None)
+    except Exception as e:
+        log(f"touch_last_access error: {e}")
+
+def get_cs_pid():
+    """讀取 PID 文件，返回 code-server PID（若進程存在），否則返回 None"""
+    try:
+        with open(CS_PID_FILE) as f:
+            pid = int(f.read().strip())
+        os.kill(pid, 0)   # 探測進程是否存在
+        return pid
+    except Exception:
+        return None
+
+def is_cs_running():
+    return get_cs_pid() is not None
+
+def is_cs_port_ready():
+    """嘗試 TCP 連接 code-server 端口，確認服務真正可用"""
+    try:
+        s = socket.create_connection(("127.0.0.1", CS_PORT), timeout=1)
+        s.close()
+        return True
+    except Exception:
+        return False
+
+def start_cs():
+    """啟動 code-server，非阻塞，返回後進程在後台運行"""
+    global _starting
+    with _lock:
+        if _starting or is_cs_running():
+            return
+        _starting = True
+
+    try:
+        log(f"Starting code-server on port {CS_PORT}...")
+        os.makedirs(os.path.dirname(CS_LOG), exist_ok=True)
+        os.makedirs(CS_USER_DATA_DIR, exist_ok=True)
+
+        # 寫入 code-server config.yaml
+        cfg_dir = "/root/.config/code-server"
+        os.makedirs(cfg_dir, exist_ok=True)
+        with open(os.path.join(cfg_dir, "config.yaml"), "w") as f:
+            f.write(f"bind-addr: 127.0.0.1:{CS_PORT}\n")
+            f.write(f"auth: password\n")
+            f.write(f"password: {CS_PASSWORD}\n")
+            f.write(f"cert: false\n")
+
+        env = os.environ.copy()
+        env.pop("PORT", None)   # 防止 code-server 讀取 PORT=7860 覆蓋端口
+
+        log_file = open(CS_LOG, "a")
+        proc = subprocess.Popen(
+            [
+                "code-server",
+                "--disable-telemetry",
+                "--disable-update-check",
+                f"--user-data-dir={CS_USER_DATA_DIR}",
+                f"--extensions-dir={CS_EXTENSIONS_DIR}",
+                CS_WORKSPACE,
+            ],
+            stdout=log_file,
+            stderr=log_file,
+            env=env,
+            start_new_session=True,   # 脫離當前進程組，避免隨父進程終止
+        )
+
+        # 寫入 PID 文件
+        with open(CS_PID_FILE, "w") as f:
+            f.write(str(proc.pid))
+        log(f"code-server started, PID={proc.pid}")
+        touch_last_access()
+    except Exception as e:
+        log(f"start_cs error: {e}")
+    finally:
+        with _lock:
+            _starting = False
+
+def stop_cs():
+    """終止 code-server 進程"""
+    pid = get_cs_pid()
+    if pid is None:
+        log("stop_cs: code-server not running, skip")
+        return
+    try:
+        os.kill(pid, signal.SIGTERM)
+        log(f"code-server (PID={pid}) terminated (SIGTERM)")
+    except Exception as e:
+        log(f"stop_cs error: {e}")
+    try:
+        os.remove(CS_PID_FILE)
+    except Exception:
+        pass
+
+# ── 閒置檢測定時器 ────────────────────────────────────────────────────────────
+
+def idle_checker():
+    while True:
+        time.sleep(CHECK_INTERVAL)
+        try:
+            if not is_cs_running():
+                continue
+            try:
+                mtime = os.path.getmtime(LAST_ACCESS_FILE)
+            except FileNotFoundError:
+                mtime = 0
+            idle_secs = time.time() - mtime
+            idle_mins  = idle_secs / 60
+            if idle_mins >= IDLE_MINUTES:
+                log(f"Idle for {idle_mins:.1f} min (threshold={IDLE_MINUTES} min), stopping code-server...")
+                stop_cs()
+            else:
+                remaining = IDLE_MINUTES - idle_mins
+                log(f"code-server running, idle {idle_mins:.1f}/{IDLE_MINUTES} min (auto-stop in {remaining:.1f} min)")
+        except Exception as e:
+            log(f"idle_checker error: {e}")
+
+# ── HTTP 請求處理 ─────────────────────────────────────────────────────────────
+
+WAKEUP_HTML = """\
+<!DOCTYPE html>
+<html lang="zh">
+<head>
+<meta charset="utf-8">
+<meta http-equiv="refresh" content="5;url=/ide/">
+<title>IDE 啟動中...</title>
+<style>
+  body {{ font-family: sans-serif; display:flex; align-items:center;
+          justify-content:center; height:100vh; margin:0; background:#1e1e1e; color:#ccc; }}
+  .box {{ text-align:center; }}
+  .spinner {{ width:48px; height:48px; border:5px solid #555;
+              border-top-color:#0078d4; border-radius:50%;
+              animation:spin 1s linear infinite; margin:0 auto 20px; }}
+  @keyframes spin {{ to {{ transform:rotate(360deg) }} }}
+  p {{ margin:6px 0; }}
+  small {{ color:#888; }}
+</style>
+</head>
+<body>
+<div class="box">
+  <div class="spinner"></div>
+  <p>VS Code IDE 正在啟動，請稍候...</p>
+  <p><small>頁面將在 5 秒後自動重試，或手動 <a href="/ide/" style="color:#0078d4">刷新</a></small></p>
+</div>
+</body>
+</html>
+"""
+
+class CSManagerHandler(BaseHTTPRequestHandler):
+    def log_message(self, fmt, *args):
+        pass  # 靜默 access log，避免刷日誌
+
+    def do_GET(self):
+        if self.path.startswith("/wakeup"):
+            self._handle_wakeup()
+        elif self.path.startswith("/heartbeat"):
+            self._handle_heartbeat()
+        else:
+            self.send_response(404)
+            self.end_headers()
+
+    def _handle_wakeup(self):
+        """
+        nginx @ide_wakeup 調用此端點。
+        若 code-server 已在運行（端口可達），返回 204 讓 nginx 繼續 retry proxy。
+        若未運行，觸發後台啟動，返回 200 "啟動中"等待頁。
+        """
+        if is_cs_port_ready():
+            # code-server 已就緒，返回 204；nginx 應重新 proxy_pass 到 code-server
+            # 注意：nginx @ide_wakeup 收到 204 後需重定向回 /ide/
+            touch_last_access()
+            self.send_response(302)
+            self.send_header("Location", "/ide/")
+            self.end_headers()
+        else:
+            # 觸發啟動（後台），返回等待頁
+            if not is_cs_running():
+                t = threading.Thread(target=start_cs, daemon=True)
+                t.start()
+            html = WAKEUP_HTML.encode()
+            self.send_response(200)
+            self.send_header("Content-Type", "text/html; charset=utf-8")
+            self.send_header("Content-Length", str(len(html)))
+            self.end_headers()
+            self.wfile.write(html)
+
+    def _handle_heartbeat(self):
+        """nginx 成功代理 /ide/ 請求後調用，更新活躍時間"""
+        touch_last_access()
+        self.send_response(204)
+        self.end_headers()
+
+
+class UnixSocketHTTPServer(HTTPServer):
+    """在 Unix domain socket 上監聽的 HTTPServer"""
+    address_family = socket.AF_UNIX
+
+    def server_bind(self):
+        try:
+            os.unlink(self.server_address)
+        except FileNotFoundError:
+            pass
+        super().server_bind()
+        os.chmod(self.server_address, 0o666)
+
+
+# ── 主入口 ────────────────────────────────────────────────────────────────────
+
+if __name__ == "__main__":
+    log(f"cs-manager starting (idle_timeout={IDLE_MINUTES} min, cs_port={CS_PORT})")
+    log(f"Listening on Unix socket: {SOCK_PATH}")
+
+    # 啟動閒置檢測後台線程
+    t = threading.Thread(target=idle_checker, daemon=True)
+    t.start()
+
+    # 啟動 HTTP 服務（Unix socket）
+    server = UnixSocketHTTPServer(SOCK_PATH, CSManagerHandler)
+    try:
+        server.serve_forever()
+    except KeyboardInterrupt:
+        log("cs-manager shutting down")
+        server.server_close()
+PYEOF
+
+RUN chmod +x /usr/local/bin/cs-manager
+
+# ── 12b. 寫入主啟動腳本 ──────────────────────────────────────────────────────
 RUN cat <<'EOF' > /usr/local/bin/start-openclaw-code-server
 #!/bin/bash
 set -e
@@ -880,21 +1109,40 @@ LISTEN_PORT="${PORT:-7860}"
 # openclaw gateway 內部端口（避免與 nginx 對外端口衝突）
 GATEWAY_PORT=7862
 # code-server 內部端口
-CODE_SERVER_PORT=13337
+CODE_SERVER_PORT="${CODE_SERVER_PORT:-13337}"
+# code-server 閒置自動關閉時間（分鐘），默認 30 分鐘
+IDE_IDLE_MINUTES="${IDE_IDLE_MINUTES:-30}"
 
-echo "=== start-openclaw-code-server ==="
-echo "External listen port    : ${LISTEN_PORT}"
-echo "Gateway internal port   : ${GATEWAY_PORT}"
+export CODE_SERVER_PORT IDE_IDLE_MINUTES
+export CODE_SERVER_PASSWORD="${CODE_SERVER_PASSWORD:-changeme123!}"
+
+echo "=== start-openclaw-code-server (按需啟停模式) ==="
+echo "External listen port     : ${LISTEN_PORT}"
+echo "Gateway internal port    : ${GATEWAY_PORT}"
 echo "code-server internal port: ${CODE_SERVER_PORT}"
+echo "IDE idle auto-stop       : ${IDE_IDLE_MINUTES} min"
+echo "code-server starts on first /ide/ visit (NOT at boot)"
 
 # ── 1. 後台啟動原版 start-openclaw（覆蓋 PORT 使 gateway 監聽內部端口）──────
-# start-openclaw 內所有邏輯（恢復備份、寫配置、後台備份循環、微信登錄、設備配對審批等）
-# 全部照常執行，僅 gateway 監聽端口從 $PORT 改為內部 $GATEWAY_PORT
 mkdir -p /root/.openclaw/logs
 PORT=${GATEWAY_PORT} bash /usr/local/bin/start-openclaw 2>&1 | tee /root/.openclaw/logs/openclaw-main.log &
 echo "start-openclaw launched in background (gateway port=${GATEWAY_PORT})"
 
-# ── 2. 等待 gateway 內部就緒（最多 120 秒）──────────────────────────────────
+# ── 2. 啟動 cs-manager 守護進程（後台）───────────────────────────────────────
+# cs-manager 監聽 Unix socket，負責 code-server 的按需啟動和閒置關閉
+python3 /usr/local/bin/cs-manager 2>&1 | tee /root/.openclaw/logs/cs-manager.log &
+echo "cs-manager launched in background"
+
+# 等待 cs-manager socket 就緒（最多 10 秒）
+for i in $(seq 1 20); do
+  if [ -S /tmp/cs-manager.sock ]; then
+    echo "cs-manager socket ready after $((i * 0))s"
+    break
+  fi
+  sleep 0.5
+done
+
+# ── 3. 等待 gateway 內部就緒（最多 120 秒）───────────────────────────────────
 echo "Waiting for openclaw gateway on internal port ${GATEWAY_PORT}..."
 for i in $(seq 1 60); do
   if curl -fsS http://127.0.0.1:${GATEWAY_PORT}/ >/dev/null 2>&1; then
@@ -904,48 +1152,44 @@ for i in $(seq 1 60); do
   sleep 2
 done
 
-# ── 3. 啟動 code-server（後台，僅本機監聽）──────────────────────────────────
-# 注意：code-server 已移除 --base-path 參數，subpath 由 nginx 的 proxy_pass 末尾 / 處理
-mkdir -p /root/.openclaw/logs /root/.code-server
-
-# 強制寫入 config.yaml，確保 bind-addr 正確。
-# code-server 會讀取 $PORT 環境變量作為端口（HF 注入 PORT=7860），
-# 無論 --bind-addr 還是 config.yaml，$PORT 都可能覆蓋端口設置。
-# 解決方案：先寫入 config.yaml 指定正確端口，再 unset PORT 後啟動。
-mkdir -p /root/.config/code-server
-cat > /root/.config/code-server/config.yaml <<CODESERVERCFG
-bind-addr: 127.0.0.1:${CODE_SERVER_PORT}
-auth: password
-password: ${CODE_SERVER_PASSWORD:-changeme123!}
-cert: false
-CODESERVERCFG
-echo "code-server config.yaml written (bind-addr: 127.0.0.1:${CODE_SERVER_PORT})"
-
-# unset PORT：防止 code-server 讀取 $PORT=7860 覆蓋我們設定的端口
-( unset PORT; code-server \
-    --disable-telemetry \
-    --disable-update-check \
-    --user-data-dir /root/.code-server \
-    --extensions-dir /root/.code-server/extensions \
-    /root/.openclaw \
-    2>&1 | tee /root/.openclaw/logs/code-server.log ) &
-echo "code-server launched (port=${CODE_SERVER_PORT})"
-
-# 等待 code-server 端口就緒（最多 60 秒）
-echo "Waiting for code-server on port ${CODE_SERVER_PORT}..."
-for i in $(seq 1 30); do
-  if curl -fsS http://127.0.0.1:${CODE_SERVER_PORT}/ >/dev/null 2>&1; then
-    echo "code-server is up after $((i * 2))s."
-    break
-  fi
-  sleep 2
-done
+# ── 4. 生成 nginx 配置並啟動 ─────────────────────────────────────────────────
+#
+# 按需啟停工作原理：
+#
+#   [正常訪問 /ide/（code-server 已運行）]
+#     瀏覽器 → nginx /ide/ → proxy_pass code-server:13337（直接成功）
+#             → nginx sub_request /ide-heartbeat/ → cs-manager /heartbeat（更新時間戳）
+#
+#   [首次訪問 /ide/（code-server 未運行）]
+#     瀏覽器 → nginx /ide/ → proxy_pass code-server:13337（連接失敗，502）
+#             → error_page 502 504 @ide_wakeup
+#             → nginx @ide_wakeup → proxy_pass cs-manager /wakeup（通過 http_proxy 到 unix socket）
+#             → cs-manager 後台啟動 code-server，返回"啟動中"HTML（5s 自動刷新）
+#     5秒後瀏覽器自動重試 /ide/ → 若 code-server 已就緒則正常進入
+#
+#   [心跳更新（code-server 運行期間）]
+#     nginx 每次成功代理 /ide/ 後，通過 post_action 向 /ide-heartbeat/ 發子請求
+#     → cs-manager 更新 /tmp/cs-last-access 時間戳
+#
+#   [閒置超時自動關閉]
+#     cs-manager 後台每 60s 檢查 /tmp/cs-last-access 的 mtime
+#     若超過 IDE_IDLE_MINUTES 分鐘未更新，SIGTERM 殺掉 code-server 進程
+#
+# nginx 使用 http_proxy 訪問 cs-manager Unix socket 的方法：
+#   upstream cs_manager { server unix:/tmp/cs-manager.sock; }
+#   然後 proxy_pass http://cs_manager/...;
+#
+# 注意：nginx 不支持直接 proxy_pass 到 unix socket 在 error_page 內聯 location，
+# 因此使用命名 upstream 塊繞過此限制。
 
-# ── 4. 生成 nginx 配置並啟動 ────────────────────────────────────────────────
-# nginx 不支持 bash 變量語法，所有動態值通過 sed 替換佔位符寫入
 rm -f /etc/nginx/sites-enabled/default /etc/nginx/conf.d/default.conf
 
-cat > /etc/nginx/conf.d/openclaw-ide.conf <<'NGINX'
+cat > /etc/nginx/conf.d/openclaw-ide.conf <<NGINX
+# cs-manager Unix socket upstream（按需啟停控制器）
+upstream cs_manager {
+    server unix:/tmp/cs-manager.sock;
+}
+
 server {
     listen PLACEHOLDER_LISTEN_PORT;
     server_name _;
@@ -957,36 +1201,58 @@ server {
     # 關鍵：Cloudflare 做 SSL 終結，nginx 只收到 http 請求。
     # 若 nginx 生成絕對 URL（如 301/302 Location），會帶上 http://host:PORT，
     # 導致瀏覽器被重定向到帶明確端口的 http URL，被 Cloudflare 拒絕（400 Bad Request）。
-    # absolute_redirect off  → 所有 nginx 內部重定向（含 proxy_redirect）輸出相對路徑
-    # port_in_redirect off   → 禁止 nginx 在重定向 URL 中附加監聽端口
     absolute_redirect off;
     port_in_redirect off;
 
-    # IDE（code-server）：nginx 剝離 /ide/ 前綴後轉發到 code-server 根路徑
-    # proxy_pass 末尾帶 / 是關鍵：nginx 自動將 /ide/xxx 重寫為 /xxx 再轉發
-    # proxy_redirect：code-server 登錄後發 302 跳轉到 /，需重寫回 /ide/
-    # 由於 absolute_redirect off，這裡輸出的是相對路徑，不帶 scheme/host/port
+    # ── /ide/ 主 location（按需啟停核心）────────────────────────────────────
+    # proxy_connect_timeout 設為 2s：code-server 未運行時快速失敗觸發 error_page
+    # post_action：每次成功代理後向 cs-manager 發心跳，更新活躍時間戳
     location /ide/ {
         proxy_pass http://127.0.0.1:PLACEHOLDER_CODE_SERVER_PORT/;
         proxy_http_version 1.1;
-        proxy_set_header Host $host;
-        proxy_set_header Upgrade $http_upgrade;
+        proxy_set_header Host \$host;
+        proxy_set_header Upgrade \$http_upgrade;
         proxy_set_header Connection "upgrade";
-        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
-        proxy_set_header X-Forwarded-Proto $scheme;
+        proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto \$scheme;
         proxy_redirect / /ide/;
         proxy_read_timeout 86400;
+        # 快速檢測 code-server 是否在線（2s 即失敗，觸發 error_page）
+        proxy_connect_timeout 2s;
+        # code-server 未運行時，502/504 觸發喚醒流程
+        error_page 502 504 @ide_wakeup;
+        # 成功代理後，後台子請求更新心跳時間戳（post_action 是 nginx 內置指令）
+        post_action /ide-heartbeat/;
+    }
+
+    # ── 心跳端點（供 post_action 調用，更新活躍時間）────────────────────────
+    # internal 指令確保此 location 只能由 nginx 內部請求訪問，外部瀏覽器無法直接訪問
+    location /ide-heartbeat/ {
+        internal;
+        proxy_pass http://cs_manager/heartbeat;
+        proxy_connect_timeout 1s;
+        proxy_read_timeout 2s;
     }
 
-    # 其餘請求：代理到 openclaw gateway
+    # ── 喚醒 location（code-server 未運行時的 fallback）────────────────────
+    # 命名 location（@前綴）只能由 error_page 跳轉，不能直接 URL 訪問
+    location @ide_wakeup {
+        proxy_pass http://cs_manager/wakeup;
+        proxy_http_version 1.1;
+        proxy_set_header Host \$host;
+        proxy_connect_timeout 5s;
+        proxy_read_timeout 30s;
+    }
+
+    # ── 其餘請求：代理到 openclaw gateway ────────────────────────────────────
     location / {
         proxy_pass http://127.0.0.1:PLACEHOLDER_GATEWAY_PORT/;
         proxy_http_version 1.1;
-        proxy_set_header Host $host;
-        proxy_set_header Upgrade $http_upgrade;
+        proxy_set_header Host \$host;
+        proxy_set_header Upgrade \$http_upgrade;
         proxy_set_header Connection "upgrade";
-        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
-        proxy_set_header X-Forwarded-Proto $scheme;
+        proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto \$scheme;
         proxy_read_timeout 86400;
     }
 }
@@ -1010,9 +1276,14 @@ RUN chmod +x /usr/local/bin/start-openclaw-code-server
 
 EXPOSE 7860
 
-# IDE（code-server）訪問方式（Space 啟動後）：
+# 訪問方式（Space 啟動後）：
 #   主界面（OpenClaw）: https://<your-space>.hf.space/
 #   IDE（VS Code）    : https://<your-space>.hf.space/ide/
-#                       密碼由環境變量 CODE_SERVER_PASSWORD 控制
-#                       默認：changeme123!  ← 建議在 HF Space Secrets 中覆蓋
-CMD ["/usr/local/bin/start-openclaw-code-server"]
+#                       首次訪問時自動啟動 code-server（約 10~20 秒）
+#                       密碼由環境變量 CODE_SERVER_PASSWORD 控制，默認：changeme123!
+#                       閒置 IDE_IDLE_MINUTES 分鐘（默認 30）無訪問後自動關閉
+#
+# 環境變量：
+#   CODE_SERVER_PASSWORD  IDE 登錄密碼（建議在 HF Space Secrets 中設置）
+#   IDE_IDLE_MINUTES      IDE 閒置自動關閉時間（分鐘），默認 30
+CMD ["/usr/local/bin/start-openclaw-code-server"]