O alvo é inferido do workspace
Você quase nunca precisa mexer no seletor. Se o workspace ativo é uma sessão SSH, o painel já abre apontando para aquele host.
Como funciona por baixo
Odocker fala com máquina remota nativamente, por ssh://. O TYBA só aponta o alvo:
Include config.d/tyba.conf no seu ~/.ssh/config. O apelido que você cadastrou é um host de verdade para o OpenSSH, então é um host de verdade para o Docker.
Nada de daemon exposto, nada de porta aberta, nada de TLS para configurar. É o seu SSH.
O shell de um container remoto
Abrir o shell de um container remoto cria um workspace próprio, com o apelido no título e a cor do host. Isso é de propósito: ele não sequestra o seu pane SSH. Misturar os dois deixaria osh: postgres desta máquina com a mesma cara do que roda no host remoto, e confundir os dois custa caro.
As limitações
O que funciona remotamente: listar, logs, shell e remover.É mais lento — e tudo bem
O refresh remoto paga handshake, rede e, na primeira conexão, o que a sua autenticação SSH exigir — digitar a senha da chave, tocar a YubiKey, aprovar no agent. O timeout local mede um Docker que responde em milissegundos; o remoto ganha bem mais folga, porque com o teto local o painel remoto só entregava lista vazia. Depois da primeira conexão, oControlMaster reusa a conexão e as chamadas voltam a ser rápidas.
A disponibilidade é cacheada por alvo. Docker nesta máquina não diz nada sobre Docker num host remoto, então cada alvo tem o próprio estado — e o painel não fica reperguntando a cada pisada de olho.
Veja também
Containers
O painel, a integração e o que ele faz local.
Hosts e grupos
O cadastro, a chave e o Include que fazem isso funcionar.