Заменяет ли изоляция по SSH разделение цепочки ключей для codesign на общем Mac?

Нет. SSH разделяет сеансы входа и владение файлами; codesign и нотаризация всё равно требуют согласованных удостоверений, профилей подготовки и неинтерактивного доступа к keychain. В политике пула зафиксируйте учётные записи сборки, отдельные файлы или разделы keychain, окна разблокировки только для CI и запрет смешивания интерактивной GUI-подписи с headless job в одном сеансе.

Сколько параллельных сборок Xcode безопасно на одном общем удалённом Mac?

Считайте общие корни DerivedData, один клон и глобальные префиксы установки взаимоисключающими: там допускайте не более одной тяжёлой xcodebuild или archive одновременно. При изолированных Git worktree, раздельных каталогах сборки и запасе RAM иногда допустимы две тяжёлые интеграции; лёгкие job могут доходить до двух–четырёх только если CPU устойчиво ниже примерно 75%, свободной RAM остаётся более примерно 8 ГБ и лимиты flock или конкурентности runner согласованы со скриптами.

Какую стратегию путей DerivedData малым командам стандартизировать в пуле?

Расположение по умолчанию Xcode проще всего, но даёт максимальную конкуренцию за диск. Подкаталоги на репозиторий или worktree упрощают атрибуцию сбоев. Общий read-кэш модулей с записываемой песочницей ускоряет пересборки, но требует строгого umask, плановой очистки и связки с таймаутами очереди — приостанавливайте новые тяжёлые job, когда свободный диск падает ниже примерно 15%.

Какие значения очереди и таймаутов внести в runbook в первую очередь?

Ограничьте глубину ожидания примерно 20 задач на полосу; задайте таймауты job от измеренного p95 плюс запас — лёгкие проверки 15–25 минут, стандартные сборки 35–60 минут, архивы 45–90 минут; окна ожидания flock -w держите короче таймаута job, обычно 120–300 секунд для записи зависимостей и 30–60 секунд для коротких критических секций, калибруя по перцентилям ожидания замка.

Матрица решений 2026

2026 Малые команды — общий удалённый Mac: параллельные Xcode, разделы keychain для codesign и таймауты очереди сборок

2026.03.31 Команда Meshmac 9 минут чтения

Когда удалённый Mac превращается в корпоративный пул сборок, инциденты кластеризуются вокруг подписи и keychain, конкурентных записей в один корень сборки и несогласованных таймаутов очереди. Ниже — внутренний стиль FAQ пула ресурсов: таблица изоляции SSH против разделов цепочки ключей, связка конкурентности с flock, матрица путей DerivedData и лист параметров таймаутов для runbook. Связанные материалы: FAQ пула и квоты, очередь и flock, маршрутизация runner.

Три типичных отказа пула (формулировки для согласования)

Размываются границы подписи. Несколько пайплайнов делят один сеанс входа, «уплывает» разблокировка keychain, расходятся профили, ошибки codesign невозможно приписать владельцу job.
Параллелизм игнорирует мьютексы каталогов. Одновременные xcodebuild бьют в общий DerivedData, префикс Pods или каталог артефактов и оставляют индексы в полузаписанном состоянии.
Таймауты живут в «устной традиции». Потолки ожидания замка, job и меток runner расходятся, зомби держат flock, пул замирает без явного сигнала перегрузки.

Сначала выровняйте сеансы с FAQ по изоляции SSH/VNC и правам, затем настраивайте подпись.

Изоляция SSH-сессий и разделы keychain для codesign

Раздельные пользователи SSH необходимы, но недостаточны для предсказуемой подписи на общем удалённом Mac: транспорт и POSIX не заменяют политику удостоверений.

Измерение	SSH / изоляция сеанса	Keychain и раздел codesign
Основной предохранитель	Идентичность входа, владение файлами, учётные записи автоматизации без GUI.	Видимость сертификатов, доступ к закрытым ключам, привязка профиля к bundle, учётные данные нотаризации.
Типовой контроль	SSH-сертификаты по ролям, jump host, запрет общих приватных ключей.	Выделенные файлы keychain, хуки разблокировки только для CI, профили по средам.
Частая ошибка	Считать SSH достаточным, пока две сессии делят один GUI-логин.	Использовать login keychain как общее хранилище секретов команды без журнала ротации.

Лимиты конкурентности, flock и очереди оркестратора

Скрипты shell и группы конкурентности в CI должны совпадать с доменами flock, иначе ожидания раздуваются незаметно. Правила раскладки worktree — в матрице Git worktree и lock-файлов.

Политика	Когда подходит	Интуиция параметров
Строгая сериализация + flock	Один клон, общий DerivedData, глобальные установки toolchain.	Одна тяжёлая job; `flock -w 30–60` для коротких мутаций; алерт при медиане ожидания очереди выше ~15 минут.
Ограниченный параллелизм	Изолированные worktree, раздельные песочницы сборки, мониторинг CPU и RAM.	До двух тяжёлых интеграций или двух–четырёх лёгких job при запасе; автоматически снижать при свободном диске близко к 15%.
Платформенная очередь	Self-hosted runner, внутренние планировщики.	Метки runner = доменам flock; потолок ожидания ~20 задач на полосу; масштабировать узлы раньше, чем поднимать целые числа в YAML.

Матрица стратегий путей DerivedData

Политика DerivedData — это выбор конкурентности: закрепите один столбец на класс узлов пула и свяжите его с таймаутами очереди и политикой очистки диска.

Стратегия	Сильная сторона	Заметка по конкурентности	Эксплуатационная цена
Путь Xcode по умолчанию	Нулевая настройка для ad-hoc пользователей.	Максимальный риск коллизий; считайте одним писателем, если пути не разнесены по job.	Нужна агрессивная плановая очистка.
Путь на репозиторий или worktree	Понятное владение для тикетов поддержки.	Две параллельные сборки возможны вместе с раздельными деревьями исходников.	Больше скриптов в CI или обёртках `xcodebuild`.
Общий read-кэш + записываемая песочница	Быстрее пересборки модулей при многих приложениях.	Нужны read-only монтирования или жёсткие права и flock вокруг писателей.	Сложнее рассуждать; нужны метрики попаданий в кэш.

Лист параметров таймаутов очереди сборок

Держите таблицу рядом с FAQ по flock и очереди в runbook дежурства.

Параметр	Стартовое значение	Заметки
Глубина очереди (pending)	около 20 задач на полосу	Быстрый отказ с явным retry вместо молчаливого хвоста.
Таймаут лёгкой job	15–25 минут	Линт, небольшие юниты, проверки codegen.
Стандартная компиляция и тесты	35–60 минут	От p95 репозитория плюс запас.
Архив и выгрузка	45–90 минут	Включите нотаризацию и загрузку символов.
`flock -w` (сек.)	120–300 для deps, 30–60 для коротких секций	Всегда короче таймаута job; калибровка по p95 ожидания замка.
Алерт по медиане ожидания	> 15 минут устойчиво	Сигнал недостаточной ёмкости пула или зависших замков.

Пять шагов внедрения политики пула

Инвентаризация мьютексов: перечислите каждый общий корень DerivedData, кэш зависимостей, полосу Simulator и удостоверение подписи на класс узла.
Назначение идентичностей: сопоставьте учётки автоматизации с файлами keychain, наборами профилей и ролями SSH; запретите общие GUI-сессии для CI.
Согласование оркестрации: метки runner, группы конкурентности и пути flock должны называть один и тот же ресурс.
Кодирование таймаутов: вставьте лист параметров в YAML CI, внутреннюю wiki и правила алертов с владельцами.
Еженаблюдение: раз в неделю — перцентили ожидания, свободный диск, своп и ошибки подписи; корректируйте потолки раньше сырого роста параллелизма.

Цифры для ссылок в политиках и RFC

Тяжёлая конкурентность Xcode на общий изменяемый корень: стартуйте с одной активной job.
Лёгкие job: до двух, если CPU устойчиво ниже ~75%, а свободной RAM остаётся более ~8 ГБ.
Давление по диску: приостанавливайте новые архивы при свободном месте ниже ~15% или ~40 ГБ (что больше).
Хранение логов CI: метаданные порядка 14–30 дней, подробные логи порядка 7 дней — как отправная точка для аудита без переполнения тома.

Краткий FAQ корпоративного пула

Заменяет ли изоляция SSH разделение keychain? Нет: SSH задаёт транспорт и границы POSIX; codesign всё равно требует разнесённых удостоверений и неинтерактивных путей разблокировки.

Можно ли два archive одновременно? Только при изолированных worktree, раздельных DerivedData, проверенном запасе RAM и диска и согласованной конкурентности runner — иначе оставайтесь в серийном режиме.

Слишком длинные таймауты? Зомби фиксируют замки — ужесточайте потолки и устраняйте утечки процессов. Квоты и конфликты — в чеклисте пула.

Следующие шаги

Зафиксируйте матрицу в runbook рядом с контактами владельца пула и ссылками на мониторинг. Для выделенного железа под политики подписи и очередей откройте главную Meshmac, страницу покупки и тарифов без обязательного входа и центр помощи по SSH, VNC и базовой гигиене доступа. Полный список материалов — в разделе блога.

Пул сборок на Mac

Вынесите матрицу Xcode и codesign на выделенные удалённые узлы Mac

Meshmac предоставляет узлы с SSH и VNC для малых команд. Главная — обзор без входа; Покупка и тарифы — когда нужно расширить ёмкость; Помощь — подключение и безопасность. Дополнительно: блог.

Главная Покупка Помощь

Купить Mac