2026年小團隊共享遠端 Mac：code-server 瀏覽器協作 vs 純 SSH 接力——埠口、權限隔離、併發衝突與延遲驗收清單

純 SSH：OpenSSH 登入＋可選埠轉發。code-server：TLS 後 WebSocket 串流編輯 UI，行程仍在 Mac。比的是暴露面與工作階段形狀，不是「瀏覽器可省分帳號」。

22 或 443 進線都共用同一顆核心與簽章現實。SSH 多把服務綁 127.0.0.1 再轉發，撞埠來自兩人選同一本機埠；code-server 收斂編輯器樹，但語言伺服器與預覽仍占高埠，請 runbook 劃段（例 31xxx／32xxx）。

權限：分帳號、共用群組管產物、umask 027，CI 與個人鑰匙圈分離。瀏覽器鑑權屬閘道層；全員同一 OS 使用者則延伸仍可互讀權杖。

併發：模擬器、公證、大包、GPU 任務應書面獨占並用日曆／Runner 標籤／檔案鎖；規則屢破則加機而非加隧道。

多列指向「拆池」＝預算優先第二臺節點或獨立 CI，勿再堆轉發。

以下為單一池化 Apple Silicon、二～四人基線，依核心／磁碟上修。

• 互動併發：未限語言伺服器時，同機 code-server 建議 至多 2；編譯時閒置 RAM 中位常態 > 8 GiB 才考慮第三席。
• 自動化併發：與人同事機，吃滿編譯的 Runner 平行 1～2，其餘排隊。
• SSH keepalive：ServerAliveInterval 30、ServerAliveCountMax 4、ControlPersist 10m；常換網改 30m。
• HTTP／WS 閒置逾時：對齊最長連結，常見 2700～7200 s，免 TLS 終止在連結中斷線。
• Extension host：關閉多餘內建延伸；每席 RSS 目標 < 約 1.5 GiB 再加人。

反向代理（不點名廠牌）：TLS 在前終止；轉發保留 Upgrade／Connection；編輯器路由關回應緩衝；HTTP 與 WS 閒置逾時對齊或 WS 更寬。前有邊界網時確認 HTTP/2 合併不剝逐跳標頭。SSH 走 TCP 直通，避免被當 HTTP。

# 環境變數示例（路徑請自調；以專用 Unix 使用者執行）
export PASSWORD=""          # 建議改權杖檔＋SSO，勿長期明文
export HOST=127.0.0.1
export PORT=8443            # 僅迴圈繫結；對外 TLS 由反代終止
# 可選：暖機延伸時限制新連線
# export CODE_SERVER_SESSION_LIMIT=2

每條路徑（直連、VPN、跳板、瀏覽器）各跑一次：量 RTT 與編譯抖動並入 runbook。

• RTT：SSH 日常中位 ≤ 80 ms；code-server 抖動低可略寬。
• 編輯延遲：延伸閒置時打字到畫面 p95 < 150 ms，否則減延伸或減席。
• 埠：壓力測後約定區間 LISTEN 零重疊。
• 恢復：強制斷線後兩路徑 < 120 s 可編譯、無需輪替根密鑰。

Q：code-server 能消 SSH 埠衝突？
會轉移：仍要分帳號、分埠、佇列；22 仍可給自動化；瀏覽器不序列化編譯器。

Q：何時仍以純 SSH 為預設？
tmux／rsync／worktree 主力、禁網頁 IDE、RTT 低求最簡；無法直連再加跳板。

Q：TLS 後逾時？
覆蓋重構建 p95，常 45～120 分；WS 與 HTTP 閒置對齊或 WS 更寬。

Q：幾個瀏覽器 IDE 該加機？
兩個以上重語服＋一個吃滿編譯＝警訊；三席互動 IDE 宜拆到新節點或獨立 CI。

小結：code-server 解的是協作入口與外包摩擦；SSH 解的是CLI 密度與政策相容。兩者都不解算力與公平佇列。落地入口：MeshMac 首頁、免登入方案與套餐、幫助中心。