2026 Корпоративный фаервол и выход Mac cloud: Git, CocoaPods, npm и xcodebuild — воспроизводимый чек-лист прокси

Регион и бюджет задержек выбраны, но CI всё ещё ловит таймауты клонов, зависания CDN CocoaPods или ошибки SwiftPM — чаще всего виноваты не мегабиты, а корпоративный фаервол, расшифровка TLS, split DNS и рассинхрон переменных прокси. Материал для команд, которые используют Mac cloud как аудируемую сборочную машину: три класса причин, матрица, пять шагов от curl до xcodebuild и минимальная схема HTTP(S)_PROXY / NO_PROXY.

Схема: удалённый Mac в корпоративной сети, прокси к Git и менеджерам пакетов

Содержание

1. Три типа проблем

В отличие от очередей и диска, сетевой слой начинается с DNS и цепочек сертификатов.

  1. Split DNS — ноутбук и облако отдают разные IP для одного URL.
  2. TLS inspection — нет корневого сертификата организации.
  3. Прокси — интерактивная оболочка видит HTTPS_PROXY, а задания launchd — нет.

2. Матрица

СимптомСначалаПроверкаНаправление фикса
Разные IPDNSdigКорпоративный DNS
Ошибки TLS вездеИнспекцияopenssl s_clientКорень в связке ключей
Только CI падаетОкружениеplistПеременные в launchd
Медленный GitHubACLcurl по хостамОтдельный прокси для Git
CocoaPods зависCDN/IPv6pod envВыровнять прокси

Если на том же хосте крутится OpenClaw, TLS-сессии конкурируют с CI.

3. Пять шагов

Сверка с подключением CI.

  1. curl -vI https://github.com и внутренний Git.
  2. HTTP_PROXY, HTTPS_PROXY, NO_PROXY с RFC1918 и внутренним Git.
  3. Настройки Git; порты SSH.
  4. npm через проектный .npmrc.
  5. CocoaPods, IPv6.
  6. xcodebuild -resolvePackageDependencies до полной сборки.
launchctl asuser $(id -u) sudo -u $(whoami) env | egrep 'HTTP|HTTPS|NO_PROXY'
Важно: при ZTNA или постоянном VPN узел может быть в туннеле или в открытом интернете — политики DNS и сертификатов различаются.

4. Параметры

Средний узел может ломать только часть CDN. Git LFS использует отдельные хосты. SwiftPM тянет метаданные параллельно. Для аудита — утверждённый явный прокси вместо личного туннеля.

5. Предсказуемый выход

SOCKS с ноутбука или разовый http_proxy помогают сдать билд, но не дают воспроизводимости. Универсальные Linux VPS редко описывают ночные Swift-сборки и тысячи HTTPS. Надёжнее утверждённый выход, фиксированные переменные и runbooks как в миграции с Linux VPS. Командам с Xcode CI часто подходит аренда M4 Mac cloud у VPSMAC, если проверки из этой статьи включены в провижининг.

6. FAQ

Корень импортирован, ошибки остаются

Проверьте уровень доверия в связке и пользователя CI.

Только SwiftPM медленный

Смотрите CDN, IPv6 и списки разрешений в разное время суток.