2026 年选 GitHub Actions 托管 macOS 还是自托管 Mac 云？队列、分钟计费、标签策略与 Jenkins/GitLab 对照决策表（含最小落地步骤）

1. 先把需求归类：PR 检查、重编译与 7×24 常驻任务

2026 年 iOS 与 macOS 流水线的压力来源已经分化：一类是轻量 PR 验证（lint、单测、小型 Swift Package 构建），一类是 Xcode 大工程的全量 Archive 与签名，还有一类是 OpenClaw、定时同步、长驻脚本等需要机器「一直在线」的工作负载。GitHub Actions 官方 macOS Runner 的优势在于零采购、镜像由平台维护、与仓库权限天然打通；但它的计费按分钟累加，且高峰期可能排队，镜像版本也由 GitHub 节奏决定，你无法随意降级或预装冷门工具链。自托管 Mac 云则把「算力与系统形态」变成你可控的资产：你为节点支付租赁或硬件成本，换来固定标签下的可预期排队、可自定义的 Xcode 与 Ruby/Node 版本，以及把同一 SSH 主机同时注册给 Jenkins、GitLab Runner 与 Actions Runner 的灵活性。若不做需求归类就选型，常见后果是：小团队在托管 Runner 上被分钟数账单击穿预算，或在大项目上因队列与并发限制拖慢发布窗口；反过来，仅为偶尔一条 workflow 长期租用整台 Mac 云又会造成资源闲置。因此第一步永远是把 workload 按频率、时长、是否需要图形界面与钥匙串、以及是否 7×24 四类维度打标签，再映射到下文的决策表。

2. 三类痛点：队列、账单口径、环境可控性

在真实工程里，托管与自托管的冲突通常落在以下三点：

1. 队列与并发：官方 Runner 受组织并发额度与共享池影响，晚高峰或大型活动周可能出现 job 等待；自托管 Runner 的并发上限等于你注册的机器数量与每台机器上并行 job 策略（不建议在单台 M4 上无限制并行多个 xcodebuild，除非已按内存与磁盘做过容量规划）。
2. 账单口径：托管 macOS 按分钟计费且单价显著高于 Linux；自托管侧主要是 Mac 云租金 + 出口流量，成本曲线更平滑，适合「每天至少跑满若干小时」的团队。粗略经验：若每月 macOS job 总时长超过约 80～120 小时且以重编译为主，自托管专用节点更容易摊薄成本（具体因单价与并发而异，应以你们组织账单做回归）。
3. 环境可控性：托管镜像更新跟随 GitHub，适合希望「少运维」的团队；自托管允许固定 Xcode 小版本、预装内网证书、挂载公司代理与私有 registry，适合强合规与可复现构建。Mac 云主机若由 VPSMAC 这类供应商在分钟级内交付 SSH 凭证，还能与现有「像 API 一样开 Linux VPS」的运维习惯对齐，减少平台切换摩擦。

3. 决策矩阵：托管 macOS Runner vs 自托管 Mac 云 vs 办公室 Mac

下表从运维、成本与扩展性三个维度对比三种常见形态，便于与架构评审材料直接对齐。

4. 最小落地：从注册 Runner 到首次 green build 的五步

若决策偏向自托管 Mac 云，建议按下面顺序落地，避免一上来就接最重的 Archive job。

1. 拿到可 SSH 的 Mac 云节点并完成基线：确认 xcode-select -p、xcodebuild -version、git --version 符合项目基线；用 df -h 保证系统卷剩余空间大于约 40GB（多 scheme 与 DerivedData 消耗快）。
2. 创建专用 CI 用户并配置 SSH 密钥：避免用个人 Apple ID 会话跑服务；将公钥写入 authorized_keys，私钥写入 GitHub Secrets 或 Jenkins Credentials。
3. 安装并注册 GitHub Actions Runner：从仓库 Settings → Actions → Runners 下载包，执行 config.sh 打上 self-hosted、macOS、ARM64 等标签；用 launchd 保持常驻（崩溃自拉起）。
4. 先跑最小 workflow：仅 checkout + xcodebuild -version 或单元测试 scheme，确认标签匹配与权限无误。
5. 再接入完整构建与制品上传：逐步打开缓存、签名与 Archive；若与托管 Runner 混跑，用 path filter 或 workflow 级 runs-on 区分轻量与重量 job。

标签与并发方面，务必在 workflow 中写清矩阵，避免误把实验性 job 调度到生产标签池：

5. Jenkins/GitLab 映射：标签、SSH 与并发槽位

若团队已有「Linux Runner 池 + 标签调度」的习惯，可把 Mac 云视作另一类带 macos 或 xcode 前缀的标签池：GitHub 侧用 runs-on 数组精确匹配，Jenkins 侧用 Label 与 Job 属性绑定，GitLab 则在 .gitlab-ci.yml 里用 tags: 指定。这样平台工程只需维护一张「标签—机器—维护责任人」表，审计与扩容时不必翻散落的 shell 历史。

Jenkins 用户可将同一台 Mac 云配置为 SSH Agent：节点标签对应 Jenkins 的 Label Expression；GitLab Runner 则使用 tags 与 executor，在 shell executor 场景下直接 SSH 到 Mac。与 GitHub Actions 并存时，注意 CPU 与内存争用：例如单台 16GB 内存的 M4 同时跑两个完整 xcodebuild 可能触发内存压力与 swap，表现为偶发 clang 被 kill 或编译时间暴涨。推荐在 Jenkins 上限定「每台节点并发 executor 数」，在 GitLab 使用 limit 与 request_concurrency，在 Actions 侧用 organization 级并发与 job 级 concurrency 组合。若流水线依赖 CocoaPods 或 SwiftPM 缓存，统一把缓存目录挂到同一磁盘分区并监控水位，与站内 Mac 云构建队列、DerivedData 治理类文章形成配套 Runbook。

6. 可引用数据与参数：2026 年排障时用得上的硬指标

下列条目可在评审材料或 postmortem 中直接引用（具体以你们供应商与合同为准）：

• 并发与队列：GitHub 托管 Runner 的等待时间随组织并发与公共池负载波动；自托管在标签正确时排队时间为零，瓶颈转为单机 CPU/磁盘 I/O。
• 磁盘阈值：中型 iOS 工程建议 Mac 云系统盘保持至少 30～50GB 连续可用空间用于 DerivedData 与中间产物；低于约 10GB 时 xcodebuild 易出现看似随机的链接失败。
• 内存与并行：在 Apple Silicon 上，单路完整 Archive 常见峰值内存占用可达 12～18GB 量级（视模块数与 Swift 并发编译选项而定），用于估算「一台机器最多几个并行 job」。
• 网络出口：CI 拉取依赖与上传符号表会放大出口流量；Mac 云若部署在靠近代码托管区域，可降低 git fetch 与 registry 拉取的 RTT，这一点与区域/带宽选型文章中的 RTT 自检方法一致。
• 密钥轮换：自托管 Runner 访问仓库需 PAT 或 GitHub App；建议 90 天轮换一次，并在 Jenkins/GitLab 侧同步更新，避免单点长期凭证泄露。

7. 何时混用、何时加第二台节点

混用托管与自托管是 2026 年常见折中：公开贡献者或 fork 的 PR 继续跑在托管 Runner（安全边界清晰），内部主分支与发布分支在自托管 Mac 云上跑重任务。应加第二台节点的信号包括：单节点 executor 排队时间持续超过业务可接受窗口、磁盘清理后仍频繁空间告警、或需要地理上第二区域做灾备与就近构建。纯依赖办公室 Mac 虽一次性硬件投入可见，但面临断电、网络抖动与值班人力等隐性成本；纯依赖托管 Runner 则在重负载下账单与排队难以预测。对需要稳定 Apple 工具链、可预期并发、并愿以租赁换运维负担的团队，将专用 Mac 云作为自托管 Runner 与 Jenkins/GitLab 的统一算力底座，通常比长期堆叠办公室机器或完全绑定托管分钟数更易扩展；若你希望进一步把开通与凭证接入压缩到分钟级并与 API 化运维结合，可继续阅读站内 Mac 云 90 秒 API 与 CI/CD 对接实践一文完成闭环。