一目标链路:从 GitHub 到五地 Mac 上的 TaskFlow
push 或 workflow_dispatch 触发 Actions,经签名 Webhook 打到仅回环监听的 OpenClaw Gateway,TaskFlow 再拉起构建与工件回传。五地差异在 RTT 与出口,但排障顺序固定:公网可达 → 令牌一致 → SSH 隧道与会话存活。
二GitHub Actions 入站与 Webhook 对齐
每环境独立密钥与轮换窗口;HTTP 步骤 URL 走隧道入口并带签名头,避免裸链被扫。五地并行宜按地区拆 Workflow,降低同一 Secret 复用面。
curl -v 直连隧道入口再往下看。
Gateway 认证与最小暴露面
Gateway 绑 127.0.0.1,经 SSH 转发暴露;令牌按人 / 外包 / CI 分桶并短 TTL。渠道与 Gateway 稳定化见
OpenClaw 渠道与 Gateway 自动化实践,
doctor 与健康探针纳入门禁防假绿。
SSH 隧道分级排障(L2 / L3)
L2:lsof 对端口、ssh -v 看 Kex/证书。L3:五地出口策略不同,美东宜对齐 GitHub/AWS 同区;断线由 launchd 拉起并打退出码,否则 Webhook 静默丢包。
三TaskFlow、上架流水线与外包回传
外包只拿最小工件包,审计留内网卷;大文件回传走同一隧道,避免第二条公网绕审计。Node 22、滚动日志与 doctor 分级见 五地常驻生产与 doctor 扩容案例。
- 上架:DerivedData/Pods 分卷,系统盘留配置与密钥。
- 外包:单独令牌 + 单次上传 URL,与 TaskFlow 对账。
- 审计:Webhook 体与鉴权结果同一保留策略。
审计日志与工件:谁吃磁盘
审计 JSON、缓存镜像、公证中间包与 dSYM 常远大于源码;低配先 1TB 扛缓存,合规与多版本再上 2TB 或 M4 Pro。租期与扩盘总账见 租期×扩容×并联总账沙盘。
四低配 / M4 Pro × 1TB / 2TB 的留存成本对照
下表按单节点、中度上架加外包回传估算余量,便于对齐保留天数与月增量。
| 配置 | 典型留存策略 | 磁盘压力与建议 | 适用场景 |
|---|---|---|---|
| 低配 M4 + 1TB | 审计 14 天、工件 7 天、缓存热层 | 余量中等;需 aggressive 清理与外链归档 | 小团队、单地区 CI |
| 低配 M4 + 2TB | 审计 30 天、双版本工件并行 | 可扛旺季;仍建议符号表外迁冷存 | 上架密集 + 外包并行 |
| M4 Pro + 2TB | 长审计窗 + 多 Workflow 缓存 | CPU/IO 双裕量,适合五地之一做旗舰 | 多仓库、多通道 Webhook |
五常见问题
六在 Mac mini 上跑通这条链更省心
Webhook、Gateway 与 SSH 在 macOS 上靠 OpenSSH、launchd 即可低开销常驻;M4 / M4 Pro 统一内存与高 IO 减轻审计与工件写盘压力,待机约数瓦适合 7×24 入站。Gatekeeper、SIP、FileVault 叠加,暴露面也小于常见 Windows 跳板。
若要把五地策略、扩盘与总账一次对齐,用静音稳定、原生 Unix 的 Mac mini M4 跑同一套链最省事。现在就把远程 Mac 从「能连」升级到「可审计、可算账」——点击文末卡片或浮窗前往 kvmmac 首页,了解 Mac mini M4 云主机方案。
入站分环境密钥;认证回环加短 TTL;隧道L1–L3;成本用 1TB/2TB 与机型绑保留策略。下一步:跑一轮完整上架画磁盘曲线再调参。