Controllerは軽量Linux VPS、Xcodeと署名はクラウドMacへ寄せるハイブリッドが現実的です。インバウンドが無いMacでは、外向きJNLP/WebSocketを先に固めます。
なぜControllerは軽量VPS向きか
キュー・権限・プラグイン・永続ディスクはController側へ。CPUピークはUIとGroovyに寄りがちで、固定DNSと証明書をVPSに置くと運用が単純になります。
クラウドMacエージェント:JNLP逆接続で押さえる4点
HTTPSでControllerへ外向き接続し、agent.jarとRemotingの版揃え、TLSチェーン、プロキシ許可、channel resetの擬似健全ログを押さえます。開通後30〜60分チェックリスト、キャッシュ対ローカルNVMe比較も参照。
起動はjava -jar agent.jar -jnlpUrl … -secret … -workDir ~/jenkins-agentの形が典型です(シークレットはUIから都度再発行)。
シークレット分離
ノード秘密とGit鍵は分離し、短命トークン+用途限定キーチェーンに閉じる。
エンタープライズ・リソースプール実装チェックリスト
未チェックは次スプリントの負債として扱います。
| 項目 | 受け入れ基準 |
|---|---|
| ラベル/同時実行 | 最大ExecutorとキューSLOを文書化 |
| 証明書・Xcode | イメージ版+ロックを変更票へ紐づけ |
| ログとロールバック | エージェントローテ+Controllerログ保持、プラグインとDBスナップショットで復元検証 |
読み取り専用ジョブでJNLPを固めてから署名を開放。夜間に尾遅延とIOを測り、昼の同時実行を上げる。
クラウドMac mini なら、Mac側のトポロジが「地味に堅い」
XcodeとキーチェーンはmacOSが最も素直で、ユニファイドメモリはリンクとSwiftのピークを和らげます。待機電力およそ4WのMac mini M4はウォームエージェント向き。Gatekeeper/SIPで無人署名ホストの面も固められます。
JenkinsのMac実行器を2026年仕様に揃えるなら、VPSSparkのクラウドMac mini M4は現実的な起点です——プランを今すぐ確認し、ControllerはVPS、算力はクラウドへ。