Короткий цикл CI 2026: вторая линия macOS или Linux-агенты

Когда спринт сжат до нескольких дней, узкое место почти всегда одно: очередь на macOS-runner и стоимость минуты Apple-железа. Команда выбирает между двумя «быстрыми» ходами — открыть вторую macOS-линию в том же оркестраторе или вынести часть job на Linux-агенты. Оба варианта снижают ощущение блокировки, но по-разному бьют по бюджету, границам секретов и поддержке. Ниже — компактная матрица и FAQ без маркетинговой магии: только то, что помогает принять решение до дедлайна.

2×

Типовой прирост параллелизма при второй линии

−40%

Частая экономия минут при вынесении lint/тестов на Linux

Минимум отдельных областей доверия для подписи

Очередь и стоимость: что реально измерять

Сравнивайте не «среднюю длину очереди», а p95 времени от push до зелёной сборки в часы пиковых мержей. Вторая macOS-линия снижает хвост, если узкое место — конкуренция за один пул. Вынесение job на Linux дешевле по минуте, но выигрыш появляется только когда эти job не ждут артефактов, собранных на Mac, и не тянут за собой дублирование окружения. Зафиксируйте две метрики: минуты macOS в день на ветку и число блокирующих gate до merge — иначе спор уйдёт в субъективные ощущения.

Матрица решений

Используйте таблицу как чеклист на планировании, а не как догму: ваши лицензии Xcode, политика ключей и SLA релиза могут сдвинуть приоритеты на одну строку.

Критерий	Вторая macOS-линия	Job на Linux-агентах
Очередь на пике	Сильнее режет хвост, если узкое место — сам пул Mac	Помогает, если Mac занят только сборкой/подписью
Стоимость минуты	Выше; окупается при частых блокирующих gate на Mac	Ниже для lint, юнит-тестов без UIKit, контейнерных проверок
Секреты и подпись	Проще держать сертификаты в одной зоне доверия	Нужны отдельные токены/роли; риск «размазать» доступ
Дрейф среды	Меньше расхождений с прод-сборкой Apple	Выше риск «зелёно на Linux, красно на Mac» без кэша артефактов
Время внедрения	Часто быстрее, если runner уже стандартизирован	Дольше, если нужно разделить репозиторий и артефакты

Практическое правило

Если job обязан видеть Keychain, Simulator или нативный linker Apple — оставьте его на macOS. Всё, что сводится к статическому анализу, контейнерным тестам и проверке манифестов, чаще дешевле и безопаснее по секретам вынести на Linux с минимальным набором прав.

Изоляция секретов

Вторая линия на том же Mac-пуле редко требует новых ролей в секрет-хранилище: вы масштабируете ёмкость, а не периметр. Когда job уезжают на Linux, почти неизбежны отдельные machine identity, scoped tokens и политика «Linux никогда не получает ключ подписи App Store». Зафиксируйте в runbook, какие секреты строго macOS-only, какие могут быть read-only на Linux (например, доступ к публичному API метаданных), и где проходит граница артефакта после сборки. Это дешевле, чем расследование утечки после спринта.

Для пиков нагрузки и выбора пула self-hosted runner на macOS см. Короткие пики CI в 2026: эластичный пул облачных Mac или постоянные узлы? Чеклист по сети и минимальным токенам при регистрации runner — в статье про короткий цикл CI и токены.

FAQ

Можно ли «навсегда» оставить только Linux?

Для Apple-платформ — нет, если нужна нативная сборка и подпись. Linux закрывает вспомогательный контур, но не заменяет macOS-gate перед релизом.

Не удвоится ли администрирование при второй линии?

Если линии используют один и тот же образ и те же лимиты ресурса — прирост операционных затрат небольшой. Проблемы начинаются, когда версии Xcode расходятся между линиями.

Как не потерять день на споре в чате?

Один день данных по p95 и стоимости минуты обычно снимает философию: либо покупаете параллелизм на Mac, либо переносите доказуемо «не-Apple» job на Linux с отдельной матрицей секретов.