2026年短週期突發建置併網：雲 Mac 開通後 Runner 註冊、網路自檢與最小權限令牌的 30–60 分鐘落地清單與 FAQ

短週期突發建置最怕「機器到了、流水線還在等人」。雲 Mac 開通後，真正的併網門檻往往不是 CPU，而是 Runner 是否穩定註冊、出口與 Git／製品站是否可預測、以及憑證是否收斂到最小權限。下面這份 30–60 分鐘清單把動作拆到分鐘級，方便你貼進工單或值班群組；若你接下來要優化快取與磁碟策略，亦可延伸閱讀：2026 短週期雲 Mac CI：遠端建置快取（DerivedData／Pods／sccache）對比節點本機碟——冷啟動、同步頻寬與複用決策矩陣（可執行參數清單）。

30–60 分鐘落地節奏（可直接貼工單）

把「可連線」升級成「可併網」：先讓 Runner 以服務身分穩定存活，再做對外依賴的探測，最後才切到最小權限憑證。這樣排障時不會把「DNS 慢」誤認成「編譯慢」。若你要在雲 Mac 上校驗守護行程與 launchd 行為，亦可對照：2026在雲Mac上部署OpenClaw：與Linux雲主機不同的環境校驗、launchd後台常駐與可復現排障FAQ。

Runner 註冊：服務化與「重開機仍在線」

互動式登入完成註冊後，立刻把程序收斂成 launchd／服務管理，避免人員登出後 Runner 跟著消失。標籤建議同時寫上地理區、映像版本與用途（例如 mac-ci-prod-sea），方便後續在尖峰期做節點篩選與熔斷。

網路自檢：把 DNS、TLS、Git 握手拆開量

在雲節點上依序驗證：DNS 解析是否命中預期上游、443／22 出口是否被攔、公司代理是否需要額外信任鏈。對 Git 建議先做淺克隆與單次 fetch，再測子模組域名；對製品站則用小型上傳／下載探針確認雙向頻寬與簽名假設一致。

# DNS 與 TLS 握手（觀察是否反覆重試）
dig +short git.example.com
curl -I https://git.example.com

# Git 淺克隆（驗證憑證與 LFS／子模組入口）
git clone --depth 1 https://git.example.com/org/repo.git /tmp/repo-smoke

# 製品站小型物件（驗證上傳與 Content-Type 假設）
curl -fSLO https://artifacts.example.com/path/to/tiny.bin

若倉庫位於跨區副本，建議把「解析結果所屬區域」寫進工單欄位，避免 Runner 被 DNS 導到意料之外的 POP 而拉長 RTT。遇到雙堆疊網路時，先確認 IPv4／IPv6 哪一條實際承載 Git 流量，免得探測命中閒置路徑卻誤判為「平台沒問題」。

最小權限令牌：把「能做事」拆成三張卡

實務上我們會把權限拆成：只讀原始碼、可寫入製品與快取、以及極窄的管理面（例如僅註冊 Runner）。PAT 與 Deploy Key 不要共用同一枚「全能權杖」；若平台支援 OIDC，優先把長效密文移出節點磁碟，改為短時憑證交換。輪替時保留舊憑證 24～48 小時的重疊窗口，避免尖峰期被自己的輪替打斷。

FAQ：Idle、慢拉取與 401 誰先查？

Runner 顯示 Idle 但工作不派發：先確認 workflow 標籤是否與 Runner 標籤精準匹配，再看組織層級是否把該 repo 納入允許清單。克隆極慢：先比對 DNS 與代理，其次檢查是否誤開完整歷史或 LFS 全量。401／403：先核對時鐘偏移與令牌過期時間，再確認細粒度權限是否漏開「Checks」或「Packages:write」這類窄權限。