Jenkins 混合拓撲 | Controller 輕量 VPS、雲 Mac Agent 與 JNLP 回連

把 Jenkins Controller 放在一台輕量 VPS 上、把 Apple Silicon 建置能力放到雲 Mac Agent，是 2026 年很常見的一種「控制面小而穩、算力面彈性大」的混合拓撲。本文只談可執行取捨：為何優先 JNLP 回連、TLS 與密鑰怎麼拆、企業資源池上線前該勾選哪些項，以及如何與你現有的彈性池策略對齊。

Controller（建議單點）

443

Agent 出站回連埠

依標籤拆分的建置池

為什麼 Controller 更適合駐輕量 VPS？

Controller 負責佇列、權限模型與外掛生態，磁碟與資料庫寫入頻繁，但 CPU 尖峰往往來自後台頁面與 Groovy 解析，而不是編譯本身。把它放在固定公網入口的 VPS 上，可以取得穩定的 DNS、憑證與備份視窗；算力則交給帶 Xcode 與簽署材料的雲 Mac，避免在建置高峰時把 UI 執行緒與佇列爭用綁在同一台機器上。

邊界提醒

若團隊已大量使用 GitHub Actions 自託管 Runner，可以把 Jenkins 視為「需要更強編排與審批鏈」的補充層；彈性池與常駐節點的取捨可對照 2026年短週期峰值構建：GitHub Actions 自託管 macOS Runner 該用雲 Mac 彈性池還是常駐節點？延遲、快取與佇列的決策矩陣（可執行參數清單），再映射到 Jenkins 的 Label 與並發上限。

雲 Mac Agent：JNLP 回連要盯住的四點

雲機房裡的 Mac 往往沒有穩定入站公網，更穩妥的是讓 Agent 以 JNLP／WebSocket 方式主動出站連回 Controller 暴露的 443（或經反向代理後的同埠）。落地時務必核對：Controller URL 使用 HTTPS、憑證鏈完整、Proxy 僅放行必要網域，以及 agent.jar 與 remoting 版本與 Controller 主版本相符，否則會出現「節點在線但 channel 頻繁 reset」的假健康狀態。

典型 JNLP 啟動命令（範例，勿直接貼上密鑰）

# 在雲 Mac 上，使用節點頁面提供的 secret 與 agent 名稱
java -jar agent.jar \
  -jnlpUrl https://jenkins.example.com/computer/mac-pool-01/slave-agent.jnlp \
  -secret ******** \
  -workDir "~/jenkins-agent"

安全與權杖

將「連線 Jenkins 的節點密鑰」與「拉程式碼的 Deploy Key／PAT」拆分存放；雲 Mac 側用唯讀鑰匙圈或短期權杖注入，避免把企業主站憑證寫進全域環境變數。在輕量 VPS 上為對外端點做 TLS 終止、反代與升級回滾的節奏，可對照 2026 OpenClaw Gateway 生產化：`openclaw onboard` 向導要點、`openclaw doctor`／`openclaw fix` 排障、Nginx／Caddy HTTPS 反代與升級回滾（Linux 雲主機可復現步驟與 FAQ）中關於 HTTPS 與變更控管的思路，再收斂到 Jenkins 的發版與外掛凍結策略。

企業資源池落地清單（勾選版）

下面這張表適合列印成評審附件：左側是風險，右側是上線前最小閉環。把回連、憑證與權杖三件事做對，資源池才能真正承接企業發版節奏，而不是在第一次大版本夜建置時集體救火。

檢查項	目標	驗收口徑
Label 與並發	依產品線隔離建置池	同一 Label 下最大執行器與佇列 SLA 寫明
憑證與 Xcode 基線	可復現簽署	映像版本號與鎖定檔寫入變更單
出站與日誌	排障可觀測	Agent 日誌落盤＋Controller 側建置日誌保留週期
回滾	外掛升級可控	上一版外掛目錄與資料庫快照可還原

上線節奏

先用唯讀流水線驗證 JNLP 穩定性，再開放寫入權限與分發憑證；夜間用一組固定 Job 壓測佇列，觀察尾延遲與磁碟 IO，比白天「跟著感覺調並發」更省溝通成本。

混合拓撲的本質，是把「編排與合規」留在可控的小控制面，把「重編譯與簽署」交給可橫向擴容的 macOS 算力。把回連、憑證與權杖三件事做對，資源池才能真正承接企業發版節奏，而不是在第一次大版本夜建置時集體救火。

為什麼 Controller 更適合駐輕量 VPS？

雲 Mac Agent：JNLP 回連要盯住的四點

企業資源池落地清單（勾選版）

在雲端 Mac mini 上，這一切更順暢

混合拓撲裡的 macOS 算力，交給雲端節點更省心