2026 六區遠端 Mac「簽署出口機 vs 全量建置機」分拆：match 唯讀掛載、ASC 同區與最小租期 FinOps 決策矩陣

六區遠端 Mac 上「簽署機與建置機不分拆」會踩的六類硬傷

1. 鑰匙圈脈絡被建置污染：Simulator 並行、Ruby 版本漂移或 Homebrew 升級常在同一使用者工作階段改動 PATH；當夜間任務緊接執行 xcodebuild -exportArchive，失敗叢集常被誤標為「憑證壞了」，實為工作階段混用。
2. match 多重寫入來源：六區各放一台「能簽就能改」的伺服器，等於把 Git 加密儲存庫變成分散式衝突域；沒有互斥鎖的並行 lane 會在高峰期製造憑證分叉 PR。
3. ASC 出口與工作階段漂移：Transporter／altool／API 混用時，若互動式登入發生在 A 區、上傳卻在 B 區出口重複使用舊 cookie，常見症狀是偶發 401／逾時而非穩定失敗，除錯極耗牆鐘。
4. 磁碟與 IO 爭用：DerivedData 與 .xcarchive 同碟競態時，公證與 stapler 階段對循序寫入放大敏感；建置峰值把簽署視窗擠到佇列尾端，發佈 SLA 直接受損。
5. 租期帳實不符：簽署機實際只需「每週三小時上傳視窗」，卻被月租全堆機綁架；FinOps 看不到簽署上線分鐘與建置牆鐘的分項科目。
6. 稽核粒度不足：合規常問「誰在哪台宿主機上觸發哪次匯出」；萬能機日誌裡建置與簽署執行緒交錯，難以給出可引用時間軸。

本篇與《憑證輪換與多節點一致性》分工：該文講輪換事件與回滾視窗；本篇講拓撲與讀寫邊界——先把伺服器角色寫對，再談 rotate。

另一個常被低估的變數是網路政策不對稱：企業 Proxy 往往對 github.com 與 contentdelivery.itunes.apple.com 走不同出口；把重編譯與 ASC 上傳綁在同一「政策群組」下，會在旺季把偶發抖動放大成全隊停發。分拆後你可在建置側接受「多映像來源、多快取層」的積極策略，而在簽署出口側維持窄白名單與固定 DNS 視圖，兩者互不拖累。

維運上亦須正視組織行為：當「誰都能 SSH 上去改一下 lane」成為常態，簽署機會退化成共用開發機；沒有變更單與唯讀掛載兩道閘，任何緊急 hotfix 都會以「臨時提權」名義永久改寫拓撲。文件必須載明逃逸視窗與二十四小時內收斂條款，否則分拆架構只在紙面成立。

資安與營運常會追問程式碼與構件的血緣：當簽署與編譯共用同一使用者設定檔，難以證明「輸出二進位僅由已知 Git 提交與已知 Xcode 組態產生」。分拆後，建置池可輸出帶提交雜湊與建置矩陣指紋的 manifest；簽署機只做驗證、簽章與上傳，稽核邊界因而較清晰。

決策矩陣：單機全堆 vs 雙機（簽署／建置）vs「CI 建置池＋固定區簽署」

評審時請在每格附上證據連結（流水線 YAML、鑰匙圈匯出稽核、ASC 上傳日誌片段），避免「我們覺得差不多」。

六步落地 Runbook：從「口頭兩台機」到可回滾工單

1. 描繪資料面與控制面：列出 match 儲存庫、ASC API Key、Transporter 工作階段、notary 金鑰四類物件；標註讀寫與允許出現的伺服器角色。
2. 為建置池加唯讀閘門：在 CI 以唯讀磁碟區或 git clone --depth 1 取用 match；任何需要 match nuke 類操作必須走人工發佈單。
3. 固定簽署機大區與 DNS 出口：將互動式登入、上傳與（若需要）瀏覽器合規問卷放在同一區域；對照TestFlight 六區清單記錄 RTT 與失敗叢集。
4. 設定互斥與鎖：對「會改 match 或鑰匙圈」的 lane 使用外部鎖（例如 CI 資源鎖或佇列深度等於一）；並在日誌列印鎖持有者 ID。
5. 構件雜湊交接：從建置池到簽署機只接受附 SHA256 清單的封裝；拒絕「隨手 scp 最新」。
6. 租期回填財務：將簽署機上線分鐘寫入與建置牆鐘不同的科目；峰值以日租／週租補建置池，而非盲目加簽署機。

第 3 步與第 5 步之間建議插入預檢指令稿視窗：在簽署機解封前執行固定版本的 spctl／codesign 自檢與雜湊對帳，任何版本漂移須在變更單顯式載明，而非「昨晚有人 brew upgrade」。此步可吃掉大量「公證突然不過」的假陽性。

若你已實踐乾淨可重現建置，可把快照策略僅綁在建置池，而簽署機採較慢節奏的 gold image：簽署側映像九十天不變、建置側七天一滾動，兩者以文件化的相容矩陣對齊，而非強迫同一 cadence。

# 虛擬碼：CI 側取用 match（唯讀）與簽署側寫入分離
jobs:
  build_pool:
    env:
      MATCH_READONLY: "true"
      MATCH_GIT_BASIC_AUTHORIZATION: "***read***"
    steps:
      - run: bundle exec fastlane match appstore --readonly
      - run: xcodebuild archive ...
  signing_export:
    needs: [build_pool]
    runs_on: dedicated_signing_host_sg  # 與 ASC 工作階段同區示例
    env:
      MATCH_READONLY: "false"           # 僅維護視窗開啟
      UPLOAD_LOCK_ID: "asc-session-sg"
    steps:
      - run: ./verify_sha256_manifest.sh
      - run: xcodebuild -exportArchive ...
      - run: xcrun notarytool submit ...

三條應寫進 Grafana／評審紀要的量化口徑（請以你的日誌取代示例門檻）

• 簽署視窗牆鐘占比（Sign-window wall %）：統計每週實際花費在 exportArchive、notarytool、上傳與合規問卷的分鐘數，占簽署機總上線分鐘的比例；若連續三週低於 8% 卻仍月租全堆，應考慮將簽署機降規或改短租疊加。
• match 寫入衝突計數：監控 Git 側「非快進 push 失敗」次數與並行 lane 數；任何非零都應觸發寫入來源收斂評審，而非讓工程師各自 --force。
• 跨池構件雜湊不一致率：對從建置池遞到簽署機的每個封裝計算 SHA256；若不一致率高於你定義的門檻（例如 >0.1% 工件），優先懷疑快取掛載漂移或傳輸途中改碼，而非先懷疑 Apple 側。

為何「臨時借一台峰值機當簽署機」或「全員本機都能 match decrypt」往往比不分拆更危險

臨時峰值機缺少gold 映像與稽核指令稿，最容易在 hotfix 深夜把除錯版描述檔帶進上傳鏈；事後覆盤常發現不是 ASC 抽風，而是鑰匙圈裡多了一張過期的 intermediate。

全員本機 decrypt 則把機密平面攤到不可控端點：筆電睡眠、VPN 抖動與企業 Proxy 差異會把「能簽」變成不可重複的隨機事件，FinOps 亦無法對租期做科目分攤。

相對這類權宜之計，當你需要在六區之一落地獨佔 Apple Silicon、可把簽署出口與重編譯實體拆開，並將租期切成基線＋峰值、讓 ASC 工作階段與上傳出口維持同區同政策時，MACCOME 雲端 Mac mini通常更易把「分拆」寫成可驗收工單：節點涵蓋新加坡、日本、韓國、香港、美國東部、美國西部等關鍵區域，按日／週／月／季組合彈性租期，先把低熵簽署面坐實，再讓建置池追求吞吐，而非在同一台伺服器上互相踩腳。

收束：將「讀寫邊界」寫進 ROUTING.md，而非只寫主機名稱

分拆的交付物不是更多機器，而是三張表：資料面讀寫表、ASC 工作階段與出口對照表、租期與上線分鐘科目表。新人到職首日應能回答：我的 job 會不會觸發 match 寫入、上傳從哪一區出口、失敗日誌要貼到哪張表。

與Fastlane 峰值租期文並讀時請記住：租期策略必須能對應到角色機，否則「日租補峰值」只會變成「多租幾台萬能機」，成本曲線不會下降。

收尾五分鐘請核對兩件事：match 是否仍單一寫入來源、簽署機是否仍與 ASC 工作階段同區；否則六區節點再多，也只是把混亂地理分散式備份了一份。