只写 github.com 为什么 clone 仍会卡住?

包体与实际 blob 往往在 codeload.github.com 或通过 objects.githubusercontent.com 等 CDN 主机提供；仅用浏览器能打开 github.com 不代表 git 二进制通道也走了同一代理策略。

GitHub Actions 在云上 Runner 怎么用 Clash?

GitHub Hosted Runner 无法控制宿主机出站；若在自托管机器上运行 Runner，可把该机器的 SYSTEM／服务账户流量纳入 TUN 或在作业步骤里对齐 HTTPS_PROXY／NO_PROXY；托管 Runner 只能从镜像、私有缓存或更近 region 迂回。

raw.githubusercontent.com 为什么单独要写规则?

安装脚本与小文件补丁常直接从 raw 域名拉取，路径与 Web UI 完全不同；它被宽泛直连或错误分组时会出现「浏览器能看图、脚本却 ETIMEDOUT」的典型分裂症状。

GitHub clone／Actions 总超时？Clash 分流仓库与 CDN（2026）

为什么桌面能开仓库页，terminal 仍然 GitHub clone 超时

在跨境或受限链路里，GitHub clone 超时和GitHub Actions 失败经常成对出现：本地 git clone 进度条走到一半停住，CI 日志里下载缓存或工件时反复 timeout，而同一时间用浏览器点开同一个仓库主页却飞快。根本原因通常不是「Git 坏了」，而是HTTP(S) 出站分流不一致：git 客户端访问的主机名集合比你在地址栏看见的 github.com/repo 大得多，其中包含codeload.github.com、各类 githubusercontent.com、以及大量落在 objects 或 release asset 名下的CDN 边缘。若Clash 分流只靠一条「github.com→代理」或使用过于宽泛的 GEOIP 把整块大陆流量直连前送，就会把半截流量留在弱路由上——看起来就像 sporadic GitHub Actions 红叉。

本文和你一起把链路拆成语义清晰的域名层：先对齐本机 Terminal与企业自托管 Runner是否果真走了同一出站，再列出 clone／LFS／raw.githubusercontent.com补丁／artifact 链路里常被遗漏的后缀，最后给出一套可插在现有订阅之上的 YAML骨架与国内／公司直通例外。mode: rule 与时间顺序不熟可读路由总览；若要连带 Node 镜像与 tarball，可并排参考 npm／registry 分流；容器内拉依赖则接上 Docker Desktop 与 Clash。

Git 与 Actions 各自会打哪些域名

一次git clone https://github.com/org/repo.git通常不会只跟一个服务器对话：Dumb HTTP 与 Smart HTTP 组合下你会看到 github.com 上的授权与重定向引用，随后在传输 pack 时出现 codeload.github.com 或等价路径；启用 Git LFS 时又会在 objects.githubusercontent.com、media.githubusercontent.com（以及迁移期可能出现的其它资产桶）之间跳转。若在 CI 中使用 actions/checkout@v4 再配合缓存动作， Runner 还会继续访问 pipelines/actions cache 相关 API 前缀与CDN 前缀——具体主机名请以你打开 GIT_TRACE_CURL=true 或 Runner 自带的网络日志为准，但思维模型是：把你在verbose 日志里看见的每一个外链 FQDN 都当作一等公民写入规则草稿。

另一个高频痛点是直接从raw.githubusercontent.com抓取安装脚本或配置片段：curl 的目标与浏览器访问 Releases 页的 GraphQL／REST 前缀并不相同；被错误归入直连或走错节点时最容易出现「单行脚本永远下不完」。这与依赖安装里看见的 objects.githubusercontent.com 大 tarball 语义接近，都适合与「Git／GitHub CDN」归为同名策略组统一管理，再根据业务把公司合规镜像放在更高优先级 DIRECT。GHCR（ghcr.io）若与你 Workflow 耦合，可把容器注册表后缀并排纳入该组尾部，以避免构建阶段与其它 Docker Registry 分叉。

提示：Git 2.x 在某些环境会使用 Git Protocol v2 聚合请求，外层仍落在 HTTPS——因此不要假设「少用 HTTP／2 就能躲过审查」；排障时请始终以上层看到的DNS 主机名为准。

本机开发与 GitHub Hosted Runner：能做什么、做不了什么

在个人笔记本上，你可以选择 TUN 模式让内核替你接管未显式配置的进程，再配合 GEOIP／GEOSITE 国内直连前缀，减少误伤——细节见 TUN 与全局权衡。但在GitHub Hosted 的虚拟机里你无法安装宿主级 Clash，也不能改微软数据中心的出站表；此时的「代理」多半是换 region、镜像依赖、或使用企业提供的私有缓存与中继。只有把 Runner 装在可由你编排网络的机器（裸金属／内部云虚拟机／办公室工作站）时，才让「在同一套Clash 规则下运行 actions-runner」成为可能：要么让服务账号流量走宿主 TUN，要么在 systemd／launchd unit 注入与手动 shell 相同的 HTTP(S)_PROXY 与NO_PROXY 列表。

企业场景里常与「必须直连公司镜像」共存：请将内部 git.corp.example 与大陆代码托管后缀写在规则靠前位置，再给公开 GitHub 后缀挂 GITHUB_OUT 组。WSL2 与远端容器开发可参考 WSL 路由／MTU 专文：127.0.0.1在命名空间语义下经常不是你想象的那个 Clash 端口。

YAML 示意：GIT／GitHub CDN 专用策略组

下面片段是教学用骨架：把占位组名改成你订阅里真实存在的节点选择器，并在「公司／国内」段落后插入你的私有后缀。远端规则集会覆盖哪些关键字，请参阅 Rule Provider 排障笔记，避免远端集与手写行互相打架。

proxy-groups:
  - name: "github-out"
    type: select
    proxies:
      - "稳定跨境"
      - "DIRECT"

rules:
  - DOMAIN-SUFFIX,corp.git.example,DIRECT
  - GEOIP,cn,DIRECT,no-resolve

  - DOMAIN-SUFFIX,github.com,github-out
  - DOMAIN-SUFFIX,githubusercontent.com,github-out
  - DOMAIN-SUFFIX,codeload.github.com,github-out
  - DOMAIN-SUFFIX,raw.githubusercontent.com,github-out
  - DOMAIN-SUFFIX,objects.githubusercontent.com,github-out
  - DOMAIN-SUFFIX,media.githubusercontent.com,github-out
  - DOMAIN-KEYWORD,github-production,github-out
  - DOMAIN-SUFFIX,ghcr.io,github-out

  - MATCH,兜底策略

合规与安全：请遵守你与雇主签署的出境与数据处理政策；对生产密钥与 PAT 建议使用最小权限令牌，并保持 TLS 校验开启。若为 fake-ip／DoH 组合，请先确认没有把 GitHub DNS 劫持进污染前缀。

实测：从Verbose到连接面板逐项对照

不要凭记忆补规则。推荐流程是：GIT_CURL_VERBOSE=1 GIT_TRACE_PACKET=1 搭配一次浅克隆或大仓 fetch，截取第一次失败前的 host；然后在 Clash 客户端连接列表双击确认命中策略是否真的是 github-out。对工作流可复制最小 job：先在 run 里curl -I 几个关键 URL，再上真实下载步骤。LFS batch若返回 429 或其它速率限制，本质是出口身份被配额约束——换低频稳定节点往往比再把域名写两遍更有效。

固定一个低频切换的跨境节点作为对照样本，关掉自动 failover，避免误判。
在无本地克隆缓存的机器上跑一次完整 git clone --depth 1，记下第二个及以后出现的 CDN 后缀。
单独用 curl -fL https://raw.githubusercontent.com/用户名/仓库/HEAD/README.md 验证raw.githubusercontent.com是否命中同源策略。
对 Actions：在自建 Runner上跑一次拉缓存步骤，逐项把日志里的下载 URL hostname 归入 github-out。
恢复「国内／公司前缀优先」的顺序后复检，确认没有把内部 npm／Docker Registry 顺带送去跨境。

DNS、fake-ip 与 half-proxy 症状

当出现「第一轮握手成功随后长时间无字节」这类 half-open 状态时，一半是节点质量问题，一半是DNS／路由环：例如终端仍指向公司 DNS却走了代理出口。fake-ip 与环境变量HTTPS_PROXY混用时也容易出现「只对某些进程生效」。若延迟测试全盘飘红可先读 DNS／UDP／STUN 专文。另一条线索是IPv6-only路径：必要时在测试中暂时关闭不匹配隧道的 IPv6，确认是否误走了不同默认路由。

常见问题补充

配置了 http.proxy 为什么在 IDE 内置 Terminal 里仍超时？

IDE 可能对子进程环境做了净化；优先考虑 TUN 或在 IDE 的运行配置里对齐与系统 shell 完全相同的一组变量。Clash Verge／Mihomo Party的系统扩展若未获准，也会让「看起来勾选过」的代理形同虚设——安装类排障可看各平台装机专文索引。

能否只靠镜像站绕开整条 GitHub？

镜像可以加速克隆，但要注意PAT／组织策略与LFS／私有子模块是否仍会把流量指回官方域；最安全做法是把镜像直连写在前面，再给官方后缀保留代理兜底，而不是完全删除官方规则。

Actions 报错 download failed 是否与代理无关？

有时是权限：GITHUB_TOKEN对工作流可见资源范围不足或跨仓调用未放行；有时是 Runner 配额；但在跨境链路里请先排除CDN 半程直连再归因 IAM。

把 GitHub FQDN 表当作「与锁文件同级别」的基础设施

当你把克隆与工作流中出现的 hostname 记录在本地rule-provider里，就能把GitHub Actions 失败从玄学变成可追溯的补丁：谁在新增 asset 后缀、谁又引入了新的 CDN 关键字，都能在 PR 里说清楚。LFS／monorepo与工作流镜像会把并发打到极致，越早统一Clash 分流越容易稳定夜间构建。

再次声明：本文仅讲解网络工程排障层面的域名分类与出站顺序，不提供规避监管或绕过雇佣协议的策略；请以法务与安全团队核定为准。

小结

GitHub clone 超时与 Workflow 卡顿，多半来自codeload、raw.githubusercontent.com、objects／media CDN等与浏览器首屏非同域的后缀没被统一归入同一出站；宽泛直连抢在专用规则前面时，会像随机数一样让 Actions 间歇失败。ClashSource延续 Meta 内核可读的 YAML 表达，把这些后缀讲清楚后，再配合订阅自检与节点选择就能把「半截代理」拆掉；相比只依赖单次环境导出或插件式方案，它对 Terminal、自建 Runner、LFS 与多阶段下载更一致，也方便与已有的 registry／Docker同名策略组并排维护。raw.githubusercontent.com单行脚本、tgz 大件与克隆通道都能落在一份可演进的规则草稿里——若你希望把链路一次跑顺，可先打开本站下载页选择与系统匹配的桌面端，按上文步骤复检连接命中。立即免费下载 Clash，开启流畅上网新体验