1-5 無人期間中の許容可能なサービス低下を定義

本節では、前節までで整理した 運用体制・復旧手段・手動対応の限界 を前提に、
「無人期間（夜間・休日・長期休暇など）に、どこまでのサービス低下を許容するのか」 を明確に定義する重要性について整理する。
本記事でいう無人期間とは、即時の有人対応や判断が行えない時間帯 を指す。

1.背景と位置づけ

これまでの記事では、以下の点を段階的に整理してきた。

================================
・遠隔地・少人数体制では 即時復旧が常に可能とは限らない
・自動復旧が機能しないケースでは 手動復旧に依存する場面が残る
・無人期間中は、対応開始そのものが遅延するリスクがある
================================

このような制約条件がある以上、
「無人期間でも常に通常品質を維持する」ことを前提に設計・運用するのは現実的ではない。
そのため、あらかじめ 許容可能なサービス低下（Acceptable Service Degradation）を定義しておく必要がある。

2.許容可能なサービス低下とは何か

許容可能なサービス低下とは、以下を明確にすることを指す。================================
・無人期間中に発生してよい障害の範囲
・サービス品質がどこまで低下しても「緊急対応不要」と判断できるライン
・復旧が有人時間帯まで遅延しても許容される状態
================================

重要なのは、「障害を起こさないこと」ではなく「起きた場合の扱いを決めること」 である。

3.具体的な定義例

以下は、無人期間中における許容範囲の定義例である。

================================
・冗長構成の片系停止は許容（サービス継続が前提）
・性能劣化（レスポンス遅延・処理能力低下）は許容
・一部の非クリティカル機能停止は許容
・監視アラートは記録のみで即時対応不要
================================

一方で、以下は 許容不可 と明確に線引きする。

・データ消失・整合性破壊
・サービス完全停止
・セキュリティインシデント

4.仮想化（物理サーバー（ベアメタル）から仮想マシン（VM）への移行）におけるサービス低下の見落としポイント

物理サーバー（ベアメタル）から仮想マシン（VM）へ切り替える設計においても、
無人期間中の許容可能なサービス低下を考えるうえで注意すべき点が存在する。

一般的に、移行設計時には以下のような考え方が取られることが多い。================================
・物理サーバー（ベアメタル）の処理性能をベースラインとして算出する
・仮想マシン（VM）環境では1台あたりの処理性能低下を見込む
・台数を増やすことでスループットを同等、もしくは拡大する
================================

しかし実際のバーチャル環境では、
「台数を増やせば単純に処理能力も比例して増える」わけではない 点に注意が必要である。

特に以下のような要因が重なった場合、
期待していたスループットに達しない、あるいは想定外のサービス低下が発生することがある。================================
・サーバー台数増加に伴うネットワークスループットの上限
・サーバー間同期処理の増加による内部トラフィックの増大
・分散構成による DNS / NTP トラフィックの増加
・対向サーバー（DB・外部システム等）の処理負荷増加
================================

これらの影響により、
ネイティブハード時代の期待スループットを単純に足し算で適用すると、
ネットワークや周辺システムが先に限界を迎える ケースがある。

この状態で障害や切り替えが発生すると、本来は許容範囲と考えていた性能劣化が、================================
・レイテンシ急増
・タイムアウト多発
・二次障害の誘発
================================

といった形で顕在化し、結果的に 全体サービス停止へと波及する 可能性がある。

無人期間中の運用を前提とする場合には、

================================
・仮想化後の実効スループット
・ネットワークを含めたボトルネック
・障害・切り替え時に発生する付加トラフィック
================================

を含めて、
「性能劣化が起きた状態」をあらかじめ許容可能なサービス低下として定義できているか を確認しておくことが重要である。

5.冗長構成において特に注意すべき点

冗長構成を採用している場合でも、両系が同時に稼働し、片側の余力を待機系相当として見なしている運用 では注意が必要である。

平常時に両系でトラフィックや処理を分散している場合、切り替え発生時には以下のような事象が起こりやすい。================================
・フェイルオーバー時に一時的な処理スパイクが発生する
・セッション再確立や再試行が集中する
・バッチ処理や再同期処理が重なる
================================

これらを考慮せず、待機系の余力を過信した設計・運用 を行っていると、
切り替えを契機に待機側まで処理オーバーとなり、
結果として 冗長構成でありながら全停止に至る 可能性がある。

無人期間中にこの状態に陥ると、
本来は「許容可能なサービス低下」として扱えるはずの障害が、
即時対応が必要な重大障害へと転化する 点に注意が必要である。

このため、無人期間における許容範囲を定義する際には、

================================
・フェイルオーバー時の瞬間最大負荷
・処理スパイクを含めた性能余力
・無人期間中は切り替え自体を抑制する判断
================================

といった観点を含めて整理しておくことが重要となる。

6.定義しない場合に起こる問題

無人期間中の許容範囲が定義されていない場合、次のような問題が発生しやすい。

================================
・軽微な障害でも深夜・休日に呼び出しが発生する
・担当者ごとに判断が異なり、対応品質がばらつく
・結果として運用負荷が慢性的に高くなる
================================

これは、これまで整理してきた 「人に依存しない運用設計」 という流れとも矛盾する。

### SLO / SLA・運用ルールとの関係

許容可能なサービス低下は、以下と整合して定義する必要がある。================================
・SLA（Service Level Agreement）
・SLO（Service Level Objective）
・監視ルール・アラート閾値
・エスカレーション基準
================================

特に、「無人期間中はSLOを一時的に緩和する」 という考え方は、現実的な運用設計として有効である。
SLO は単なる品質目標ではなく、「無人期間中にどこまで我慢するか」を判断するための運用基準 として機能する。

まとめ

無人期間中の運用を安定させるためには、

================================
・無人期間の制約を前提として受け入れる
・許容可能なサービス低下を事前に定義する
・復旧タイミングと責任範囲を明確にする
================================

ことが重要である。

これはサービス品質を下げるための考え方ではなく、
「守るべき品質を確実に守るための線引き」 と言える。

本記事の内容は、次項目に対応します。
Link:IT infrastructure system operation for remote areas（遠隔地向け IT インフラ運用）
1-5 Acceptable service degradation during unattended periods is defined
(無人期間中の許容可能なサービス低下が定義されている)