要約
- TodoEnCloud は、単なる休眠企業やネットワーク記録ではなく、マドリードで稼働中のクラウドおよびマネージドサービス企業である。同社は2011年からパブリッククラウドを運営していると述べており、Tessi は2018年に事業を買収したと記録している。現在の登録、認証、ウェブサイト、ルーティングの証拠はすべて、継続的な活動を示している。
- 同社のスペインのパブリッククラウドは、ダークファイバーリングで接続されたマドリードエリアの3つのデータセンターに3つのゾーンとして提示されている。2025年11月の ENS 証明書では、サイトは Interxion (Calle Albasanz 71)、DATA4 (Avenida de la Industria 15, Alcobendas)、IPCore (Calle Marzo 16) と特定されている。これらは独立した施設運営事業者であり、TodoEnCloud は建物、変電所、発電機ではなく、サービス機器とネットワーク層を所有または管理しているように見える。
- AS201346 は2026年7月12日、1,024アドレスをカバーする4つの IPv4 /24経路を発信した。RIPE のコレクターは、Cogent、Lumen、NEAR IP に関連する3つの隣接アップストリームネットワークを確認し、テストした経路には有効な RPKI 認証があった。これは重要な運用証拠であるが、IPv6 の表示と PeeringDB 記録がないため、相互接続状況にギャップが残る。
- 3つの施設は、顧客のコンピューティング、ストレージ、ネットワーク、アイデンティティ、管理、バックアップコンポーネントが意図的にそれらに分散配置されている場合にのみ有用である。TodoEnCloud は、設置サーバー台数、使用可能な CPU またはストレージ容量、サイトごとの余裕、過剰申込み、復旧性能、インシデント履歴、標準的なサービスレベルスケジュールを公開していない。したがって、施設の能力は、レンタルしたすべてのリソースがサイト障害を生き残るという証拠として解釈されるべきではない。
- 全体的な運用証拠は Strong、公的復旧証拠は Medium である。購入者は、法的な会社、親会社、サイト、認証、アドレス空間、アクティブルーティングを検証できる。しかし、購入者はクラウドをポータブルまたはサイト障害耐性として扱う前に、ワークロード固有のアーキテクチャ、電力とファイバーの境界、復旧ポイント目標と復旧時間目標、メンテナンスルール、サポートエスカレーション、スペアハードウェアポリシー、および時間制限付き退去テストを必要とする。
クラウドはマドリードの特定の3つの建物に集中している
TodoEnCloud の提案は、クラウドの下にある物理層を明示しているため、インフラ分析にとって非常に有用である。同社のパブリッククラウドページでは、サービスはスペインの3つのデータセンターに分散され、高速・低遅延のファイバーリングで接続され、3つのゾーンとして1つのアベイラビリティゾーン内で顧客に提供されると説明されている。同社のデータセンターページには、Digital Realty、DATA4、IPCore の名前が挙げられている。最も決定的なのは、2025年11月に発行された同社のENS 証明書で、マドリードの Calle Albasanz 71の Interxion、Alcobendas の Avenida de la Industria 15の DATA4 Group、Calle Marzo 16の IPCore データセンターが特定されている点である。
これらの場所は、主張を単なる図以上のものにしている。Digital Realty は Calle Albasanz 71を、マドリードの4施設ポートフォリオの一環としてMAD1 施設(8,280平方メートル)としてリストしている。DATA4 のマドリードキャンパスページは、MAD01 サイトを TodoEnCloud の証明書に記録されている同じ Alcobendas の住所に配置し、かなりの電力予備を持つキャンパスとして説明している。IPCore の自社施設の説明では、Calle Marzo 16に1,200平方メートルのキャリアニュートラルビルがあり、冗長電源と冷却、複数のファイバー投入口、24時間体制のリモートハンズがあるとしている。
したがって、物理的なパターンは、遠く離れたスペインの地域に広がる全国的な展開ではなく、マドリード都市圏のクラウドである。Albasanz と Calle Marzo はマドリード市内にあり、DATA4 は中心部の北にある Alcobendas にある。都市圏内の分離は、ラック火災、建物の停止、ローカルスイッチの障害、1つのユーティリティ接続の作業から保護することができる。しかし、地域的な通信障害、広範な電力システムの緊急事態、どこにでも展開されるソフトウェアの欠陥、共通のサプライヤーの問題、または1つのチームによって伝播される運用上のミスに対しては、それほど効果的ではない。
この区別は、都市圏設計への批判ではない。サイト間の低レイテンシは、同期的なストレージやクラスター化されたサービスを実用的にする一方、遠く離れた地域では遅延とコストが発生する。これは、障害が保証されるという点についての指摘である。ファイバーリンクされたマドリードのクラスターは、1つの部屋や建物の障害を乗り切るのに優れている。しかし、顧客が実際にそのようなリージョンを契約しテストしていない限り、数百キロ離れた独立したスタッフが配置された復旧リージョンと同等であると表現されるべきではない。
TodoEnCloud 自体は、3つのゾーンが1つのアベイラビリティゾーンを形成するという珍しい表現を使用している。クラウド用語はプロバイダー間で標準化されていないため、言葉だけではエンジニアリングを決定できない。顧客は実際の配置ルールを必要とする。3つのゾーンラベルを付けた3つの仮想マシンが、同じストレージアレイ、管理クラスター、ファイアウォールペア、またはバックアップカタログを共有できる場合、ラベルは分離を過大評価している。スケジューラーが各コピーを独立したストレージとネットワーク出口を持つ別々の建物に固定する場合、同じラベルが堅牢な設計を隠している可能性がある。結果を決めるのは語彙ではなくアーキテクチャである。
TodoEnCloud はサービス層を運用しており、物理的資産全体を所有しているわけではない
企業のアイデンティティは明確である。ウェブサイトのプライバシー通知は、マドリードの TODOENCLOUD S.L.を特定し、企業ディレクトリにあるものと同じ電話番号を記載している。商業記録によると、設立は2011年である。Tessi の2019年年次報告書は、フランスグループのクラウドアーキテクチャおよびデータセンターサービスへの拡大の一環として、2018年の Todo en Cloud の買収を記録している。TodoEnCloud のサイトでは、現在、そのサービスが Tessi の Innovation & Trust デジタルファクトリーの一部を形成していると述べている。
この親子関係は2つの方向で重要である。スペインの子会社単独の従業員数が示唆するよりも大きな企業コンテキストを提供し、Tessi の当初の買収発表では、この取引により TodoEnCloud のスペインの能力がフランスのホスティングプラットフォームと接続されると述べていた。しかし、親会社の所有権は、フランスの容量がスペインの顧客にとってライブフェイルオーバー先であることを証明するものではない。契約、レプリケーション設計、復旧テストでフランスのサイトが指定されていない限り、親ネットワークは委託された冗長性ではなく戦略的オプションに過ぎない。
企業ウェブサイト上の所有権表現には同様の注意が必要である。TodoEnCloud は「スペインにおける自社インフラ」と説明し、時には「当社の」データセンターと言及する。しかし、特定された建物は Digital Realty、DATA4、IPCore によって運営されている。より正確な解釈は、TodoEnCloud がサードパーティのコロケーション施設に展開されたサーバー、ストレージ、ネットワーク機器、ソフトウェアを所有、リース、または管理し、それらの事業者との契約に基づいて電力、スペース、物理的セキュリティ、サイトサービスを購入しているというものである。また、独自の光機器でファイバーを点灯しながら、ファイバーをリースすることもある。
この階層的な所有は正常である。地域クラウドで、本格的なサービスを提供するために変電所、コンクリートシェル、ディーゼルタンクを所有する必要があるところはほとんどない。結果として、責任は契約をまたぐ。Digital Realty、DATA4、IPCore は建物の警報に対応し、施設プラントを維持する。キャリアまたはファイバープロバイダーは外部ルートを修理する。TodoEnCloud は顧客プラットフォーム、ネットワークポリシー、おそらくは波長分割多重光層を運用する。ハードウェアベンダーはサーバー、ディスク、ネットワークカード、交換部品を供給する。Tessi は最終的に子会社を管理する。顧客はアプリケーション、データモデル、認証情報、購入した復旧設計を所有する。
通常の月では、これらの境界はほとんど見えない。インシデント発生時には、誰が部屋に入れるか、誰がスペアパーツを持っているか、誰がファイバー修理を承認するか、誰が顧客と通信するか、サービスレベルクレジットが発生するかどうかを決定する。プロバイダーは、すべての復旧ステップを直接制御しなくても、顧客に対して説明責任を負うことができる。重要な問題は、その契約、監視、エスカレーション権限が、プレッシャーの下でこれらの外部依存関係を管理するのに十分強力かどうかである。
証明書は定義された運用範囲を証明しているが、無制限の復元力を証明しているわけではない
TodoEnCloud は異常に具体的な認証証拠を提供している。現在のISO 27001証明書は、マドリード本社と2つのデータセンター住所(Albasanz 71、Avenida de la Industria 15)でのパブリック IaaS およびプライベート IaaS をサポートする情報管理システムを対象としている。有効期間は2024年7月から2027年6月までである。別のISO 27701証明書は、同じ活動と2つのサイトにおけるプライバシー情報管理システムを対象とし、2027年9月まで有効である。
後者の ENS 証明書はより広範囲である。3つの名前付きデータセンターすべてを記録し、パブリック IaaS およびプライベート IaaS をサポートするシステムがスペインの国家セキュリティスキーム(ENS)の Medium カテゴリに照らして監査されたとしている。これにより、同社の3サイトのマーケティングと外部監査範囲との間に日付付きの橋渡しが提供される。また、同社のセキュリティページに依然として ISO 27001が2つのデータセンターをカバーしていると記載されている明らかな矛盾も解消される。最も妥当な説明はタイミングである。ISO 文書は2つのサイトをリストするが、後の ENS 監査で IPCore が追加された。
認証は、ガバナンス、定義された範囲、監査人、有効期間を確立するため価値がある。しかし、容量を明らかにしたり、すべてのワークロードを高可用性にしたりするものではない。ISO 27001は情報セキュリティマネジメントシステムに関するものである。ISO 27701はプライバシー管理を拡張する。ENS Medium は、スペインの公共セクターの関連ニーズに応えるシステムに管理策を課す。これらの文書は、各建物でいくつのコンピュートノードが稼働しているか、顧客ボリュームが同期レプリケーションされているか、障害が発生したホストの交換にどれくらい時間がかかるか、特定のデータベースが最後の停止でどのように動作したかを示すものではない。
施設の認証は、プロバイダーの認証からも区別されなければならない。TodoEnCloud のデータセンターページでは、Tier III+または Tier IV 施設、N+1 コンポーネント、独立した変電所、バッテリーと発電機、99.95%から99.999%の可用性について広範な主張をしている。これらは、選択された事業者全体のサイト機能を要約しているように見える。公表された TodoEnCloud のサービスレベル契約ではなく、その範囲自体が大きく異なるダウンタイム許容範囲にわたっている。365日の年では、99.95%は約4時間23分の停止を許容し、99.999%は約5分15秒を許容する。顧客契約では、どの数値、測定ポイント、除外事項が適用されるかを特定しなければならない。
認証はまた、顧客がカバーされていると想定する依存関係を除外する可能性がある。ISO 証明書は2つの CPD を挙げているが、パブリッククラウドは現在3つを説明している。TodoEnCloud が販売するマネージド AWS または Azure サービスは、認証されたスペインのクラウドのみではなく、それらの外部プラットフォームに依存する。工場や街灯のエッジノードは物理的にマドリードの施設外にある。顧客自身のオンプレミスクラスターには、独自の電源とセキュリティ境界がある。したがって、範囲はサービスごとに読まれるべきであり、会社のロゴに普遍的なプロパティとして適用されるべきではない。
設置容量と使用可能容量は依然として非公開
最大の公的証拠のギャップは容量である。TodoEnCloud は、パブリッククラウド、プライベートクラウド、ベアメタル、Kubernetes、GPU インスタンス、バックアップ、ディザスタリカバリ、コロケーション、マネージド運用を提供している。顧客はスケーリングと従量課金が可能だとしている。しかし、コンピュートホストの数や世代、総物理コア、メモリ、アクセラレータ在庫、ストレージメディア、使用可能ペタバイト、通常の使用率、ラック電力、予約済みヘッドルーム、サイトごとの分布を公開していない。
これらの数値なしでは、購入者は設置容量と使用可能容量を区別できない。ラックにはサーバーが含まれているが、最大消費電力時にすべてのサーバーに十分な電力を供給するための確定電力が不足している可能性がある。ストレージクラスターは、パリティ、レプリケーション、スナップショット、リザーブが大きな割合を消費している一方で、生のドライブ容量を宣伝する可能性がある。パブリッククラウドプールには、全体的な CPU には余裕があるが、特定の形状に十分なメモリ、GPU、ローカルストレージがない可能性がある。プロバイダーは通常の運用中にもう1つのインスタンスを販売できるかもしれないが、サイト障害後にすべての生存ワークロードを吸収する余地がない可能性がある。
最後の区別が最も重要である。通常の日に使用可能な容量は、必ずしも耐障害性容量ではない。3つのサイトがそれぞれ安全な顧客負荷の60%で稼働しているとする。1つを失うと、不均等なワークロード形状、ストレージの局所性、ネットワーク制限を考慮する前から、2つのサイトがそれぞれ90%を負担しようとすることになる。これは回復可能かもしれない。通常の占有率が80%の場合、2つの生存サイトは120%に達する必要があり、負荷を捨てるか一部のサービスを停止しない限り不可能である。ここでの数値は例であり、TodoEnCloud の使用率の見積もりではない。これらは、サイト数のみでは復旧可能性が確立できない理由を示している。
ハードウェア在庫は別のギャップを生み出す。TodoEnCloud のプライベートクラウドオファーは、3ノードのデプロイから大規模なカスタマイズ環境まで、顧客のハードウェアまたはプロバイダー資金による機器を使用する。同社のベアメタルオファーは、クラウドスタイルの消費で専用の物理制御を約束する。これらのサービスは、任意の汎用仮想マシンを割り当てることで復旧できない。復旧には、同じ CPU ファミリ、メモリサイズ、ネットワークインターフェース、アクセラレータ、ファームウェア、ストレージ接続が必要になる可能性がある。倉庫に存在する交換ノードは、まだケーブル接続、設定、クラスターへの参加が行われていない。
公表価格も乏しい。プロバイダーは運用費用モデルとコスト管理を強調するが、コンピュート、ストレージ、エグレス、バックアップ、リモートハンズ、予約容量の一般的なレートカードは公開していない。これは、カスタマイズされた B2B アーキテクチャでは理解できる。つまり、ホスティングの経済性は提案書と契約で確立されなければならない。購入者は、電力価格の変動、ライセンスコスト、交換ハードウェア、バースト容量、サイト間トラフィック、外部トランジット、時間外労働がどのように請求書に反映されるかを尋ねるべきである。
小規模事業者は、大規模な製品カタログを避け、各環境を熟知しているため、ハイパースケーラーよりも経済的または行き届いたサービスを提供できる場合がある。また、不均一な調達に直面する可能性もある。1つのストレージコントローラーの障害、製造中止となったサーバーライン、遅延した光モジュールの注文は、フリートがコンパクトであるほど重要になる。したがって、信頼できる容量の議論には、数値と補充計画の両方が必要である。すなわち、委託されたリソース、安全に販売可能なリソース、障害に備えて保持するリソース、サプライヤーのリードタイム、すでに認定された代替品である。
ネットワークは目に見えてアクティブであり、単一のトランジット回線よりも多様性がある
ネットワークの証拠は、最も強力な独立した運用信号である。RIPE は2014年11月にAS201346を TODO EN CLOUD SL に割り当てた。同社はまた、アクティブな IPv4 割り当て185.77.132.0から185.77.135.255を保持している。2026年7月12日、RIPEstat のルーティングステータスビューは、4つの発信/24プレフィックス、1,024のアナウンスされた IPv4 アドレス、報告している IPv4 ピア全体での完全な可視性、アナウンスされた IPv6 スペースがないことを示した。
RIPE の観測された近隣データは、AS201346 のアップストリーム側に3つのネットワークを示した。AS174 (Cogent)、AS3356 (Lumen)、AS49600 (NEAR IP) である。代表的な/24プレフィックスには有効な RPKI 経路認証があった。CIDR Report も同様に、AS201346 が Cogent と Lumen の経路を通じて/22相当を発信しているのを確認した。これらの観測は、製品ページ単独よりも説得力をもって、アクティブなホスティングと経路の多様性を実証している。
それでも制限が必要である。BGP コレクターは、3つのアップストリーム自律システムが TodoEnCloud の経路を伝播していることを示すことができる。しかし、すべてのサイトが物理的に3つすべてに別々の進入路を持っていること、各キャリアが全トラフィック負荷を処理できること、または回線が共有導管、ミートミールーム、光プラットフォームを避けていることを示すことはできない。2つのキャリア契約が1つのメトロファイバールートに収束する可能性がある。3つの経路が1つのエッジシャーシに終端する可能性がある。ダークファイバーの切断は、パブリックプレフィックスが別の場所から到達可能なままでも、サイトを分離する可能性がある。
同社の登録されたルーティングポリシーも、観測されたネットワークよりも古いように見える。RIPE aut-num オブジェクトはインポート/エクスポートステートメントで AS35699 と AS201942 を挙げているが、ライブ観測では Cogent、Lumen、NEAR IP を示している。レジストリポリシーオブジェクトは通常、運用体制に遅れるが、この不一致は、管理テキストをライブトポロジマップとして扱うことに対する有用な警告である。経路保証を必要とする顧客は、現在のネットワーク図を入手し、フェイルオーバーをテストするべきであり、10年前のオブジェクトから推測すべきではない。
PeeringDB のパブリックネットワーククエリでは AS201346 のエントリは返されなかった。その欠如は接続性の悪さを意味するものではない。PeeringDB は任意の運用ディレクトリであり、トランジット中心のネットワークはリストなしでも機能できる。しかし、施設の存在、エクスチェンジ参加、トラフィックポリシー、公開ネットワーク連絡先を確認する一般的な方法の1つが失われる。同社のページ自体はインターネットエクスチェンジや複数の事業者へのリンクを宣伝しているが、AS201346 のエクスチェンジポートや容量については明記していない。
IPv6 の表示がないことは、より直接的なサービス上の疑問である。4つのライブ IPv4 ルートは従来のホスティングをサポートするが、現代のパブリックサービスを構築する顧客はネイティブデュアルスタックを必要とする場合がある。プロバイダーレベルのネットワークアドレス変換や別のアップストリームが、AS201346 ルートなしでも IPv6 を提供できる場合があるが、その設計は明示されるべきである。購入者は、仮想マシンやベアメタルサーバーで IPv6 が利用可能か、サイトフェイルオーバー時にアドレスがどのようにルーティングされるか、DDoS 対策が両方のプロトコルファミリーを同等に扱うかを尋ねるべきである。
ファイバーリングは一部の障害を軽減し、独自の修理問題を生み出す
TodoEnCloud は、サイトが同社が点灯する冗長なダークファイバーリングで相互接続されていると述べている。これはメトロクラウドのための妥当な基盤である。ダークファイバーは、オペレーターが光機器と容量を制御できるようにし、すべてのストレージレプリケーションや東西フローを従量制のインターネットトランジットに強制することを避ける。リングは、トポロジ、スイッチング、残りの容量が意図したとおりに機能する場合、1つのスパンが切断された後にトラフィックを別の方向に送ることができる。
「リング」という言葉は復旧テストではない。有用な質問はその下から始まる。2つの経路は別々のダクトと道路にあるか。それぞれの建物に異なるライザーを通って入るか。光デバイスは独立した電源から給電されているか。経路切り替えは自動か。障害検出と再収束にはどのくらいの時間がかかるか。生存している側はピーク時のレプリケーションと顧客トラフィックを処理できるか。計画メンテナンスでリングの一方が開放され、2度目の切断がクラウドを分割できる状態になることがあるか?
光を所有することとガラスを所有することの間にも区別がある。プロバイダーはキャリアから未使用のファイバーをリースし、独自のトランスポンダーを設置する場合がある。これにより、波長装置を制御できる一方、物理的な修理はファイバー所有者に委ねられる。ケーブルの断線には、道路アクセス、許可、接続作業員、施設、キャリア、都市間の調整が必要になる場合がある。修理の時間は物理的であり、サービスがクラウドと呼ばれても変わらない。
サイト間のレイテンシとパケットロスは、完全な停止を引き起こす前にストレージの動作に影響を与える。同期レプリケーションはリモート確認応答を待ち、リンクが劣化すると遅くなる可能性がある。非同期レプリケーションはローカルで継続できるが、リスクのある最近のデータ量が増加する。スプリットブレイン防止策は、2つのコピーが競合する書き込みを受け入れさせるのではなく、意図的に一方を停止する場合がある。顧客の観点からは、慎重なストレージ停止もダウンタイムであるが、整合性を保護するための正しい選択かもしれない。
TodoEnCloud は、個別のIP トランジット、DDoS、VPN サービスを宣伝している。これにより、1つのプロバイダーがコンピュートと接続の両方を管理できるため、責任が簡素化される。しかし、同じエッジ、サポートチーム、アカウント状態、ネットワーク自動化がすべてを制御する場合、障害が集中する可能性もある。回復力のある設計では、本番ネットワークや顧客パネルが利用できない場合でも使用可能なアウトオブバンドアクセスパスと通信チャネルを特定すべきである。
電力の復元力は顧客の実際のラック経路で止まる
3つの施設運営事業者は、堅牢な電源システムを説明している。Digital Realty のマドリードページでは、MAD1 に N+1 冷却を挙げている。DATA4 は、かなりの電気容量を持つ大規模なマドリードキャンパスを説明している。IPCore は2N UPS、バックアップディーゼル発電機、冗長冷却を宣伝している。TodoEnCloud は、選択された施設を、独立した変電所、別々のルート、UPS、バッテリー、発電機を備えていると要約している。
これらの機能は出発点を改善するが、電力はグリッドからワークロードまで追跡されなければならない。建物には2つのユーティリティ供給があるが、特定のケージには1つの配電経路しかない場合がある。ラックは A/B 供給を受けるが、サーバーは1つの電源しか持たない場合がある。デュアルコードのサーバーが両方のコードを誤って同じ上流のパネルに接続する可能性がある。発電機は重要な負荷をサポートできるが、冷却や重要でないエリアは異なる優先順位に従う。メンテナンスにより、一時的に1つの冗長コンポーネントが取り外される場合がある。
電力密度も使用可能なハードウェアを制限する。GPU やベアメタル製品は、古い汎用サーバーよりもラックあたりの消費電力がはるかに大きくなる可能性がある。未使用の床面積がある施設でも、別の高密度デプロイメントに必要なキロワット、冷却、バス容量が利用できない場合がある。TodoEnCloud の新しい GPU ページでは、オンデマンドの NVIDIA L4 および L40 リソースを宣伝しているが、在庫、ラック密度、アクセラレータ容量が1つのサイトか複数のサイトにあるかは明記していない。顧客は、即時スケーリングを、設置されたフリートに制限された商業的な約束として扱うべきである。
施設の発電機は燃料と再起動の依存関係をもたらす。短時間のグリッドイベントは、発電機が安定するまでバッテリーで対応できる場合がある。より長いイベントには、燃料在庫、給油の成功、継続的な冷却が必要である。完全な電力喪失後、コンピュート、ストレージ、ネットワークシステムは順序立てた再起動が必要である。ストレージはクォーラムを確立し、コントロールサービスが復旧し、顧客インスタンスはホスト容量を競う可能性がある。建物の電力復旧時間は、アプリケーションのリカバリ時間と同じではない。
契約上の測定ポイントが重要である。施設が TodoEnCloud のラックに電力を供給しているが、サーバー電源が故障した場合、顧客がダウンしている間も建物はサービスコミットメントの範囲内である可能性がある。サーバーは動作しているがストレージボリュームが利用できない場合、コンピュート稼働時間の指標はほとんど意味を持たない。購入者には、購入したリソースのエンドツーエンドのサービス定義が必要であり、計画メンテナンス、緊急作業、上流の除外事項が明確に記載されている必要がある。
ストレージ、バックアップ、ディザスタリカバリは異なる製品
TodoEnCloud のスペインのサービスカタログにはバックアップとディザスタリカバリが含まれており、これは高可用性コンピュートがバックアップを不要にするというふりをしていないため、良い兆候である。同社のクラウドサービスページでは、バックアップを異なるデータセンターに保存し、S3 互換のインターフェースでアクセスできるとしている。同じページでは、ディザスタリカバリを重要なデータ、システム、アプリケーションを復元するためのサービスとして提示している。
顧客は、これらの保護が基本リソースに含まれているのか、別途販売されているのかを知る必要がある。ホスト間でレプリケートされた仮想マシンは、1台のサーバー障害を乗り切る一方で、誤削除やランサムウェアをすべてのコピーに保存する可能性がある。同じストレージクラスター内のスナップショットはロールバックに役立つが、クラスターとともに失敗する可能性がある。別の建物の2番目のコピーはより強力だが、1つの資格情報セットまたは1つの管理プレーンにさらされたままになる可能性がある。不変またはオフラインのコピーは、別のクラスの障害から保護する。
目標復旧時点と目標復旧時間により、これらの製品は測定可能なコミットメントとなる。目標復旧時点は、失われる可能性のある最近のデータ量を決定する。目標復旧時間は、ビジネスが待機できる時間を決定する。どちらも「自動バックアップ」というフレーズや施設の数から推測されるべきではない。同期的にレプリケートされたデータベースは、ほぼゼロのデータ損失を目標とするが、パーティション中に停止する可能性がある。夜間バックアップは、建物の損失後に復元できるが、1営業日分のトランザクションを犠牲にする可能性がある。どちらの設計も、異なるワークロードに対して合理的であり得る。
復元テストが重要となる証拠である。これには、資格情報、暗号化キー、ネットワークポリシー、ドメイン依存関係、アプリケーション順序、復旧サイトで必要な容量が含まれるべきである。バックアップオブジェクトは、復旧されたサービスではない。復元が、障害が発生したのと同じ ID システム、管理コンソール、文書ストアに依存する場合、名目上は別のコピーでも、重要な瞬間にアクセスできなくなる可能性がある。
TodoEnCloud の公開ページでは、全体的な復元成功率、標準的な保持期間、サイト間レプリケーション間隔、不変コピーオプション、テスト済みの復旧時間を公開していない。これは機能が存在しないことを意味するのではなく、提供がカスタマイズされていることを意味する。顧客は、これらの詳細が設計上の会話からサービススケジュールと受け入れテストに移行するよう要求すべきであることを意味する。
サポート労働力は容量の一部
同社の中心的な商業的主張は、行き届いたアーキテクチャと運用である。ウェブサイトでは、8x5 から24x7 までのサポートオプション、24時間監視サービス、システム管理、移行支援、指名された技術連絡先を提供している。顧客の声は応答性を強調している。地域プロバイダーにとって、この人的レイヤーは、顧客のアプリケーションについて何も知らないチケットキューに対する真の利点となり得る。
人的容量も有限である。静かな午後のディスク交換は、多くのテナントに影響を与えるサイトインシデントとは異なる。監視は一度に数百のアラートを検出する可能性がある。エンジニアは原因と結果を区別し、施設スタッフと調整し、データの一貫性を保護し、ステータスを伝達し、復旧の優先順位を付ける必要がある。小規模なチームは非常に有能であっても、相関する障害によって飽和状態になる可能性がある。
公開資料には、シフトスタッフ、オンコール体制、エスカレーション対応、インシデント重大度の定義、リモートハンズのコミットメントは記載されていない。LinkedIn やビジネスデータの推定では、控えめなスペイン企業であることが示唆されているが、そのようなカウントは不完全であり、監査された従業員数として扱うべきではない。関連する購入者の質問は、総従業員数ではなく、03:00にこのサービスに対応できる資格のある人数、2人目がどれだけ早く参加できるか、サイトまたはキャリアの緊急事態を呼び出す権限を持つのは誰かである。
修理在庫は労働力をハードウェアに結び付ける。リモートハンズは、部品と手順が存在する場合にのみ、ケーブルの再接続や既知の故障ユニットの交換ができる。エンタープライズストレージコントローラ、適合ドライブ、プロプライエタリトランシーバ、GPU コンポーネントは長いリードタイムを持つ可能性がある。ファームウェアの互換性により、名目上の交換品が使用できなくなる可能性がある。マネージドプライベートクラウドを販売するプロバイダーは、どのコンポーネントがサイトに保持され、どれがベンダー対応でカバーされ、クラスターが完全修復を待つ間にどのような一時的な劣化が許容されるかを開示すべきである。
メンテナンスウィンドウはより微妙なリスクを生み出す。ハイパーバイザー、ストレージ、ルーター、光機器のパッチ適用は必要であるが、各アクションが冗長性を消費する。ワークロードが移動でき、予備容量が存在する場合、ローリングホストアップグレードは低リスクである。サイトがすでに劣化している場合やファイバーパスがメンテナンス中の場合、リスクは高くなる。顧客には、通知ルール、ブラックアウト期間、計画作業が可用性にカウントされるかどうかの声明が必要である。
請求とアカウント管理は正常なマシンを役に立たなくする可能性がある
クラウドの障害は必ずしも電気的なものではない。請求に関する紛争、支払い方法の期限切れ、クォータエラー、ライセンス問題、誤ったアカウント停止により、本来正常な容量が利用できなくなる可能性がある。TodoEnCloud はマネージドサービス全体で1つの連絡先と1つの請求書を強調している。これにより調達は簡素化されるが、アカウント関係がコンピュート、接続、バックアップ、サポート全体の共通依存関係になる可能性もある。
ウェブサイトの一般的な利用規約では、追加の製品またはサービス契約が適用され、優先される場合があると述べられている。これは重要である。ウェブサイトの規約はクラウド SLA ではない。顧客は、署名された注文書、サービススケジュール、データ処理条件、許容使用ルールを確認し、停止トリガー、通知、治癒期間、クレジット計算、終了後のデータ保持、請求紛争の処理を確認すべきである。
クォータはもう1つの商業的制御である。従量課金という表現は無制限の拡張を暗示する可能性があるが、地域クラウドに無限のサーバーがあるわけではない。テナントクォータが低い、要求されたハードウェア形状が利用できない、容量が他の誰かのために予約されているなどの理由で API リクエストが失敗する可能性がある。インシデント後に数百のインスタンスを作成できると想定する復旧アーキテクチャは、まさに全員が同時に予備容量を必要とするために失敗する可能性がある。予約された復旧容量は、2度販売できないためコストがかかる。
健全な契約は、通常の弾力性とディザスタリザーブを分離する。どのリソースが保証され、どれがベストエフォートで、クォータをどれだけ早く引き上げられるか、復旧サイトが一致する容量を利用可能に維持するかを明記する。また、救済手段も特定する。サービスクレジットは月額料金の一部を補償する可能性があるが、顧客の売上損失、規制上のエクスポージャー、復旧作業をカバーすることはほとんどない。したがって、アーキテクチャは損失を防ぐためのものであり、クレジットによる補償に依存するものではない。
スペインの場所は重要だが、主権は積み重ねである
データの局所性は TodoEnCloud の提供の中心である。同社は、パブリッククラウドのデータセンターはスペインにあり、欧州外への情報転送は行わないと述べている。ENS 証明書は、監査された IaaS システムをマドリードエリアの3つの施設に配置している。スペインの法的エンティティと Tessi 親会社は識別可能である。スペインの運用拠点を求める購入者にとって、これらは曖昧な欧州地域ラベルに対する具体的な利点である。
場所だけですべての主権の問題が解決するわけではない。ハードウェアベンダーは外国企業である可能性がある。サポートソフトウェア、チケット発行、テレメトリ、ドメインサービス、脅威インテリジェンスには他の管轄区域が関与する可能性がある。マネージドマルチクラウドサービスは、AWS、Azure、Google Cloud 上のワークロードを管理する場合がある。バックアップメタデータはペイロードデータとは異なる経路をたどる可能性がある。フランスの親会社は、サーバーがマドリードに残っている場合でも、ガバナンスまたはサポートアクセスを持つ可能性がある。これらの条件はいずれも自動的に主権を否定するものではない。それぞれがデータフローマップに属する。
同社のセキュリティポリシーは、その範囲を ISO 基準およびスペインの国家セキュリティスキームに合わせている。スペインの国王令311/2022は、セキュリティを統合されたプロセスとして扱うことを要求し、継続性、インシデント対応、保存および送信情報の保護、監査を含んでいる。したがって、ENS Medium 認証は、自己宣言されたローカリティスローガンよりも実質的である。しかし、依然としてカテゴリと範囲の評価であり、顧客固有の法的意見ではない。
購入者は、一次データ、レプリカ、バックアップ、ログ、サポート記録がどこに存在するか、誰がアクセスできるか、どの暗号化キーが保護するか、各サプライヤーにどの法律が適用されるかを文書化すべきである。また、データレジデンシーと運用の自律性を区別すべきである。マドリードに保存されたワークロードでも、リモートのソフトウェアリポジトリ、ライセンスサーバー、ID プロバイダーに依存する場合がある。主権設計では、これらの依存関係を意識的に選択し、ビジネスで必要な場合に代替手段を提供できる。
マドリードへの物理的な集中はトレードオフを生み出す。明確なスペインでのレジデンシーと低遅延のマルチサイト設計を提供するが、広範な地理的分散は提供しない。遠方のコピーを必要とする顧客は、別のスペインリージョン、オンプレミスターゲット、欧州内の Tessi の容量、または別のプロバイダーを必要とする場合がある。その選択は、主権という言葉だけではなく、脅威モデルと法的ニーズによって決定されるべきである。
オープンソースソフトウェアは移行に役立つが、移行は依然として物理的な転送である
TodoEnCloud は、コアの90%以上がオープンソースソフトウェアに基づいており、API、Terraform、OpenTofu アクセスを提供していると述べている。同社のハイブリッドおよびマルチクラウドサービスは、文書化された方法、分散ワークロード、1つのサプライヤーへの依存度の低減を強調している。これらの選択は、独自のプロプライエタリ形式ではなく、使い慣れたイメージ、オーケストレーション、およびオブジェクトインターフェースを使用することで移植性を向上させることができる。
しかし、それらは移行を即座にするわけではない。顧客は、仮想ディスク、データベース、オブジェクトストア、スナップショット、アクセスポリシー、ネットワーク定義、シークレット、監視履歴をエクスポートする必要がある。大量のデータはリンク速度によって制限され、数日から数週間かかる可能性がある。アプリケーションは、プロバイダー固有のロードバランサー、バックアップカタログ、ファイアウォール動作、管理運用に依存する場合がある。ソースイメージはオープンであっても、それを実行するために必要な運用知識は TodoEnCloud のエンジニアにある可能性がある。
EU データ法はこの問題を特にタイムリーにしている。欧州委員会のデータ法の説明によると、クラウドおよびエッジ顧客はプロバイダーを切り替えられるべきであり、スイッチングプロセスに関連するデータエグレス料金を含むスイッチング料金は2027年1月12日から撤廃されるとしている。規制では、手順、形式、制限、推定時間に関する契約情報が求められ、インフラプロバイダーは可能な限り機能的に同等の結果を促進することが期待されている。
法律は契約上の障害を取り除くことができるが、帯域幅やアプリケーションの複雑さを取り除くことはできない。クリーンな移行には、現在の資産インベントリ、機械可読なエクスポート、移行先の容量、安全なキー転送、最終同期、検証、ロールバックの決定が依然として必要である。ハードウェアが顧客所有でコロケーションされている場合、計画には物理的なリリース、梱包、発送、保険も必要である。TodoEnCloud がハードウェアを所有している場合、顧客にはサーバー自体ではなくイメージとデータが必要である。
最良の移植性テストは、終了前に行われる部分的な移行である。代表的なワークロードを1つエクスポートし、別の場所で復元し、転送速度を測定し、文書化されていない依存関係を特定し、承認後に古いコピーを削除できることを確認する。このテストは、プロバイダーの独自プラットフォームの外部でバックアップが使用可能かどうかも明らかにする。サービス品質が低下した後にのみ作成される移行計画はすでに遅すぎる。
実際の障害経路は相関している
TodoEnCloud の3サイトアーキテクチャは、インシデントを制限するいくつかの方法を提供するが、顧客への影響は相関性が残る場所に依存する。ラック障害は1台のホストまたはストレージシェルフを停止させる可能性がある。別のラックにインスタンスを持つ顧客は中断を経験しないかもしれないが、単一のベアメタルテナントは修理を待つ可能性がある。建物の電源または冷却イベントはゾーン全体を除去する可能性がある。独立した電源を持つサイトに分散された顧客は継続できるが、単一サイトのリソースは継続できない。ファイバー切断は、各建物に電力が供給されていてもストレージまたは管理トラフィックを分離する可能性がある。リング保護は、代替パスに容量があり、光層が再収束する場合にのみ役立つ。
アップストリーム障害はサーバーに害を与えずに到達可能性を変える可能性がある。観測された3つのプロバイダーは心強いが、共有エッジまたは経路ポリシーの障害がすべてに影響を与える可能性がある。ストレージソフトウェアのバグは、同じバージョンと自動化がどこでも使用されている場合、サイト全体に広がる可能性がある。管理者の資格情報が侵害されると、物理的多様性が回避される可能性がある。誤ったアップデートが共通のコントロールプレーンをダウンさせる可能性がある。地理的冗長性は、一貫性のために意図的に複製された障害に対して最も弱い。
ハードウェアの不足は、特殊なノードが故障した場合に修理を長引かせる。サポートの飽和は、広範なイベント中の診断を長引かせる。請求または ID の誤りにより、正常な施設へのアクセスが拒否される可能性がある。同じ資格情報で保持されているバックアップは、本番環境と一緒に削除される可能性がある。移行先の容量やエグレス時間が予約されていないため、移行が停滞する可能性がある。各経路は技術的および契約上の層を横断する。
影響を受ける人も異なる。単一の仮想マシンの顧客はウェブサイトとそのユーザーを失う可能性がある。マネージドプライベートクラウドの顧客は、エンタープライズアプリケーション、スタッフアクセス、依存サプライヤーを失う可能性がある。ENS 範囲のサービスを使用する公共機関は、報告義務と継続義務を負う可能性がある。TodoEnCloud は修理コスト、クレジット、風評被害に直面する。施設およびキャリア事業者は独自のサービスコミットメントに直面する。Tessi はグループレベルの商業リスクを負う。インシデントは1つのイベントであるが、結果はチェーン全体に分散される。
復元力のケースを完全にするもの
TodoEnCloud は、多くの小規模クラウドブランドよりも検証可能なインフラをすでに開示している。購入者は、法的なプロバイダーと親会社を特定し、3つの施設住所を訪問し、現在の証明書を検査し、ルーティングされたアドレス空間を観察し、複数のライブアップストリームネットワークを識別できる。これらの事実は、Strong の運用証拠評価を正当化する。
残りの作業は顧客固有である。デプロイメントをサイト回復力があると見なす前に、購入者はコンピュート、ストレージ、制御、ID、ファイアウォール、バックアップ、監視、サポートシステムがどこで実行されているかを示すコンポーネントマップを入手すべきである。マップは、機密のセキュリティ詳細を公開せずに、各サイトの施設事業者、電力経路、キャリア経路、ファイバー入口を特定すべきである。どの要素がアクティブ-アクティブ、アクティブ-パッシブ、またはシングルサイトであるかを示すべきである。
容量の証拠は、設置済み、販売可能、復旧リソースを調整すべきである。契約した形状のサイトごとの余裕、レプリケーション後のストレージリザーブ、スパンまたはキャリア障害後のネットワーク容量、交換ハードウェアのリードタイムを示すべきである。プロバイダーは全世界にフリート経済性を公開する必要はないが、復旧に依存する顧客には防御可能な割り当てが必要である。
サービススケジュールは、購入したリソースレベルでの可用性を定義すべきであり、単に施設のティアを引用するだけではない。測定、メンテナンス、除外事項、サポート応答、復旧優先順位、サービスクレジット、データ保持、アカウント停止の保護を指定すべきである。バックアップ条件は、場所、不変性、保持、暗号化の所有権、復旧ポイント、復旧時間を明記すべきである。移行セクションでは、形式、インターフェース、エグレス容量、支援、削除の証拠をリストすべきである。
最後に、当事者はテストすべきである。ホスト、1つのストレージパス、1つのトランジットプロバイダー、1つのデータセンターリンクの損失をシミュレートする。別のバックアップからワークロードを復元する。セカンダリチャネルを通じてサポートに連絡する。代表的なサービスを別の環境にエクスポートする。時間と手動手順を記録する。成功したテストは、別の可用性の形容詞よりも優れた証拠である。
TodoEnCloud の魅力は、非人格的なグローバルクラウドに対する目に見えるスペインの代替手段を提供し、アーキテクチャに近い人々とその下にある3つの実際のマドリード施設を持っていることである。その近さは貴重である。また、根底にある取引をより見やすくする。顧客は重量のないコンピューティングを購入しているのではなく、ラック、電力、ファイバー、在庫、熟練した注意に対する管理された権利を購入しているのである。サービスは、それらの権利が分離され、予約され、リハーサルされたときに回復力を持つ。顧客固有の設計がそれを証明するまで、3サイトプラットフォームは、すべてのワークロードがあらゆる障害を生き残るという自動保証ではなく、復旧オプションを備えた信頼できる容量である。

