運用の目的
Phase 1 本番以降、LLM ゲートウェイは 24/7 業務基盤 となる。本章は Runbook、アラート、キーローテーション、LiteLLM サプライチェーン、四半期レビューを定義する。
運用体制
| 役割 | 責務 | 一次対応時間 |
| L1(ヘルプデスク) | 接続 FAQ、申請案内 | 営業時間 |
| L2(インフラ) | 障害、スケール、パッチ | 24/7 オンコール |
| L3(セキュリティ) | DLP、インシデント | 24/7(重大時) |
| CoE(Phase 2) | モデル選定、ベストプラクティス | 月次 |
Runbook 一覧
| ID | シナリオ | 概要 |
| RB-01 | ゲートウェイ全ダウン | レプリカ再起動 → ロールバック → 経営通知 |
| RB-02 | プロバイダ 5xx 多発 | ステータス確認 → フェイルオーバー → ベンダーケース |
| RB-03 | コスト急増 | 該当キー特定 → 一時停止 → PM 通知 |
| RB-04 | DLP 誤検知多発 | ルール調整チケット → セキュリティ承認 |
| RB-05 | Key Vault アクセス失敗 | MI 権限確認 → フェイルオーバー判断 |
| RB-06 | LiteLLM CVE 公表 | 緊急パッチ手順(下記) |
RB-01 詳細(抜粋)
- Azure Monitor でアラート確認
kubectl rollout restart または Container Apps リビジョン再起動- 5 分以内に復旧しなければ前リビジョンへロールバック
- ステータスページ更新、#llm-gateway-incidents に投稿
- ポストモーテム 48h 以内にドラフト
アラート設計(運用版)
| 重要度 | 例 | 対応 SLA |
| P1 | 全ダウン、データ漏洩疑い | 15 分以内初動 |
| P2 | エラー率上昇、単一 AZ 障害 | 1 時間 |
| P3 | コスト 85% 通知 | 翌営業日 |
| P4 | パッチ利用可能 | 計画ウィンドウ |
アラート疲労を防ぐ — Phase 1 終了時点で 有効アラート 10 本以内 を目標にチューニング。
キーローテーション
| 対象 | 周期 | 手順 |
| プロバイダ API キー | 90 日 | Key Vault 新バージョン → LiteLLM リロード → 旧版無効化 |
| 仮想キー | 90 日 or プロジェクト終了 | 利用者に 7 日前通知 → 新キー発行 → 猶予 14 日 → 旧キー失効 |
| ゲートウェイマスターキー | 180 日 | メンテナンスウィンドウで実施 |
| TLS 証明書 | 自動更新(Let's Encrypt / Key Vault) | 期限 30 日前アラート |
ローテーション中の留意
- ダブルライト期間(新旧両方有効)を最低 24h 確保
- CI キーはパイプライン変数の更新を自動化
- ローテーション失敗時は RB-05 へエスカレーション
LiteLLM サプライチェーン
| 活動 | 頻度 | 内容 |
| バージョン追跡 | 週次 | GitHub Releases、CVE 監視 |
| 非脆弱パッチ | 月次 | メンテナンスウィンドウで適用 |
| Critical CVE | 72h 以内 | 緊急パッチ or WAF ルールで緩和 |
| イメージスキャン | ビルド毎 | Trivy / Defender for Containers |
| SBOM 保管 | リリース毎 | 監査用 |
OSS のため ベンダー SLA はない。自社でパッチ判断とテスト環境が必須。
アップグレード手順
- ステージングに新イメージデプロイ
- 回帰テスト(第 12 章 T1-T6)
- カナリア 10% トラフィック(可能なら)
- 全量切替、24h 監視強化
バックアップ・DR
| 対象 | 方法 | 保持 |
| LiteLLM DB(キーメタ) | 日次スナップショット | 30 日 |
| 設定(Git) | GitOps | 無期限 |
| ログ | SIEM 側ポリシー | 1 年 |
RTO 4h / RPO 1h(Phase 1)— Phase 2 で改善。
四半期レビュー
アジェンダ(90 分)
- KPI レビュー(利用率、コスト、インシデント)
- DLP ルール効果・誤検知率
- 新モデル・プロバイダ評価
- コンプライアンス更新(規制動向)
- ロードマップ更新(Phase 2/3)
- 未決事項クローズ
参加者
経営スポンサー、PM、セキュリティ、インフラ、SE リード(各 1 名)
成果物
- 四半期レポート(1 ページサマリー + 付録)
- 次四半期アクションアイテム(Owner・期限付き)
変更管理(運用期)
| 変更 | 承認 | ウィンドウ |
| 設定微調整 | L2 | 随時 |
| 新モデル | セキュリティ | 月次 |
| メジャーバージョン | L2 + セキュリティ | 四半期 |
利用者コミュニケーション
- 計画メンテナンス: 7 日前通知(メール + Teams)
- 緊急メンテ: 可能な限り事前、実施後 1h 以内に事後報告
- ステータスページ:
status.keel.internal/llm-gateway
運用 KPI
| KPI | 目標 |
| 可用性 | 99.5%(Phase 1) |
| P1 初動 | 15 分以内 100% |
| パッチ適用(Critical) | 72h 以内 |
| 四半期レビュー実施 | 100% |
テンプレ・コンプライアンス → 第 11〜12 章。
セキュリティパッチ Runbook(LiteLLM 特化)
トリガー
- LiteLLM / GHSA / CISA KEV の新規 CVE 公開
- 供給網インシデント(PyPI/Docker タグ)の公式告知
- 四半期定期パッチウィンドウ
手順
- 影響調査 — 稼働バージョン、公開経路、JWT/MCP/Guardrails 有効化の有無
- ステージング適用 — バージョン固定(
litellm==x.y.z)で再現ビルド - 回帰テスト — Virtual Key 発行、/chat/completions、予算ブロック、DLP flag
- 本番適用 — メンテナンス窓。ロールバック用イメージを保持
- 鍵ローテーション — Critical 時はプロバイダ API キー全ローテーション
- 事後報告 — インシデントチケット、CVE 番号、適用版を記録
監視クエリ例(概念)
| シグナル | 意味 |
401/403 急増 on /key/* | 権限昇格試行の可能性 |
| 未知 Host ヘッダー | CVE-2026-49468 系の探索 |
/mcp-rest/test/* への外部 IP | 即ブロック + 調査 |
四半期レビューへの追加項目
- [ ] LiteLLM 最新 stable との diff(破壊的変更)
- [ ] 登録 Guardrail 一覧と所有者
- [ ] MCP サーバ台帳とシャドー接続の有無
- [ ] EU AI Act / 顧客監査からの新要件
v1.8 — CF AIG 運用 Runbook 追記
日次
- Analytics で metadata 別リクエスト数・エラー率を確認
- 429 急増時は Spend limit / Rate limit の意図的停止かバーストかを切り分け
週次
- AWS Cost Explorer(IAM principal / タグ)と CF Analytics の 方向性一致 を確認(金額の完全一致は期待しない)[72]
- ゲートウェイトークンの利用有無・異常 IP の有無 [77]
月次
- Spend limit ルールの見直し(最大 20 ルール/ゲートウェイ)[72]
- BYOK キー・Bedrock IAM のローテーション [75]
- 手動 metadata 運用の監査(Access 自動化への移行判断)[74]
既知の制限(運用受け入れ)
| 制限 | 影響 | 緩和 |
| BYOK コストは best-effort | ダッシュボードと AWS 請求がズレる | CUR を正、GW は予算ストップ用 |
| Spend limits は eventually consistent | 短時間バーストで上限超過しうる | レート制限を併用 [72] |
| トークンはアカウントスコープ | 漏洩時の影響が広い | アカウント分割・短期ローテーション [77] |
| ログにプロンプト全文 | コンプライアンスリスク | DLP・マスキング・保持期間ポリシー |
| 項目 | 現状(2026-07 調査) | KEEL の扱い |
| 機能名 | Identity-driven budgets and routing | Phase 2 候補 |
| 提供形態 | Closed beta(2026-06-05 発表)[74][90] | GA 時期は 公式未公表 |
| 申込 | CF ブログ から closed beta signup | 本番必須なら申込、待ち期間は手動 metadata |
| 動作 | Access OAuth → JWT から email / IdP group を metadata 自動付与 [74] | honor system からの脱却 |
| Spend limits | Open beta・全プラン無料 [90] | Phase 1 から利用可 |
Phase 1 → Phase 2 移行パス
Phase 1: 手動 cf-aig-metadata(user_id, project_code)+ Spend limits
↓ Access closed beta 参加 or GA
Phase 2: Access アプリで GW エンドポイント保護 → 検証済み identity をログ・予算に反映
結論(U-CF-02): GA 日は未確定だが、代替手段は明確 — Phase 1 は手動 metadata、本番前に beta 申込または GA 待ちのどちらかを PM が決定する。
v1.10 — サプライチェーン Runbook 追補
AI 時代の供給網リスク
| リスク | 説明 | 対応 |
| Slopsquatting | LLM 幻覚パッケージ名への先回り登録 | 導入前の実在確認(第 9 章) |
| postinstall 攻撃 | npm install だけで感染(axios 事件等) | lock ファイル + npm ci |
| 新規パッケージ即導入 | 公開直後の悪意ある版 | min-release-age クールダウン |
四半期レビューに追加:
- [ ] エージェント経由で導入されたパッケージの棚卸し
- [ ] lock ファイル未使用の CI ジョブがないか
- [ ] 承認外 MCP サーバの接続痕跡(シャドー MCP)