SaaS多租戶應(yīng)用程序與數(shù)據(jù)庫(kù)數(shù)據(jù)隔離方案設(shè)計(jì)與選擇
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
 軟件即服務(wù) (Software as a service,SaaS) 是一種通過(guò)互聯(lián)網(wǎng)按需交付軟件應(yīng)用程序的方法,通常采用訂閱方式。借助 SaaS,云服務(wù)提供商 (CSP) 可以托管和管理應(yīng)用程序軟件和底層基礎(chǔ)設(shè)施,保證系統(tǒng)的可靠性。用戶可以通過(guò)手機(jī)或電腦上的網(wǎng)絡(luò)連接到應(yīng)用程序。 通俗地講,就是將用戶的服務(wù)器相關(guān)硬件、操作系統(tǒng)、應(yīng)用程序搬到云上,讓軟件提供商來(lái)維護(hù)。SaaS的優(yōu)勢(shì)多用于ToB的業(yè)務(wù),將客戶本地部署的系統(tǒng)遷移到云上,方方便客戶的同時(shí),軟件提供商也創(chuàng)新了盈利模式。 SaaS對(duì)客戶來(lái)說(shuō)有什么優(yōu)勢(shì)呢?
客戶本地?cái)?shù)據(jù)遷移到云上或者直接訂閱使用云上產(chǎn)品,不可避免需要關(guān)注數(shù)據(jù)的安全隔離。使用單租戶模式還是實(shí)現(xiàn)多租戶數(shù)據(jù)共存與訪問(wèn),企業(yè)在系統(tǒng)設(shè)計(jì)之初必須規(guī)劃多租戶的架構(gòu)解決方案。 我們了解下租戶概念:
相信大家也有個(gè)疑問(wèn),在多租戶場(chǎng)景中,為什么要進(jìn)行用戶數(shù)據(jù)隔離?操作數(shù)據(jù)時(shí)加條件篩選不也可以嗎?如下查詢(xún): 如果開(kāi)發(fā)者在某個(gè)地方漏掉 tenant_id 條件,可能出現(xiàn)以下問(wèn)題:
通過(guò)數(shù)據(jù)隔離,上述問(wèn)題就可以完全避免。盡管在操作數(shù)據(jù)時(shí)加條件在一定程度上可以實(shí)現(xiàn)多租戶數(shù)據(jù)的隔離,但它存在明顯的安全問(wèn)題。在實(shí)際場(chǎng)景中,數(shù)據(jù)隔離通常是通過(guò)物理或邏輯上的手段綜合實(shí)現(xiàn)的,具體包括分庫(kù)分表、分區(qū)、租戶標(biāo)識(shí)符控制等方式。 多租戶場(chǎng)景之所以要數(shù)據(jù)隔離,完全是出于數(shù)據(jù)安全與隱私保護(hù)。數(shù)據(jù)隔離可以降低數(shù)據(jù)泄露潛在風(fēng)險(xiǎn)、增強(qiáng)用戶對(duì)企業(yè)系統(tǒng)的信任、符合隱私法規(guī)(如GDPR、CCPA等)。 多租戶的架構(gòu)中,最常見(jiàn)的方案主要有四種:
接下來(lái),我簡(jiǎn)單介紹這幾種方案的優(yōu)劣情況和使用場(chǎng)景。
優(yōu)點(diǎn):
缺點(diǎn):
場(chǎng)景:
優(yōu)點(diǎn):
缺點(diǎn):
場(chǎng)景:
優(yōu)點(diǎn):
缺點(diǎn):
場(chǎng)景:
優(yōu)點(diǎn):
缺點(diǎn):
場(chǎng)景:
在設(shè)計(jì)有效的多租戶數(shù)據(jù)庫(kù)時(shí),必須仔細(xì)平衡數(shù)據(jù)隔離、可擴(kuò)展性、性能和安全性。對(duì)于成功運(yùn)行的多租戶系統(tǒng),每一個(gè)要素都至關(guān)重要。隨著租戶數(shù)量的增加,數(shù)據(jù)庫(kù)需要具有可擴(kuò)展性,以便處理增加的負(fù)載。為了保證數(shù)據(jù)庫(kù)能夠快速有效地訪問(wèn)數(shù)據(jù),性能至關(guān)重要。對(duì)于這些應(yīng)用程序,需要考慮實(shí)時(shí)數(shù)據(jù)訪問(wèn)。 租戶數(shù)據(jù)庫(kù)的設(shè)計(jì)方案,需要結(jié)合自身的業(yè)務(wù)選型。在數(shù)據(jù)庫(kù)方面,實(shí)現(xiàn)數(shù)據(jù)隔離主要有數(shù)據(jù)庫(kù)、schema、行級(jí)這三種。當(dāng)然也有分區(qū)模式和混合模式。 這三個(gè)方案會(huì)面臨的問(wèn)題,我簡(jiǎn)單總結(jié)如下:
通常SaaS場(chǎng)景下的單個(gè)租戶數(shù)據(jù)量不會(huì)太大,一般從幾十MB至幾十GB。新方案初期難確定容量大小,當(dāng)服務(wù)器性能無(wú)法滿足時(shí),再新增服務(wù)器分配新租戶來(lái)使用。因此設(shè)計(jì)數(shù)據(jù)庫(kù)的時(shí)候,需要一個(gè)專(zhuān)門(mén)存儲(chǔ)租戶信息的數(shù)據(jù)庫(kù),該數(shù)據(jù)庫(kù)用于管理租戶、同時(shí)也記錄該租戶數(shù)據(jù)所在的數(shù)據(jù)庫(kù)連接信息。
如果明確租戶增長(zhǎng)不會(huì)太大,且業(yè)務(wù)功能的使用也不同(較多表可能存在數(shù)據(jù)傾斜),數(shù)據(jù)量都是幾十GB的,推薦使用數(shù)據(jù)庫(kù)隔離模式。我們可以將幾十個(gè)數(shù)據(jù)庫(kù)放在同一個(gè)實(shí)例中,有效利用計(jì)算資源。數(shù)據(jù)庫(kù)隔離模式也適合schema隔離模式,當(dāng)然需要考慮上面提到面臨的問(wèn)題。 當(dāng)租戶數(shù)量達(dá)成千上萬(wàn)的時(shí)候,或者未來(lái)租戶數(shù)能達(dá)到這個(gè)量級(jí),數(shù)據(jù)庫(kù)隔離模式就不必再考慮了,schema隔離模式確實(shí)可以考慮。能使用schema模式的常見(jiàn)關(guān)系型數(shù)據(jù)庫(kù),如Oracle、SQL Server、PostgreSQL,但如果使用 PostgreSQL 的多schema隔離模式,autovacuum 可能會(huì)頻繁執(zhí)行,將是比較大的性能問(wèn)題! 當(dāng)上萬(wàn)的租戶、或者數(shù)據(jù)量少的租戶,推薦使用行級(jí)隔離。行級(jí)隔離的基本原理是,當(dāng)用戶操作數(shù)據(jù)庫(kù)表時(shí),系統(tǒng)判斷是否是某個(gè)租戶的數(shù)據(jù),必須在連接會(huì)話中獲取能識(shí)別租戶的信息,如租戶賬號(hào)、租戶ID等。獲取到的信息需要與表中的行數(shù)據(jù)進(jìn)行篩選匹配,如匹配表中字段tenant_id中的值,這樣操作的數(shù)據(jù)只能是該連接的租戶數(shù)據(jù)。 行級(jí)隔離不是簡(jiǎn)單地加where條件篩選指定的租戶,因?yàn)闊o(wú)法不免有漏掉條件的可能。使用行級(jí)別安全(Row Level Security,RLS),即使不加租戶相關(guān)條件,租戶也只能操作自己的數(shù)據(jù),達(dá)到租戶之間的數(shù)據(jù)安全隔離。目前Oracle、SQL Server、PostgreSQL 等都支持行級(jí)別安全。 使用RLS也可能存在數(shù)據(jù)傾斜,導(dǎo)致數(shù)量差異大的租戶操作SQL的執(zhí)行計(jì)劃不準(zhǔn)確,該如何處理呢?前面提到過(guò)混合場(chǎng)景和分區(qū)方案就是其中的解決方案。數(shù)據(jù)庫(kù)少的租戶可使用RLS方案,數(shù)據(jù)量大的租戶可以使用數(shù)據(jù)庫(kù)或schema方案。另外還可以使用分區(qū)方案,分區(qū)方案只是輔助RLS解決數(shù)據(jù)傾斜問(wèn)題,不作為正式的租戶隔離方案。對(duì)于數(shù)據(jù)量大的租戶,可以將表進(jìn)行分區(qū),一個(gè)或多個(gè)分區(qū)存儲(chǔ)大租戶的數(shù)據(jù),另一個(gè)分區(qū)存儲(chǔ)數(shù)據(jù)量少的租戶。 我這里介紹兩種案例:
SQL Server有真正的行級(jí)隔離方案,但這里我介紹的是另一種非正式的隔離方案,可以說(shuō)也是一種通用方案,在其他數(shù)據(jù)庫(kù)都可以實(shí)現(xiàn)。 該方案在視圖中添加where條件,識(shí)別當(dāng)前上下文環(huán)境的登錄用戶ID,到表中進(jìn)行篩選。以下是一個(gè)完整的簡(jiǎn)單示例。
應(yīng)用程序只操作視圖,每張視圖背后都對(duì)應(yīng)一張表。由于視圖已經(jīng)隔離了用戶數(shù)據(jù),任何用戶都不可能操作其他用戶的數(shù)據(jù)。如果表結(jié)構(gòu)發(fā)生變化,可以通過(guò)存儲(chǔ)過(guò)程sp_refreshview刷新視圖定義。這是我以前公司用的一種租戶隔離方案,類(lèi)似RLS。當(dāng)前你也可以使用SQL Server 官方真正的“行級(jí)別安全性(RLS)”設(shè)計(jì)租戶隔離。
另一個(gè)實(shí)際的案例就是PostgreSQL的“行級(jí)安全策略(RLS)”。每張表都存在字段tenant_id,存儲(chǔ)租戶id,租戶id的管理可以從平臺(tái)數(shù)據(jù)庫(kù)中獲取。
我們定義策略參數(shù)app.tenant_id,當(dāng)租戶連接數(shù)據(jù)庫(kù)時(shí),需要設(shè)置app.tenant_id的值。當(dāng)訪問(wèn)表的時(shí)候,rls策略將獲取上下文信息app.tenant_id的參數(shù)值,相當(dāng)于將“tenant_id=?” 拼接到where條件中,與前面的“SQL Server 使用視圖進(jìn)行行級(jí)隔離”有相似之處。 數(shù)據(jù)庫(kù)級(jí)別與schema級(jí)別的數(shù)據(jù)隔離比較好理解,對(duì)租戶來(lái)說(shuō)隔離性好,但不適合大量租戶的情況。一個(gè)企業(yè)的租戶數(shù)據(jù)量差異比較大,這就需要考慮產(chǎn)品是否真的符合租戶的業(yè)務(wù)場(chǎng)景。也就是說(shuō),企業(yè)內(nèi)部需要對(duì)發(fā)布多個(gè)版本或多個(gè)產(chǎn)品滿足不同的客戶需求,在多租戶的數(shù)據(jù)庫(kù)設(shè)計(jì)方面也評(píng)估使用不同的數(shù)據(jù)隔離方案。 我們除了在數(shù)據(jù)庫(kù)選型、租戶架構(gòu)選型之外,也要考慮云資源成本。客戶獲取成本、 客戶生命周期價(jià)值、月度經(jīng)常性收入、 客戶流失率 是SaaS提供商特別關(guān)注的一些關(guān)鍵績(jī)效和業(yè)務(wù)指標(biāo)。這些指標(biāo)對(duì)于業(yè)務(wù)優(yōu)化和增長(zhǎng)至關(guān)重要,并且它們提供了SaaS公司財(cái)務(wù)狀況的全面概覽。針對(duì)租戶資源的成本占比、租戶均值成本等,評(píng)估租戶開(kāi)銷(xiāo)是否超出了計(jì)劃。 閱讀原文:https://mp.weixin.qq.com/s/Ba_KqWY5a_SAKN4RvPqH5Q 該文章在 2025/1/25 9:13:25 編輯過(guò) |
關(guān)鍵字查詢(xún)
相關(guān)文章
正在查詢(xún)... 
|
400 186 1886
