如何在云計(jì)算中實(shí)現(xiàn)多租戶

作者：朱鋼 2022-09-13 07:14:29

基于云的SaaS解決方案以及大多數(shù)其他解決方案都需要實(shí)現(xiàn)多租戶。讓我們快速回顧一下什么是多租戶，我們可以從中獲得什么，以及如何通過兩個(gè)簡(jiǎn)單的層輕松實(shí)現(xiàn)它吧！

譯者 | 朱鋼

審校 | 孫淑娟

1.何為多租戶

從本質(zhì)上講，多租戶允許服務(wù)的各個(gè)部分（即各個(gè)微服務(wù)）雖然服務(wù)多個(gè)客戶，但無需為每個(gè)客戶部署單獨(dú)的實(shí)例。為了使SaaS解決方案能夠以可承受的價(jià)格擴(kuò)展，滿足客戶需求并具有彈性（即在云資源中具有成本效益），因此它必須支持多租戶。

多租戶架構(gòu)提供了許多出色且必不可少的功能：

允許應(yīng)用程序同時(shí)為多個(gè)客戶提供服務(wù)，同時(shí)共享底層基礎(chǔ)架構(gòu)和服務(wù)；
安全且合規(guī)的訪問隔離；
負(fù)載均衡和擴(kuò)展。

2.多租戶的兩個(gè)層面

一旦你理解了多租戶，它就很容易了。基本上只需要兩件事：“應(yīng)用程序級(jí)的訪問控制”和“管理數(shù)據(jù)架構(gòu)”。

讓我們將其分解為兩個(gè)層面：

數(shù)據(jù)層面，是關(guān)于你如何傳輸，存儲(chǔ)以及管理相互孤立的數(shù)據(jù)（即底層基礎(chǔ)設(shè)施如何避免混淆不同租戶的數(shù)據(jù)）。數(shù)據(jù)層面的多租戶通常以數(shù)據(jù)層上的分區(qū)來實(shí)現(xiàn)，例如數(shù)據(jù)存儲(chǔ)架構(gòu)（如何在數(shù)據(jù)庫中保存）、主題（例如，kafka主題）、標(biāo)簽、Domains、Sockets和端口，用于傳輸中的數(shù)據(jù)。

具有基于列簡(jiǎn)單租戶分離的數(shù)據(jù)庫表示例

應(yīng)用程序?qū)用妫侨绾卧谶壿媽又袑?shí)現(xiàn)接收不同租戶的上下文和訪問，即讓相同的代碼適用于不同的租戶。其中授權(quán)是應(yīng)用程序?qū)用鎸?shí)現(xiàn)多租戶必須具備的組件。

使用Permit.io的SDK強(qiáng)制實(shí)施多租戶的示例應(yīng)用程序路由

3.實(shí)現(xiàn)多租戶

授權(quán)層，它是從單租戶應(yīng)用程序安全升級(jí)到多租戶應(yīng)用程序的最快、最可靠的方法。此外，授權(quán)層可以通過在所有相關(guān)服務(wù)中應(yīng)用策略來實(shí)現(xiàn)分離，而無需更改服務(wù)本身。

選擇正確的策略模型可以進(jìn)一步簡(jiǎn)化這個(gè)轉(zhuǎn)換過程。使用經(jīng)典模型，如RBAC + Tenancy，ReBAC + Hierarchy（租戶成為root-level關(guān)系）或普通ABAC（將租賃作為屬性）。

我們不需要自己實(shí)現(xiàn)多租戶授權(quán)，可以享受現(xiàn)成的開源工具和服務(wù)來實(shí)現(xiàn)。

4.使用OPA + OPAL實(shí)現(xiàn)多租戶（開源）

使用開源工具是開始實(shí)現(xiàn)多租戶授權(quán)層的絕佳選擇。雖然有多種選擇，但開放策略代理（OPA）是最常用的。OPA 充當(dāng)授權(quán)微服務(wù)，我們可以將其添加到應(yīng)用程序中，并使用其專有的Rego語言編寫的規(guī)則強(qiáng)制實(shí)施訪問。

將OPA與OPAL（開放策略管理層）相結(jié)合，使我們能夠大規(guī)模管理授權(quán)層，使用Pub/Sub主題使我們的代理及時(shí)了解策略（Rego代碼）和數(shù)據(jù)（JSON文檔）。例如，主題可以是我們的租戶名稱或租戶ID，從而允許我們將代理與每個(gè)租戶的更改同步。

5.使用Permit.io實(shí)現(xiàn)多租戶（服務(wù)）

應(yīng)用授權(quán)解決方案，如Permit.io 。Permit建立在OPA和OPAL之上，增加了管理界面，包括租戶列表、租戶資源管理和每個(gè)租戶的用戶管理。

在 Permit.io 的儀表板中切換租戶

6.總結(jié)

多租戶允許我們的應(yīng)用程序滿足多個(gè)客戶的需求，而無需為每個(gè)客戶部署單獨(dú)的實(shí)例。gist中的多租戶方案由兩層面組成：數(shù)據(jù)和應(yīng)用程序。實(shí)現(xiàn)多租戶的最佳方法之一是創(chuàng)建一個(gè)授權(quán)層，該授權(quán)層可以實(shí)現(xiàn)分離，而無需更改服務(wù)本身。雖然你可以構(gòu)建自己的授權(quán)層，但也有開源項(xiàng)目（例如OPA + OPAL）和服務(wù)（例如 Permit.io）允許你在應(yīng)用程序中實(shí)現(xiàn)一個(gè)一月訪問的多租戶授權(quán)層。

原文鏈接：https://dev.to/permit_io/how-to-implement-multitenancy-in-cloud-computing-4pif

譯者介紹

朱鋼，51CTO社區(qū)編輯，2021年IT影響力專家博主，阿里云專家博主，2019年CSDN博客之星20強(qiáng)，2020年騰訊云+社區(qū)優(yōu)秀作者，11年一線開發(fā)經(jīng)驗(yàn)，曾參與獵頭服務(wù)網(wǎng)站架構(gòu)設(shè)計(jì)，企業(yè)智能客服以及大型電子政務(wù)系統(tǒng)開發(fā)，主導(dǎo)某大型央企內(nèi)部防泄密和電子文檔安全監(jiān)控系統(tǒng)的建設(shè)，目前在北京圖伽健康從事醫(yī)療軟件研發(fā)工作。

責(zé)任編輯：武曉燕來源： 51CTO技術(shù)棧