Multitenencia en SaaS

La multitenencia existe en un espectro. Base de datos compartida, esquema compartido: todos los datos de los inquilinos residen en las mismas tablas, diferenciados únicamente por una columna tenant_id. Es la arquitectura de menor costo y más simple, pero crea el mayor riesgo de fuga de datos si se omite el filtrado por tenant_id en alguna consulta. Base de datos compartida, esquemas separados: cada inquilino obtiene su propio esquema dentro de la base de datos compartida. Aislamiento ligeramente mejor con costos de infraestructura reducidos en comparación con la separación total. Bases de datos separadas por inquilino: los datos de cada cliente residen en una base de datos completamente aislada. La mayor garantía de aislamiento, una historia de cumplimiento más simple, pero un costo de infraestructura y una complejidad operativa significativamente mayores (las migraciones de bases de datos deben ejecutarse en N bases de datos). La mayoría de las empresas SaaS comienzan con un esquema compartido para la eficiencia de costos y migran hacia un mayor aislamiento para segmentos empresariales que requieren residencia de datos o controles de cumplimiento más estrictos.

La multitenencia crea desafíos específicos de resolución de problemas para los equipos de soporte. Errores específicos del inquilino: un problema que afecta solo al Inquilino A (pero no al Inquilino B, a pesar de que ambos usan la misma versión de código) suele ser causado por: el estado de datos o la configuración específicos del Inquilino A, una feature flag habilitada solo para el Inquilino A, o un límite de tasa (rate limit) alcanzado solo por el patrón de uso del Inquilino A. Los agentes de soporte siempre deben limitar la investigación al inquilino específico: "¿Esto se reproduce para este cliente específico, o se reproduce para todos los clientes?" Un error que es universalmente reproducible es un error de producto; un error que es específico del inquilino es un problema de configuración o un problema de integridad de datos. El soporte debe evitar corregir los datos de un inquilino de una manera que pueda corromper los datos de otro inquilino o violar las garantías de aislamiento de la arquitectura.

La multitenencia crea un riesgo operativo de "vecino ruidoso": el alto consumo de recursos de un inquilino puede degradar el rendimiento de otros inquilinos que comparten la misma infraestructura. Product Ops comparte la estrategia de monitoreo y alertas con Ingeniería: los paneles de consumo de recursos por inquilino identifican a los inquilinos que se acercan a los límites de recursos antes de que afecten a otros. La limitación de tasas (rate limiting) y las cuotas de recursos por inquilino son la mitigación principal (los límites de tasas evitan el uso excesivo de la API; los tiempos de espera de las consultas de la base de datos evitan que las consultas de larga duración monopolicen los recursos compartidos de la base de datos). Para los clientes empresariales, Product Ops debe comprender qué garantías de aislamiento puede ofrecer la arquitectura para fines de cumplimiento; los equipos de ventas y soporte necesitan respuestas precisas a las preguntas "¿están mis datos aislados de otros clientes?" en las conversaciones de adquisición. Cuando la arquitectura no puede ofrecer el aislamiento requerido, el nivel empresarial puede requerir una opción de implementación de un solo inquilino o privada.