Architecture mutualisée (Multi-tenancy) dans le SaaS

La mutualisation (multi-tenancy) existe sur un spectre. Base de données partagée, schéma partagé : toutes les données des locataires résident dans les mêmes tables, différenciées uniquement par une colonne tenant_id. Coût le plus bas et architecture la plus simple, mais crée le risque le plus élevé de fuite de données si le filtrage par tenant_id est omis dans une requête. Base de données partagée, schémas séparés : chaque locataire obtient son propre schéma au sein de la base de données partagée. Isolation légèrement meilleure avec un coût d'infrastructure réduit par rapport à une séparation complète. Bases de données séparées par locataire : les données de chaque client résident dans une base de données complètement isolée. Garantie d'isolation la plus élevée, conformité plus simple, mais coût d'infrastructure et complexité opérationnelle nettement plus élevés (les migrations de bases de données doivent s'exécuter sur N bases de données). La plupart des entreprises SaaS commencent avec un schéma partagé pour l'efficacité des coûts et migrent vers une plus grande isolation pour les segments d'entreprise qui exigent la résidence des données ou des contrôles de conformité plus stricts.

La mutualisation (multi-tenancy) crée des défis de dépannage spécifiques pour les équipes de support. Bugs spécifiques au locataire : un problème n'affectant que le Locataire A (mais pas le Locataire B, bien que les deux utilisent la même version de code) est généralement causé par : l'état ou la configuration spécifique des données du Locataire A, un feature flag activé uniquement pour le Locataire A, ou une limite de débit (rate limit) atteinte uniquement par le modèle d'utilisation du Locataire A. Les agents de support doivent toujours circonscrire l'enquête au locataire spécifique : "Est-ce que cela se reproduit pour ce client spécifique, ou est-ce que cela se reproduit pour tous les clients ?" Un bug universellement reproductible est un bug produit ; un bug spécifique au locataire est soit un problème de configuration, soit un problème d'intégrité des données. Le support doit éviter de corriger les données d'un locataire d'une manière qui pourrait corrompre les données d'un autre locataire ou violer les garanties d'isolation de l'architecture.

La mutualisation (multi-tenancy) crée un risque opérationnel de "voisin bruyant" : la consommation élevée de ressources d'un locataire peut dégrader les performances des autres locataires partageant la même infrastructure. Les Product Ops co-gèrent la stratégie de surveillance et d'alerte avec l'Ingénierie : les tableaux de bord de consommation de ressources par locataire identifient les locataires qui approchent des limites de ressources avant qu'ils n'impactent les autres. La limitation de débit (rate limiting) et les quotas de ressources par locataire sont les principales mesures d'atténuation (les limites de débit empêchent la surutilisation de l'API ; les délais d'attente des requêtes de base de données empêchent les requêtes de longue durée de monopoliser les ressources de base de données partagées). Pour les clients d'entreprise, les Product Ops doivent comprendre quelles garanties d'isolation l'architecture peut offrir à des fins de conformité — les équipes de vente et de support ont besoin de réponses précises aux questions "mes données sont-elles isolées des autres clients ?" lors des conversations d'approvisionnement. Lorsque l'architecture ne peut pas fournir l'isolation requise, le niveau entreprise peut nécessiter une option de déploiement à locataire unique (single-tenant) ou privé.