Multi-tenancy nel SaaS

La multi-tenancy esiste su uno spettro. Database condiviso, schema condiviso: tutti i dati dei tenant risiedono nelle stesse tabelle, differenziati solo da una colonna tenant_id. Architettura a costo più basso e più semplice, ma crea il rischio più elevato di fuga di dati se il filtro tenant_id viene omesso in qualsiasi query. Database condiviso, schemi separati: ogni tenant ottiene il proprio schema all'interno del database condiviso. Isolamento leggermente migliore con costi di infrastruttura ridotti rispetto alla separazione completa. Database separati per tenant: i dati di ciascun cliente risiedono in un database completamente isolato. Massima garanzia di isolamento, gestione della conformità più semplice, ma costi di infrastruttura e complessità operativa significativamente più elevati (le migrazioni del database devono essere eseguite su N database). La maggior parte delle aziende SaaS inizia con uno schema condiviso per l'efficienza dei costi e migra verso un maggiore isolamento per i segmenti enterprise che richiedono la residenza dei dati o controlli di conformità più rigorosi.

La multi-tenancy crea sfide specifiche per la risoluzione dei problemi per i team di supporto. Bug specifici del tenant: un problema che interessa solo il Tenant A (ma non il Tenant B, nonostante entrambi utilizzino la stessa versione del codice) è tipicamente causato da: lo stato dei dati o la configurazione specifica del Tenant A, un feature flag abilitato solo per il Tenant A, o un rate limit raggiunto solo dal pattern di utilizzo del Tenant A. Gli agenti di supporto devono sempre circoscrivere l'indagine al tenant specifico: "Questo si riproduce per questo cliente specifico, o si riproduce per tutti i clienti?" Un bug universalmente riproducibile è un bug di prodotto; un bug specifico del tenant è un problema di configurazione o un problema di integrità dei dati. Il supporto deve evitare di correggere i dati di un tenant in un modo che potrebbe corrompere i dati di un altro tenant o violare le garanzie di isolamento dell'architettura.

La multi-tenancy crea un rischio operativo di "vicino rumoroso": l'elevato consumo di risorse di un tenant può degradare le prestazioni per altri tenant che condividono la stessa infrastruttura. Product Ops condivide la strategia di monitoraggio e alerting con l'Engineering: i dashboard di consumo delle risorse per tenant identificano i tenant che si avvicinano ai limiti delle risorse prima che influenzino gli altri. Il rate limiting e le quote di risorse per tenant sono la mitigazione principale (i rate limit prevengono l'abuso delle API; i timeout delle query del database impediscono che query a lunga esecuzione monopolizzino le risorse del database condiviso). Per i clienti enterprise, Product Ops deve comprendere quali garanzie di isolamento l'architettura può fornire ai fini della conformità — i team di vendita e supporto necessitano di risposte accurate alle domande "i miei dati sono isolati dagli altri clienti?" nelle conversazioni di procurement. Quando l'architettura non può fornire l'isolamento richiesto, il livello enterprise potrebbe richiedere un'opzione di deployment single-tenant o privato.