GH GambleHub

Көп тенанттык ядро

Көп тенанттык өзөк - бул кепилденген изоляция, башкарылуучу лимиттер жана коопсуз кастомизация менен жалпы ресурстарда көптөгөн көз карандысыз кардарларды (тенанттарды) тейлеген платформанын/продуктунун негизги катмары. Жакшы иштелип чыккан ядро TCO азайтат, жыйноону тездетет, релиздерди жөнөкөйлөтөт жана ар бир ижарачы үчүн болжолдуу сапатты камсыз кылат.

1) Ижарачынын модели жана обочолонуу чек

Аныктамалар

Tenant (Tenant/Org/Account) - өз колдонуучулары, маалыматтары, саясаттары жана лимиттери бар логикалык уюм.
Изоляция: бир ижарачынын экинчисинин маалыматтарына, өндүрүмдүүлүгүнө жана коопсуздугуна тийгизген таасирин алдын алуу жөндөмдүүлүгү.

Изоляция деңгээли

1. Маалыматтар: өзүнчө DD/схемалар/таблицалар, "ижарачынын ачкычы" менен шифрлөө, 'tenant _ id' чыпкалары.
2. Эсептөөлөр: CPU/RAM/IO квоталары, тенант же "салмактанып алынган" кезек боюнча воркер бассейни.
3. Тармак: сегментация, жеке endpoints/VPN, ижарачылардын уруксат тизмелери.
4. Операциялар: миграция, бекаптар, DR жана "бир ижарачыга" таасир этүү чектери менен окуялар.

Көп тирешүү үлгүлөрү

Silo (катуу изоляция): Тенантага өзүнчө кластерлер/DD. Максималдуу коопсуздук, жогорку баа.
Pool (жалпы ресурстар): логикалык изоляциясы бар жалпы инфраструктура; жакшы натыйжалуулугу, жогорку тобокелдик "noisy neighbor".
Bridge/гибрид: гибрид - жалпы башкаруу учак + VIP/жөнгө кардарлар үчүн тандап "сило".

2) Ижарачылардын суроо-талаптарын идентификациялоо жана багыттоо

Ижарачынын уруксаты (Tenant Resolution)

домен боюнча: 'https ://{ tenant} .example. com`

Жолдо: '/t/{ tenant }/... '

Аталышы боюнча: 'X-Tenant-Id', 'X-Org' (кол тамганы текшерүү)

Токен боюнча: 'tenant _ id', 'org _ id', 'plan', 'scopes'

Багыттоо

L7-шлюз (API-шлюз/Ingress) 'tenant _ id' чыгарат, контекстти байытат ('plan', лимиттер, аймак), соодага/логиге жазылат.
Функционалдык кызматтар "окуу үчүн гана" контекстин кабыл алат; каттам жана лимиттер боюнча чечимдерди гейтвей/полис-кыймылдаткыч кабыл алат.

3) Маалыматтар жана схемалар: стратегиялар

Сактоо параметрлери

Shared-схема, row-деңгээл: таблицалардын бир жыйындысы, 'tenant _ id' талаасы, катуу RLS (Row-Level Security).
Shared-DB, per-схемасы: бир СУБД, тенант боюнча өзүнчө схема; башкаруучулук менен изоляциянын ортосундагы тең салмактуулук.
Per-DB/cluster: өзүнчө DD/тенант кластер; суверендүү талаптар үчүн кымбатыраак, оңой.

Негизги тажрыйбалар

Бардык жерде так 'tenant _ id' өткөрүп, аны компоненттүү ачкычтарга/индекстерге киргизүү.
RLS/DBB деңгээлиндеги кирүү саясаты + "кош кулпу" сервистик валидациясы.
Шифрлөө: ачкычтардын иерархиясы (root KMS → тенантка боюнча key-envelope → объект боюнча DEK).
Архив/ретеншн жана "унутулуу укугу" ижарачынын деңгээлиндеги саясатчылар тарабынан башкарылат.

4) Орнотуулар, Чиче жана нускасы

Тенант конфигурациялары

Таблица/сактагыч 'tenant _ config' (план, квота, фича-желектер, локализация, SLA).
Конфигурациялардын артыкчылыктары: дефолт → план → тенант → айлана-чөйрө → колдонуучу.
Кыска TTL жана иш-чара майыптыгы менен конфигурацияларды кэш.

Ficha желектери жана шайкештиги

Функцияларды чекитке кошуу (per-tenant/per-cohort), канарейка тоголоктору.
API версиясы: туруктуу келишим + чек арадагы адаптерлер (back/forward-compatible formats).

5) Лимиттер, квоталар жана биллинг

Керектөө саясаты

Rate limiting: 'requests/sec' per tenant/route, пландар артыкчылыктары менен "токен-бакет".
Quotas: сактоо көлөмү, объектилердин саны, билдирүүлөр/мин, jobs/саат.
Fairness: "салмактуу тартиби" кезек + VIP үчүн обочолонгон Воркер.

Биллинг

'tenant _ id' эсептегичтери (usage-метриктер) → агрегаторлор → инвойс.
Чек ара usage Snapshots (idempotentity жана жоготууга каршы коргоо).
Модели: туруктуу план + кайра consumption, пост-ичип/алдын-ала, арзандатуулар "tiered".

6) Коопсуздук жана жеткиликтүүлүк

Аутентификация/авторизация

OIDC/SAML 'tenant _ id', 'roles', 'scopes'.
RBAC/ABAC: ижарачы деъгээлинде ролдору (Owner/Admin/Reader), долбоордун/бөлүмдүн атрибуттары.
Ыйгарым укуктуу кирүү (service-to-service) mTLS жана чектелген белгилер менен.

Ишеним чектери

Суроо-талаптарды кабыл алуу саясаты: кол тамгасын текшерүү, nonce/timestamp, булагы менен байланыш.
Сырлар жана ачкычтар: ротация per-tenant, өзүнчө KMS контексттер, аудит негизги иш.
Multi-region & data residency: регионго Тенанта Пиннинг, кросс-региондук агымдар көзөмөлдөнөт.

7) "ижарачылар боюнча" байкоо

Трассировка жана метрика

Милдеттүү tags: 'tenant _ id', 'plan', 'region', 'endpoint', 'status'.
SLI/SLO per tenant: `availability`, `p95 latency`, `error budget`.
Дашборддор жана сегменттер боюнча алерталар (VIP/жөнгө салынуучу/жаңы).

Логи жана аудит

Иш-журналдар (ким/эмне/качан/кайда) өзгөрүлбөгөн сактоо жана ижарачынын саясаты боюнча retenshn менен.
арзан сактоо үчүн алдын ала жыйындысы окуялар, "чыкылдатуу менен" деталдаштыруу калыбына келтирүү.

8) аткаруу жана "noisy neighbor"

Ызы-чууга каршы чаралар

кезек/Worker деъгээлинде чеги, CPU-shares жана IO-пропорциялары per tenant.
Кэш бөлүү: 'tenant: {id}:...', пландары боюнча TTL, "cache stampede" коргоо.
'tenant _ id' боюнча тандалмалыкты эске алуу менен индекстер жана суроо-талаптардын пландары.

Муздак баштоо жана "жылуу" бассейндер

VIP/жогорку терезелер үчүн алдын ала жылытуу.
Метрикалык сигналдар боюнча ийкемдүү воркер бассейндери (backpressure/автоскейлинг).

9) Updates жана үзгүлтүксүз көчүрүү

Стратегия

Backward-шайкеш миграция (expand → migrate → contract).
Миграция "ижарачыларга": прогрессти көзөмөлдөө менен согуштар, конкреттүү 'tenant _ id' үчүн "тыныгуу/артка кайтуу".
Семплирлөө жана ижарачылардын бир тобундагы "канареалык" миграция.

DR жана окуялар

RTO/RPO per tenant менен DR планы; жарым-жартылай "read-only режими" глобалдык downtime жок.
Окуяны изоляциялоо: 'tenant _ id' боюнча фьюзинг, "ысык" ижарачыны өчүрүү башкаларга таасир этпейт.

10) API жана протоколдор

REST/gRPC милдеттүү ижарачы контекст менен (клеймо/баш).
Events (event-driven): 'tenant. {id} .event' деген наамы бар топиктер, чыпкалар жана жазылуу ACL.
Глобалдык кирүү пункттары: L7-шлюз контекстти тастыктайт, чектөөлөрдү колдонот, тенант саясаты боюнча PIIди шифрлейт.

11) Ижарачынын жашоо цикли

1. Провижининг: ижарачынын жазуусун түзүү, ачкычтарды/конфигурацияларды түзүү, аймакты байланыштыруу.
2. Активдештирүү: OIDC/SAML кардарларын чыгаруу, ролдорду/саясатты түзүү, баштапкы квоталар.
3. Операция: мониторинг, биллинг, желектерди/пландарды жаңыртуу.
4. Суспенд/Trottling: маалыматтарды/экспортту сактоо менен тоңдурулган.
5. Алып салуу/экспорттоо: retenshn, сакталган backaps, крипто-өчүрүү ачкычтары (crypto-shredding).

12) Архитектуранын мини-эталону (оозеки схема)

Edge (API-шлюз): TLS/mTLS, алуу 'tenant _ id', лимиттер, аудит.
Control Plane: ижарачылардын каталогу, конфиги, фича-желектер, биллинг, саясат.
Data Plane (кызматтар): stateless-кызматтар, кезектер, квоталар менен воркерлер; Redis/kv тенант префикстер менен.
Storage: RLS-БД/өзүнчө схемалар/БД; KMS ижарачы ачкычтары менен; envelope-шифрлөө менен объектти сактоо.
Observability: тег 'tenant _ id' менен Trace/Metrics/Логи, Алерт per plan.
Admin: обочолонгон иш (көчүрүү/backaps) ижарачылардын бир нече.

13) Азык-түлүккө чейинки контролдук тизме

  • Чек арада жана кызматтарда 'tenant _ id' аныктоонун бирдиктүү жолу.
  • RLS/ACL саясаты тесттер жана "терс жагдайлар" менен текшерилет.
  • Квоталар/лимиттер/биллинг реалдуу жүктөмдө тастыкталат; "биллинг-дроптордон" коргоо бар.
  • байкоо жана SLO per tenant; VIP/жөнгө салуучу үчүн алдын алуу.
  • Миграциялар шайкеш келет, жарым-жартылай артка чегинүү жана ижарага алынган батчи бар.
  • RTO/RPO per tenant жана үзгүлтүксүз машыгуу менен DR-жагдайлар.
  • Шифрлөө "ижарачынын ачкычы", айлануу жана ачкычтарды текшерүү.
  • Документтер келишимдер API/окуялар жана чыгаруу саясаты.

14) типтүү каталар

Көйгөйлүү ижарачыга токтото албаган глобалдык миграция.
Жашыруун көз карандылык 'tenant _ id' кэш/кезек → маалымат агып/кезек.
Контексттерди аралаштыруу (админ-иш кокусунан 'tenant _ id' жок).
Жок "кош кулпу": гана DD RLS жок кызмат текшерүү.
Бүткүл кластерге бирдиктүү лимит → "noisy neighbor" жана SLO бузуу.
Ачык эмес биллинг эч кандай идемпотенттүүлүк жана аудит-трек.

15) Стратегияны тез тандоо

Катуу изоляция/жөнгө салуу: Silo (өзүнчө DD/кластер), аймак-лок.
салмактуу натыйжалуулугу: Shared-DB per schema + RLS, per tenant ачкычтары.
Жогорку реалдуу убакыт трафик: VIP үчүн "салмактуу" квоталар жана бөлүнгөн воркерлер менен жалпы кезектер.
Көптөгөн ылайыкташтыруулар: Fich желектери + API адаптерлери, артыкчылыктуу конфигурацияларды сактоо.

Корутунду

Көп тенанттык өзөк - инженердик чектердин дисциплинасы: ачык аныктама 'tenant _ id', бардык катмарларда катуу изоляция, башкарылуучу квоталар жана ачык-айкын биллинг, плюс байкоо жана релиздердин шайкештиги. Сүрөттөлгөн үлгүлөрдү ээрчип, ар бир ижарачы үчүн коопсуздукту, сапатты жана өзгөрүүлөрдүн ылдамдыгын курмандыкка чалбай, продуктуну масштабдоого мүмкүндүк берет.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Telegram
@Gamble_GC
Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.