這家以食品零售起家的集團(tuán)，旗下?lián)碛卸鄠€全國知名的子品牌。在品牌A的業(yè)務(wù)部門用上數(shù)據(jù)云平臺一年后，品牌B表示，“A用得不錯，我們也在考慮上數(shù)據(jù)云平臺，部分?jǐn)?shù)據(jù)和A做個互動，能碰撞出更多價值，也少做重復(fù)建設(shè)。”

現(xiàn)在，有3個選擇擺在這家集團(tuán)的IT團(tuán)隊面前：

方案一：品牌B獨享新一份集群資源，與品牌A共用同一套數(shù)據(jù)云平臺管理。

方案二：品牌B數(shù)據(jù)接入原有平臺，與品牌A共用一套資源及平臺。

方案三：和品牌A共用一套資源及平臺，但采用多租戶安全技術(shù)方案。

需求拆解：

要資源節(jié)約，也要數(shù)據(jù)安全

上文所述方案一，理論上是最直接的選擇：

品牌A繼續(xù)用原有資源及數(shù)據(jù)云平臺，品牌B另外采購一份新的集群資源，雙方數(shù)據(jù)物理隔離，互不搶占資源，權(quán)限也完全掌握在自己手中，安全指數(shù)極高。

奇點云數(shù)據(jù)云平臺DataSimba支持通過同一平臺管理多個工作空間（Workspace），因此企業(yè)無需另外購買數(shù)據(jù)云平臺，品牌A、品牌B以及該公司更多其他部門都能在各自權(quán)限內(nèi)使用該平臺。

方案一：工作空間級隔離

然而，雙份集群資源意味著雙邊資源都無法得到最大程度利用，存在一定浪費。

平臺、資源都直接復(fù)用的方案二怎么樣？

無需重新部署，只要導(dǎo)入品牌B的數(shù)據(jù)，并在數(shù)據(jù)云平臺上為B開設(shè)新賬戶，A和B通過平臺各自管理權(quán)限內(nèi)的項目；雙品牌可以共享集群數(shù)據(jù)、存儲和計算資源，依賴平臺調(diào)度能力，品牌A和品牌B所用的資源能動態(tài)調(diào)度，總量上更節(jié)約。

方案二：共用資源及平臺的弱邏輯隔離

方案二的優(yōu)點是顯而易見的，此類做法在業(yè)內(nèi)也較為常見。然而，在數(shù)據(jù)安全上稍有弱點：該方案的權(quán)限體系未觸及大數(shù)據(jù)集群管理引擎，就像租在同一棟樓里，有門做了隔斷，但沒有 金融 級的防盜門和監(jiān)控系統(tǒng)。奇點云資深架構(gòu)專家簡愉談到：“這種方案對管理員要求極高，管理員必須要細(xì)致地配置權(quán)限、角色、策略，并定期檢查收回過期的權(quán)限，才能規(guī)避違規(guī)行為。（違規(guī)行為例如，內(nèi)部運維人員繞過上層體系，直連大數(shù)據(jù)底層集群以試圖獲取項目數(shù)據(jù)。）”

此外，方案二對平臺調(diào)度能力要求較高。如果平臺調(diào)度不夠“聰明”，就容易出現(xiàn)品牌B任務(wù)耗時過久、品牌A任務(wù)不得不長時間等待甚至影響業(yè)務(wù)的情況。

在資源高效利用但互不搶占、同時保障數(shù)據(jù)安全的前提下，最終，這家企業(yè)選擇了方案三：多品牌共用一套集群資源和數(shù)據(jù)云平臺，并采用多租戶安全技術(shù)方案。

（注：對于集團(tuán)企業(yè)/上市公司的財務(wù)部門而言，出于合規(guī)要求，仍更推薦采用工作空間級隔離方案，即方案一。）

方案解析：

三個“雙層”，加持多租戶安全

啥是多租戶？

“多租戶”，顧名思義，資源方把資源“租賃”給多個客戶。“租”指客戶自己沒有資源（例如計算、存儲、數(shù)據(jù)、服務(wù)等資源），需要租用。“多”則指資源提供方提供的資源同時被多個租戶租賃使用。

多租戶技術(shù)自提出以來已有60余年，從大型機(jī)到云計算時代，都曾得到廣泛應(yīng)用。它讓資源提供方的資源利用最大化，作為平臺身份服務(wù)更多租戶，也免去了租戶自行運管基礎(chǔ)設(shè)施的煩惱。以企業(yè)舉例，IT團(tuán)隊負(fù)責(zé)為企業(yè)采購并管理一整套資源，其中各BU就是不同的租戶，租戶在各自的資源空間下完成自己的開發(fā)工作，而互不搶占資源、影響作業(yè)進(jìn)度。同時，管理方也可以根據(jù)各租戶長期使用情況，更合理地規(guī)劃資源。

事實上，對于“企業(yè)級”的數(shù)據(jù)資產(chǎn)管理而言，多租戶僅僅完成資源隔離還不足夠。“多租戶場景下的數(shù)據(jù)安全值得企業(yè)關(guān)注。”簡愉表示，在資源共享的情況下，如何實現(xiàn)對資源進(jìn)行租戶粒度的安全隔離，是資源提供商需要解決的核心技術(shù)問題。

為此，DataSimba在經(jīng)典的多租戶方案基礎(chǔ)上，增加了“雙層身份認(rèn)證”、“雙層權(quán)限校驗”、“雙層存儲加密”，來保證租戶資源的強(qiáng)邏輯隔離與數(shù)據(jù)安全。

最終，該集團(tuán)采用了DataSimba多租戶安全方案，技術(shù)架構(gòu)長這樣：

方案三：DataSimba多租戶安全隔離

雙層身份認(rèn)證

即證明“我是誰”。

數(shù)據(jù)云平臺（例如DataSimba）和大數(shù)據(jù)集群管理引擎（例如DataKun）是兩套獨立的系統(tǒng)，有各自的賬戶體系，需要在每個系統(tǒng)入口均進(jìn)行嚴(yán)格的身份認(rèn)證。其中，DataKun開啟了Kerberos認(rèn)證，每個用戶（Unix User）都會被分配自有的Principal及Keytab文件（相當(dāng)于登錄名和密碼）。

在兩套系統(tǒng)各自完成身份認(rèn)證的情況下，完成兩套賬戶的一對一映射。此后，DataSimba的用戶（User）向DataKun提交分布式離線/實時作業(yè)，都是通過其關(guān)聯(lián)的Kerberos憑證進(jìn)行身份認(rèn)證。

雙層權(quán)限校驗

即校驗我是否有權(quán)限對相應(yīng)資源進(jìn)行相應(yīng)操作。

DataSimba對接口和菜單權(quán)限、數(shù)據(jù)權(quán)限均有所管控。以數(shù)據(jù)權(quán)限為例，租戶（Account）下設(shè)若干子賬號（User），子賬號的數(shù)據(jù)權(quán)限申請只能在租戶已租用的資源范圍內(nèi)，權(quán)限粒度可精確到表、字段、行級。只有權(quán)限校驗通過，子賬號方可通過DataSimba向大數(shù)據(jù)集群提交作業(yè)，否則在這一層即校驗失敗，作業(yè)/任務(wù)中止提交。

同樣，大數(shù)據(jù)集群管理引擎例如DataKun，也需要進(jìn)行權(quán)限校驗，鑒權(quán)粒度為數(shù)據(jù)庫級數(shù)據(jù)權(quán)限，來保障大數(shù)據(jù)集群側(cè)用戶（Unix User）數(shù)據(jù)、存儲、計算的隔離與安全。大數(shù)據(jù)集群管理引擎理論上不限于DataKun，其它部署了安全組件的大數(shù)據(jù)集群管理引擎也可實現(xiàn)。

需要注意的是，兩層權(quán)限均是通過權(quán)限策略進(jìn)行強(qiáng)邏輯隔離。這也意味著租戶之間的計算、數(shù)據(jù)、存儲和服務(wù)隔離是軟隔離，可以通過動態(tài)調(diào)整權(quán)限策略，實現(xiàn)多租戶之間的計算、數(shù)據(jù)、存儲和服務(wù)的共享。比如品牌A的數(shù)據(jù)云平臺租戶可以給品牌B租戶賦予數(shù)據(jù)訪問權(quán)限，即可實現(xiàn)品牌A和品牌B的數(shù)據(jù)共享，而無需進(jìn)行數(shù)據(jù)遷移。

雙層存儲加密

即就算試圖繞過DataSimba和大數(shù)據(jù)集群管理引擎、直接讀取源文件，也無法讀取成功。

架構(gòu)中設(shè)置了兩層文件存儲加密“雙保險”，包括：DataSimba側(cè)基于分布式存儲方案，開啟透明加密；大數(shù)據(jù)集群引擎?zhèn)乳_啟底層文件加密和密鑰的管理權(quán)限獨立托管。

為什么權(quán)限管控一定要“雙層”？

實際上，從技術(shù)實現(xiàn)來看，數(shù)據(jù)權(quán)限管控壓縮成一層似乎也無妨：

統(tǒng)一在大數(shù)據(jù)集群側(cè)大數(shù)據(jù)安全組件中實現(xiàn)對數(shù)據(jù)云平臺DataSimba用戶的表、字段、行級數(shù)據(jù)權(quán)限管控。子賬號（User）在通過DataSimba向集群管理引擎提交Hive/Spark/Flink等大數(shù)據(jù)作業(yè)任務(wù)時，使用其集群側(cè)的Kerberos憑證即可。這也是業(yè)內(nèi)很多大數(shù)據(jù)平臺服務(wù)商所采用的方案。

然而，從自主可控的數(shù)據(jù)安全要求來看，設(shè)置雙層數(shù)據(jù)權(quán)限管控是極為必要的。

在許多客戶的實際場景中，數(shù)據(jù)云平臺和大數(shù)據(jù)集群管理引擎可能是獨立運營的，其廠牌不同，底層大數(shù)據(jù)集群管理還可能交由特定部門維護(hù)。因此，企業(yè)內(nèi)負(fù)責(zé)數(shù)據(jù)云平臺的部門及其服務(wù)商能否在集群管理引擎安裝安全插件，就成了不確定性。也就是說，數(shù)據(jù)云平臺如果本身沒有嚴(yán)格的數(shù)據(jù)權(quán)限管控體系，而完全依賴于集群管理的安全政策，就難以100%確保數(shù)據(jù)安全。

因此，DataSimba設(shè)置了數(shù)據(jù)權(quán)限代理層，解耦數(shù)據(jù)云平臺與客戶大數(shù)據(jù)集群管理的安全性依賴，從而實現(xiàn)在不侵入大數(shù)據(jù)集群管理引擎的前提下，依舊有與大數(shù)據(jù)安全組件等同能力的數(shù)據(jù)權(quán)限管控。

近期，該零售集團(tuán)已完成DataSimba多租戶技術(shù)架構(gòu)的部署。在多個數(shù)據(jù)團(tuán)隊互不搶占資源的同時，相較傳統(tǒng)方案，更節(jié)約了50%的大數(shù)據(jù)集群計算節(jié)點。同時，通過動態(tài)的權(quán)限管控，支持租戶間（例如跨部門）數(shù)據(jù)安全共享，而無需數(shù)據(jù)遷移成本。

Tips：

奇點云數(shù)據(jù)云平臺DataSimba最新 商業(yè) 化版本發(fā)布！極速版、專業(yè)版、旗艦版、紅旗版，四大版本滿足不同企業(yè)需求。

其中，旗艦版、紅旗版DataSimba均具備多租戶能力，目前已在十余家企業(yè)完成落地實踐，包括旗下有 汽車 、工業(yè)技術(shù)等多業(yè)態(tài)的知名工業(yè)集團(tuán)，創(chuàng)新機(jī)器人領(lǐng)域的 科技 公司，及知名酒類貿(mào)易集團(tuán)等等。

各版本特色及多租戶架構(gòu)等詳情，可聯(lián)系奇點云客戶成功經(jīng)理/產(chǎn)品技術(shù)顧問了解。