一套平台养百家客户？多租户数据平台不是“分库分表”这么简单

大家好，我是 Echo_Wish。
这些年做大数据平台，最常被老板、产品经理、客户一起“围殴”的一个问题就是：

👉 “我们这个平台，后面要支持很多业务方、很多客户，能不能一套系统全搞定？”

听起来很美，对吧？
一套平台，多租户共用，成本低、效率高、还显得我们技术很牛。

但我要先泼一盆不太好喝的冷水：

多租户数据平台，最难的从来不是“能不能共用”，而是“怎么不互相坑”。

今天就跟你聊聊一个接地气版的多租户数据平台设计与隔离策略，不讲学院派，不背概念，都是我在项目里踩过坑、掉过血的真实经验。

一、先说句大实话：多租户 = 信任危机

你想象一个场景：

• A 租户：核心生产数据，老板天天盯
• B 租户：测试数据，随便跑 SQL
• C 租户：凌晨三点还在跑全表 join

然后他们共用一套大数据平台。

这时候你最怕什么？

不是功能不够，而是：

• ❌ B 的一个 select * 把 A 的查询拖死
• ❌ C 跑 Spark 把 YARN 资源打满
• ❌ 权限没控好，数据直接“串门”

所以，多租户的第一原则只有一句话：

宁可资源浪费一点，也不能相互伤害。

二、多租户隔离，到底隔离什么？

很多人一听隔离，就条件反射想到：

“分库？分表？分 HDFS 目录？”

但实际上，多租户至少要隔离 四层东西：

1️⃣ 数据隔离（你看不见我的数据）

2️⃣ 计算隔离（你跑不死我）

3️⃣ 权限隔离（你不能越权）

4️⃣ 成本隔离（账要算得清）

少一层，后面都会出事。

三、数据隔离：别一上来就“物理隔离”

常见三种模式

① 逻辑隔离（最省钱，但要克制）

SELECT *
FROM orders
WHERE tenant_id = 'tenant_A';

优点：

• 成本低
• 运维简单

坑点：

• SQL 写错 = 数据泄露
• 新人最容易翻车

👉 建议做法：
逻辑隔离 + 平台强制注入 tenant_id 条件，不允许业务自己拼。

② Schema / Database 隔离（性价比最高）

db_tenant_A.orders
db_tenant_B.orders

优点：

• 物理上分开一层
• 权限控制天然好做

这是我最推荐的一种方式，
90% 的企业场景都够用。

③ 存储级物理隔离（给“金主爸爸”准备）

/hdfs/data/tenant_A/
/hdfs/data/tenant_B/

适合：

• 金融、政务
• 对数据安全极其敏感的租户

代价：

• 运维成本高
• 资源碎片化严重

四、计算隔离：这才是“事故高发区”

说句扎心的：

90% 的线上事故，不是数据错，是“别人把资源跑没了”。

1️⃣ YARN / K8s 队列隔离

# YARN 队列示意
root
 ├── tenant_A (50%)
 ├── tenant_B (30%)
 └── tenant_C (20%)

每个租户一个队列，明确上限。

👉 原则就一句话：
宁可排队慢一点，也不能拖死别人。

2️⃣ Spark 作业资源硬限制

spark-submit \
  --conf spark.executor.memory=4g \
  --conf spark.executor.cores=2 \
  --conf spark.dynamicAllocation.enabled=false

动态资源？
可以用，但一定要有上限，不然就是“慢性自杀”。

五、权限隔离：不要相信“大家都很自觉”

权限这块，我见过太多“人间惨案”。

一个基本原则

权限永远不要交给业务自己管。

推荐做法（以 Hive 为例）

GRANT SELECT
ON TABLE db_tenant_A.orders
TO ROLE role_tenant_A;

• 租户 → 角色
• 角色 → 数据对象
• 禁止跨库访问

如果你在用 Trino / StarRocks / ClickHouse，
思路一样，只是语法不同。

六、成本隔离：多租户一定要“算账”

这是很多技术人最容易忽略的地方。

但现实是：

老板只关心一句话：谁花了多少钱？

一个简单但好用的方式

• 每个租户打 tag / label
• 作业、表、资源都带租户标识
• 成本按租户聚合

{
   
  "tenant": "tenant_A",
  "job": "daily_etl_orders"
}

你会发现一件很神奇的事：

当账单透明后，90% 的“乱跑任务”会自动消失。

七、我个人的一点真实感受

说句掏心窝子的：

多租户不是技术炫技，而是一种“克制”。

• 不是什么都共享
• 不是什么都隔离
• 而是分层设计、逐步演进

我见过太多平台：

• 一开始就“全物理隔离”，成本爆炸
• 或者一开始“全共享”，后期天天救火

真正成熟的平台，一定是“可配置的隔离策略”。

八、最后给你一个“落地版总结”

如果你正在设计多租户数据平台，
我给你一个最稳妥的起步组合：

✅ 数据：库级 / Schema 隔离
✅ 计算：队列 + 资源上限
✅ 权限：统一权限中心
✅ 成本：租户级账单