第1回 Azure Traveler 勉強会 札幌の旅 Azure でのマルチテナント SaaS のはなし

Transcript

1. Azure でのマルチテナント SaaS のはなし 第1回 Azure Traveler 勉強会 札幌の旅

2. 自己紹介 私と Azure と SaaS

3. 私と Azure と SaaS いわさ (@Tak1wa) : 江別市 • クラスメソッド株式会社

   ◦ 某クラウド（≠ Azure）ソリューションアーキテクト ▪ 様々なお客様を技術支援（ SaaS のお客様も） ▪ Microsoft MVP for Azure (2022.08-) • 前職まで ◦ ソフトウェアエンジニア ▪ .NET, Azure ▪ Microsoft MVP for .NET (2015.10-2019.06)

4. 今日話す SaaS SaaS を使う SaaS を提供する

5. 今日話す SaaS SaaS を使う SaaS を提供する

6. はなすこと • SaaS の悩みを Azure で解決したい • Azure アーキテクチャセンターの SaaS

   ガイダンス ◦ SaaS の普遍的な問題点と考え方 ◦ Azure サービス固有のガイダンス ◦ いくつか対応してみた例を紹介 • まとめ

7. SaaS 提供者の悩み • SaaS 固有の悩み必ず発生する ◦ コスト ◦ セキュリティ ◦

   パフォーマンス

8. SaaS 提供者の悩み • SaaS 固有の悩み必ず発生する ◦ コスト ◦ セキュリティ ◦

   パフォーマンス • クラウドで課題解決するためのガイドラインがあったりする

9. Azure にも...

10. SaaS ガイダンス in Azure アーキテクチャセンター

11. SaaS ガイダンス https://learn.microsoft.com/ja-jp/azure/architecture/guide/saas/overview

12. SaaS ガイダンス

13. SaaS ガイダンス

14. SaaS の普遍的な問題点と考え方

15. テナントの概念 引用元：マルチテナント ソリューションのテナント モデルより https://learn.microsoft.com/ja-jp/azure/architecture/guide/multitenant/considerations/tenancy-models <<シングルテナントモデル>> <<マルチテナントモデル>>

16. テナントが生み出す複雑性 引用元：オペレーショナル エクセレンスのバリューステートメントより https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/get-started/operational-excellence

17. テナントが生み出す複雑性 引用元：オペレーショナル エクセレンスのバリューステートメントより https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/get-started/operational-excellence テナントが増えるほど インフラコストが...

18. テナントが生み出す複雑性 引用元：オペレーショナル エクセレンスのバリューステートメントより https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/get-started/operational-excellence テナントが増えるほど インフラコストが... 他テナントのデータに ユーザーがアクセスしてしまうかも ...

19. テナントが生み出す複雑性 引用元：オペレーショナル エクセレンスのバリューステートメントより https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/get-started/operational-excellence テナントが増えるほど インフラコストが... 他テナントのデータに ユーザーがアクセスしてしまうかも ... 全テナント環境をバージョンアップ

    テナント増えたらどうする

20. テナントが生み出す複雑性 引用元：オペレーショナル エクセレンスのバリューステートメントより https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/get-started/operational-excellence テナントが増えるほど インフラコストが... 他テナントのデータに ユーザーがアクセスしてしまうかも ... 全テナント環境をバージョンアップ

    テナント増えたらどうする 全テナントユーザーのリクエストを処理

21. テナントが生み出す複雑性 引用元：オペレーショナル エクセレンスのバリューステートメントより https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/get-started/operational-excellence テナントが増えるほど インフラコストが... 他テナントのデータに ユーザーがアクセスしてしまうかも ... 全テナント環境をバージョンアップ

    テナント増えたらどうする 全テナントユーザーのリクエストを処理 特定テナントの影響を他テナントが受ける

22. 課題 • テナント分離性 ◦ シングルテナント／マルチテナント • ノイジーネイバー問題 • コスト分析と最適化 •

    テナントライフサイクル ◦ オンボーディング／オフボーディング ◦ カスタマイズ

23. 課題 • テナント分離性 ◦ シングルテナント／マルチテナント • ノイジーネイバー問題 • コスト分析と最適化 •

    テナントライフサイクル ◦ オンボーディング／オフボーディング ◦ カスタマイズ • SaaS ガイダンスの「アプローチ」で考え方を学ぶことが出来る

24. Azure サービス固有のガイダンス

25. サービス固有のガイダンス Azure Event Hubs の例

26. いくつか対応してみた

27. テナント分離 Azure App Service / Functions パフォーマンス分離のために App Service プランを分けるか？

    管理やインフラコスト効果を高くするために単一の共有アプリにするか？間を取って共有プラン？ Azure Container Apps テナントごとに Container Apps Enviroment を分けるか？共有か？ Azure Kubernetes Service クラスターを共有するか分離するか？ 名前空間、RBAC、ネットワークポリシーを使ったテナント分離アプローチはベストプラクティス化している Azure Cache for Redis もし分離するのであればキャッシュインスタンス？データベース？ Azure Cosmos DB 分離単位はデータベース？コンテナ？パーティションキー？ 共有スループット /専用スループットを組み合わせたハイブリッドパターンもある（クォータ厳しめ） Azure Database for PostgreSQL RLS (Row Level Security) を使ったテナント分離アプローチはベストプラクティス化している Azure SQL Database エラスティックプールを使うか？実は SQL Server でも RLS は使える Azure SQL のドキュメントにもマルチテナント SaaS 専用ページあり https://learn.microsoft.com/ja-jp/azure/azure-sql/database/saas-tenancy-app-design-patterns Azure Storage テナント分離単位はストレージアカウント？ BLOBコンテナ？共有する？ 階層型名前空間を使ってテナントデータのアクセス許可を行うことも出来る Azure Front Door テナント固有のカスタムドメイン？デプロイスタンプへのルーティング方法は？ Azure NAT Gateway テナントごとに異なるアウトバウンド IPアドレスが必要か？ Azure Private Link Private Link サービスとロードバランサーはテナント共有か？専用か？ Compute Storage / Data Network

28. テナント分離 Azure App Service / Functions パフォーマンス分離のために App Service プランを分けるか？

    管理やインフラコスト効果を高くするために単一の共有アプリにするか？間を取って共有プラン？ Azure Container Apps テナントごとに Container Apps Enviroment を分けるか？共有か？ Azure Kubernetes Service クラスターを共有するか分離するか？ 名前空間、RBAC、ネットワークポリシーを使ったテナント分離アプローチはベストプラクティス化している Azure Cache for Redis もし分離するのであればキャッシュインスタンス？データベース？ Azure Cosmos DB 分離単位はデータベース？コンテナ？パーティションキー？ 共有スループット /専用スループットを組み合わせたハイブリッドパターンもある（クォータ厳しめ） Azure Database for PostgreSQL RLS (Row Level Security) を使ったテナント分離アプローチはベストプラクティス化している Azure SQL Database エラスティックプールを使うか？実は SQL Server でも RLS は使える Azure SQL のドキュメントにもマルチテナント SaaS 専用ページあり https://learn.microsoft.com/ja-jp/azure/azure-sql/database/saas-tenancy-app-design-patterns Azure Storage テナント分離単位はストレージアカウント？ BLOBコンテナ？共有する？ 階層型名前空間を使ってテナントデータのアクセス許可を行うことも出来る Azure Front Door テナント固有のカスタムドメイン？デプロイスタンプへのルーティング方法は？ Azure NAT Gateway テナントごとに異なるアウトバウンド IPアドレスが必要か？ Azure Private Link Private Link サービスとロードバランサーはテナント共有か？専用か？ Compute Storage / Data Network

29. テナント分離 https://dev.classmethod.jp/articles/azure-cosmos-db-postgresql-rls/

30. テナント分離

31. ノイジーネイバー問題 引用元：うるさい隣人のアンチパターン https://learn.microsoft.com/ja-jp/azure/architecture/antipatterns/noisy-neighbor/noisy-neighbor

32. ノイジーネイバー問題 引用元：スロットリングパターン https://learn.microsoft.com/ja-jp/azure/architecture/patterns/throttling

33. ノイジーネイバー問題 https://dev.classmethod.jp/articles/azure-api-management-policy/

34. ノイジーネイバー問題

35. コスト分析と最適化

36. コスト分析と最適化 全体のトランザクション数や システム全体のインフラコストは把握可能

37. コスト分析と最適化 全体のトランザクション数や システム全体のインフラコストは把握可能 テナントごとのトランザクション数や インフラコストは？

38. コスト分析と最適化 テナントコンテキストで改善

39. コスト分析と最適化 https://dev.classmethod.jp/articles/azure-ad-b2c-multi-tenancy-custom-claim/

40. コスト分析と最適化

41. コスト分析と最適化 https://dev.classmethod.jp/articles/azure-saas-tenant-context-application-insights/

42. コスト分析と最適化

43. コスト分析と最適化

44. Azure サービス固有のガイダンス • ガイダンスには結構詳しく方式など記載されているのでまずは見て使ってみるのが良 さそう • 他クラウドで流用する際にもサービスの特徴が似ているものも多いので同じガイダンス が使えそうな気もしている

45. まとめ

46. まとめ • Azure アーキテクチャセンターにまとまってる ◦ オンプレの人も、他のパブリッククラウドの人も見よう ◦ 勉強にしかならない

47. まとめ • Azure アーキテクチャセンターにまとまってる ◦ オンプレの人も、他のパブリッククラウドの人も見よう ◦ 勉強にしかならない • 今回気がついた点

    ◦ クラウドサービスの様々な制限事項にぶつかる可能性がかなり高い ◦ Azure SaaS ガイドラインにはサービスごとにどういう制限事項があって、何を考えなきゃいけ ないのかしっかり書いてある

48. • Q1: Azure Functions でビジネスロジック実行するときに、テナントコンテキストに従っ てサービスロールを昇格させたい。どうやるのが良い？ ◦ テナントAのアクセストークン経由で呼び出された Azure Functions

    はテナントA用のCosmos DB コンテ ナにアクセスのみ可能。みたいな • Q2: Azure AD B2C から他の IdP に移行した例ある？うまくいった話や苦労話があれ ば聞きたい さいごに: 誰か懇親会とかで教えてください

49. おわり