階層ベースの分離

分離に関する議論のほとんどがクロステナントアクセスを回避するメカニズムに特化していますが、サービスの階層化が分離戦略に影響を与える可能性がある場合もあります。そのような場合、テナントをどのように分離するかよりも、異なるプロファイルを持つ異なるテナントに対して、どのように異なるタイプの分離をパッケージ化し、提供するかが重要となります。また、対象とする幅広い顧客に対応するために、どの分離モデルが必要かを判断するうえで、別の考慮事項もあります。図 19 は階層による分離の違いを示した例です。

以下の例では、サイロ分離モデルとプール分離モデルの組み合わせを使って、階層としてテナントに提供しています。シルバー階層のテナントはプールされた環境で実行しています。これらのテナントは共有のインフラストラクチャモデルで実行しているものの、自分のリソースがクロステナントアクセスから保護されることを完全に期待できます。右側のテナントには、完全に専用の (サイロ) 環境を提供する必要があります。それを実現するため、SaaS プロバイダーはプレミアム階層モデルを作り、テナントがこの専用モデルで実行できるようにしています。これは通常非常に高価となります。

SaaS プロバイダーは一般的に顧客にサイロモデルを提供することを制限しようとし、多くの SaaS ビジネスではこのモデルにデプロイするにはテナントがプレミアムを支払うという、個別料金の概念があります。実際に、SaaS 企業はこのオプションを選択する顧客の数を制限するため、これをオプションとして公表することもなければ、階層として認識もしていません。あまりにも多くのテナントがこのモデルに該当する場合には、完全にサイロ化したモデルを再検討し、先ほど説明した課題の多くを受け入れることになります。

図 19: 階層ベースの分離

こういった単発の環境の影響を制限するために、SaaS プロバイダーは大抵の場合、これらのプレミアム顧客に対して、プールされた環境にデプロイされた製品の同じバージョンを実行することを求めます。これにより ISV は単一の画面から両方の環境の管理および運営が引き続きできます。基本的に、サイロ環境はたまたま 1 つのテナントをサポートしているプールされた環境のクローンとなります。