- 一、索引层隔离:按租户划分数据存储单元
- 二、权限控制:用ES安全机制限制访问范围
- 三、查询层过滤:防止跨租户数据泄露
- 四、集群管理:避免租户资源相互影响
- 五、避坑指南:这些场景容易出问题
- 总结:隔离的核心是“三层联动”
在Elasticsearch(ES)中实现租户隔离,核心是通过索引设计、权限控制和查询过滤,确保不同租户的数据相互独立。需结合ES的索引结构、安全机制和查询拦截,构建多层防护体系。
一、索引层隔离:按租户划分数据存储单元
ES的索引是数据存储的基本单位,租户隔离的基础是让不同租户的数据落在不同的索引空间,常见方案如下:
| 隔离方案 | 实现方式 | 适用场景 | 优势 | 劣势 |
|---|---|---|---|---|
| 独立索引(推荐) | 为每个租户创建独立索引,如tenant_1_logs、tenant_2_logs |
租户数量适中(数百至数千)、数据量不均 | 完全物理隔离,查询性能高,易运维 | 索引数量多,管理成本随租户增长上升 |
| 索引别名+过滤 | 共享基础索引,通过别名附加租户过滤条件(如tenant_id:1) |
租户数量多、数据结构统一 | 索引数量少,维护简单 | 过滤逻辑依赖别名,存在误操作风险 |
| 文档级租户字段 | 所有租户共享索引,文档中添加tenant_id字段 |
租户数量极大(数万+)、数据量小 | 索引数量极少,存储成本低 | 需严格控制查询过滤,易因漏写条件窜数据 |
实操建议:中小规模租户优先选“独立索引”,通过命名规范(如tenant_{id}_业务名)区分;超大规模租户可采用“文档级字段+索引生命周期管理(ILM)”,避免索引膨胀。
二、权限控制:用ES安全机制限制访问范围
ES的X-Pack Security模块(需商业授权)提供细粒度权限控制,可针对租户配置索引访问权限:
-
创建租户角色
为每个租户定义专属角色,限制其仅能操作自己的索引。例如,租户1的角色权限:{"tenant_1_role": {"cluster": [],"indices": [{"names": ["tenant_1_*"], // 匹配租户1的所有索引"privileges": ["read", "write", "create_index"]}]} } -
绑定用户与角色
为租户创建独立用户(如tenant_1_user),并关联对应的租户角色,确保用户只能访问授权索引:# 创建用户并关联角色 POST /_security/user/tenant_1_user {"password": "xxx","roles": ["tenant_1_role"],"full_name": "Tenant 1 User" } -
禁用超级权限
禁止租户用户使用*索引通配符(如*、log_*),避免越权访问其他租户索引。
三、查询层过滤:防止跨租户数据泄露
即使索引和权限隔离,仍需在查询时强制附加租户标识,防止因配置疏漏导致数据窜用:
-
客户端自动注入租户条件
在应用程序的ES客户端层(如Java的RestHighLevelClient、Python的elasticsearch-py)拦截查询请求,自动添加租户过滤条件。
示例(Java拦截器):// 拦截SearchRequest,添加tenant_id过滤 public SearchRequest intercept(SearchRequest request) {String tenantId = TenantContext.getCurrentTenantId(); // 从上下文获取当前租户IDBoolQueryBuilder boolQuery = QueryBuilders.boolQuery();// 原查询条件QueryBuilder originalQuery = request.source().query();if (originalQuery != null) {boolQuery.must(originalQuery);}// 强制添加租户条件boolQuery.filter(QueryBuilders.termQuery("tenant_id", tenantId));request.source().query(boolQuery);return request; } -
索引模板强制租户字段
通过索引模板(Index Template)定义所有租户索引必须包含tenant_id字段,并设置为keyword类型(便于精确匹配):PUT /_index_template/tenant_template {"index_patterns": ["tenant_*"], // 匹配所有租户索引"template": {"mappings": {"properties": {"tenant_id": { "type": "keyword" } // 强制租户ID字段}}} }
四、集群管理:避免租户资源相互影响
除数据隔离外,还需限制租户对ES集群资源的占用,防止单租户过度消耗资源影响 others:
-
索引配额控制
通过索引生命周期管理(ILM)或第三方工具(如Curator),限制每个租户索引的存储大小、文档数量,超出后自动删除或归档。 -
查询限流
利用ES的thread_pool设置或外部网关(如API Gateway),为租户分配查询线程池配额,限制QPS和并发量。 -
监控与告警
通过ES监控(Monitoring)或Prometheus+Grafana,跟踪各租户索引的资源使用(CPU、内存、IO),异常时触发告警。
五、避坑指南:这些场景容易出问题
-
索引命名冲突
必须严格规范索引命名(如tenant_{id}_{业务}),避免不同租户的索引名重复(如租户1和租户2都创建logs索引)。 -
超级用户操作风险
禁止使用elastic等超级用户执行业务操作,所有租户相关操作必须通过租户专属角色的用户进行。 -
跨索引查询未过滤
若使用_search接口跨索引查询(如tenant_*),需确保查询条件中包含tenant_id,否则会返回所有租户数据。
总结:隔离的核心是“三层联动”
ES租户隔离需实现“索引隔离(物理分隔)+ 权限控制(访问限制)+ 查询过滤(逻辑校验)”三层联动:
- 索引层确保数据存储分离,
- 权限层阻止越权访问,
- 查询层避免疏漏导致的过滤失效。
通过这种机制,既能满足租户数据的独立性,又能兼顾ES的查询性能和集群可维护性。