Die Verwaltung von Mehrmandantenanwendungen stellt viele B2B-Unternehmen vor große Herausforderungen, wenn es um Datenbankarchitekturen geht. Besonders bei der Nutzung von PostgreSQL als Datenbankmanagementsystem ist die Einführung einer robusten und skalierbaren Multi-Tenant-Strategie entscheidend für den Geschäftserfolg. Im Kern bedeutet Mehrmandantenfähigkeit, dass verschiedene Kunden – Mandanten genannt – innerhalb einer einzigen Datenbank getrennt und sicher verwaltet werden, ohne dass die Gefahr besteht, dass Daten aus einem Mandanten in den Kontext eines anderen gelangen. Doch wie lässt sich eine solche Mehrmandantenfähigkeit in Postgres realisieren, ohne in unübersichtliche Strukturen zu verfallen oder die Produktentwicklung zu verlangsamen? Diese Frage ist zentral für viele Entwicklerteams und Produktmanager. Ein weitverbreiteter Ansatz besteht darin, in allen Tabellen zwei wichtige Identifikatoren zu integrieren: den tenant_id und den user_id.
Der tenant_id steht für den zahlenden Kunden, also den Mandanten, während der user_id den einzelnen Benutzer innerhalb dieses Mandanten identifiziert. Alle Fragen rund um Rechte, Sichtbarkeit und Datenseparation werden letztendlich über diese beiden Werte gesteuert. Die größte Herausforderung besteht darin, sicherzustellen, dass tenant_id konsequent in jeder Tabelle vorhanden ist und in jeder SQL-Abfrage verwendet wird – das gilt für SELECT-, UPDATE- und DELETE-Operationen gleichermaßen. Denn nur so kann gewährleistet werden, dass keine Daten aus Versehen an den falschen Mandanten ausgeliefert werden. Alternative Strategien, wie das Anlegen einer eigenen Datenbank-Instanz, eines eigenen Schemas oder sogar separater Tabellen pro Kunde, bedeuten oft einen enormen Verwaltungsaufwand und verkomplizieren die Weiterentwicklung der Anwendung.
Ein column-based Multi-Tenant-System, das auf tenant_id als Schlüssel setzt, ist daher deutlich praktikabler. Es ermöglicht Skalierung auf hunderte oder tausende Kunden, ohne dass die Schemaverwaltung ausufert oder Anpassungen bei neuen Features zum Flaschenhals werden. Ein innovativer Weg, die Einhaltung der Multi-Tenant-Regeln zu gewährleisten, ist der Einsatz eines Postgres-Proxys, der als Kontrollinstanz fungiert. Ein solches System, wie etwa PgDog, wertet jede eingehende Abfrage vor deren Ausführung aufkorrekte Nutzung von tenant_id aus. Dazu wird der SQL-Query durch einen Parser analysiert, der den Abstract Syntax Tree (AST) der Abfrage erzeugt und daraufhin prüft, ob tenant_id im WHERE-Teil der Abfrage stringent verwendet wird und keine Sicherheitslücken entstehen.
Diese Methode sorgt dafür, dass fehlerhafte oder zu breit formulierte Abfragen, wie jene, die Daten über mehrere Mandanten hinweg aggregieren, umgehend blockiert werden. Die Integration eines solchen SQL-Parsers in den Proxy nutzt dabei die Leistungsfähigkeit von PostgreSQL selbst, um die komplizierte Grammatik von SQL zu verstehen. Mit entsprechender Zwischenspeicherung des Parsing-Ergebnisses im Cache wird die Performance des Systems kaum beeinträchtigt – ab der zweiten Ausführung einer gleichen Query entfällt der aufwendige Parsing-Vorgang weitgehend. So gelingt es, den Proxy schlank und performant zu halten, selbst wenn tausende verschiedener Abfragen verarbeitet werden. Mehr als nur die Präsenz der tenant_id im SQL-Statement ist dabei wichtig: Die semantische Prüfung, ob tenant_id richtig gefiltert wird, ist entscheidend.
Eine Abfrage, die tenant_id in einer Subquery ohne konkrete Filterung von Mandantendaten verwendet, könnte Datenlecks verursachen. Hingegen gewährleisten komplexe SQL-Konstruktionen wie Joins, bei denen tenant_id über mehrere Tabellen hinweg referenziert werden, dennoch die Einhaltung der Mandantentrennung, sofern eine eindeutige Verbindung zu einem mandantenspezifischen Parameter besteht. Selbst bei der Nutzung von Common Table Expressions (CTEs) wird die Validierung rekursiv durchgeführt, um auch hier keine Schwachstelle zu übersehen. Dabei sind nicht nur SELECT-Anweisungen im Fokus. Auch bei UPDATE- und DELETE-Operationen ist die konsequente Verwendung von tenant_id im WHERE-Teil Pflicht, um unbeabsichtigte Datenmanipulationen oder Löschungen über die Mandantengrenzen hinweg zu verhindern.
Idealerweise werden DELETE-Befehle komplett vermieden und sogenannte Soft Deletes mit Zeitstempel verwendet, damit Daten nachvollziehbar erhalten bleiben und keine versehentlichen Datenverluste auftreten. Ein solcher Schutzmechanismus bringt nicht nur erhöhte Sicherheit, sondern verbessert auch die Datenintegrität und Auditierung. Darüber hinaus lässt sich bei besonders sensiblen oder großen Anwendungen der Grad der Datentrennung durch Verteilung der Mandanten auf verschiedene Datenbanken steigern. Durch eine intelligente Proxy-Lösung, die Anfragen entsprechend des tenant_id an den richtigen Datenbankcluster weiterleitet, kann dabei eine hohe Isolation erzielt werden, ohne dass auf Anwendungsebene aufwändige Änderungen notwendig sind. Dies verbindet Vorteile von Multi-Tenant-Konzepten und skalierbaren Multi-Database-Architekturen und ist vor allem bei stark wachsenden Anwendungen ein bewährter Ansatz.
Insgesamt zeigt sich, dass eine durchdachte Proxy-Lösung wie PgDog dazu beitragen kann, die durch Mehrmandantenfähigkeit entstehenden Risiken und Komplexitäten massiv zu reduzieren. Die schnelle Implementierung eines Proof-of-Concepts ermöglicht zudem, durch iterative Verbesserung und den Einsatz eines Dry-Run-Modus alle potenziellen Fehlerquellen systematisch zu identifizieren und zu beseitigen. So bleibt der Entwicklungsprozess agil und risikoarm. Unternehmen können auf diese Weise schneller innovative Features ausrollen und gleichzeitig das hohe Sicherheits- und Integritätsniveau bewahren, das Kunden in der heutigen datengetriebenen Geschäftswelt erwarten. Die klare Trennung von Daten auf Basis des tenant_id als Schlüssel für Multi-Tenant-Architekturen ist übrigens nicht nur unter Sicherheitsgesichtspunkten sinnvoll, sondern auch wirtschaftlich.
Dadurch werden Verwaltungsaufwände minimiert, neue Mandanten können schnell und unkompliziert hinzugefügt werden, und die Wartbarkeit des Codes verbessert sich deutlich. Auch das Monitoring und Troubleshooting wird durch die strikte Einhaltung der Regeln vereinfacht, da etwaige Anomalien sofort mandantenspezifisch eingegrenzt und analysiert werden können. Zukunftsweisend ist zudem die Integration solcher Proxys in größere Dateninfrastrukturumgebungen, in denen Sharding, Skalierung und redundante Replikation eine große Rolle spielen. Denn hier ergeben sich vielfältige Synergien, wenn tenant_id als zentraler Sharding-Key genutzt werden kann. Eine einheitliche, mandantenorientierte Datenverkehrslenkung erhöht dabei nicht nur die Effizienz, sondern sorgt für konsistenten Datenschutz und Ausfallsicherheit auf horizontal skalierbarer Infrastruktur.
![America's Trucks Became Inferior to Europe's [video]](/images/90263BAB-09D4-4C9C-B54E-1D31DA987440)