Wie sieht die Architektur der Atlassian Cloud-Plattform aus?
Atlassian verwendet den branchenführenden Cloud-Anbieter AWS für die Hosting-Architektur. Dank Atlassians System der Datenresidenz, können Sie wählen, an welchen Standorten der Welt Ihre In-Scope Projektdaten gespeichert werden. Die Snapshot Funktion von Amazon RDS (Relational Database Service), wird verwendet, um automatisierte tägliche Backups zu erstellen. Denn die Grundprinzipien der Atlassian Cloud sind Sicherheit und Zuverlässigkeit.
Gemeinsame Plattformfunktionen werden von mehreren Atlassian-Produkten genutzt, wie das folgende Schaubild zeigt:
Diese Dienste werden über eine mandantenfähige Microservice-Architektur angeboten, die Micros, eine intern entwickelte Platform-as-a-Service (PaaS).
Jedes Atlassian-Produkt wie Jira und Confluence besteht aus mehreren „containerisierten” Diensten, die über gemeinsame Plattformfunktionen zentral verwaltet werden.
Mandantenfähige Architektur
Zusätzlich zur Cloud-Infrastruktur nutzt Atlassian eine Multi-Tenant-Architektur. Hierbei dient ein einziger Service mehreren Kunden inklusive Datenbanken und Recheninstanzen, welche zum Ausführen der Cloud-Produkte benötigt sind. Atlassian hat kein System, in dem jeder Kunde seine eigene Infrastruktur hat.
In einem Container/Tenant können folglich Daten mehrere Mandant*innen gespeichert sein. Das Jira einer Versicherung kann unter anderem direkt neben dem Jira eines Kleinunternehmens liegen. Doch diese Daten sind strikt isoliert und aufgrund der Atlassian Verschlüsselung nicht für Dritte zugänglich.
Jeder Microservice verfügt über einen eigenen Datenspeicher und kann nur mit dem Authentifizierungsprotokoll für diesen speziellen Service aufgerufen werden. Wenn ein Microservice kompromittiert wird, hat man nur begrenzten Zugriff auf die Daten, die dieser spezielle Dienst benötigt.
Mandantenbereitstellung und Lebenszyklus
Wenn ein neuer Kunde hinzugefügt wird, löst eine Reihe von Ereignissen die Orchestrierung verteilter Dienste und die Bereitstellung von Datenspeichern aus. Die Microservices sind mit minimalen Privilegien ausgestattet, um das Risiko von Sicherheitsverletzungen zu verringern.
Der Lebenszyklus von Daten kann bei Atlassian in sieben Schritte eingeteilt werden
- Die Handelssysteme werden umgehend mit den neuesten Metadaten und Zugangskontrollinformationen des Kunden aktualisiert. Trigger für diese Aktion sind:
- Erstellung eines neuen Mandanten
- Löschung eines Mandanten
- Aktivierung von Produkten
- Deaktivierung von Produkten
- Sperrung eines Produkts
- Aufhebung der Sperrung
- Lizenzaktualisierung
- Erstellung sowie Aktualisierung der Kundenseite und der richtigen Produktgruppe
- Bereitstellung von Apps und Produkten
- Der Großteil des Inhalts wird hierbei in der Nähe des Orts gehostet, wo sich die Kunden befinden. Sie können auch Datenresidenz auswählen.
- Erstellung und Speicherung der Kernmetadaten
- Erstellung und Speicherung der Website- und Produktidentitätsdaten
- Bereitstellung von Produktdatenbanken im Bereich einer Website
- Bereitstellung der für das Produkt/die Produkte lizenzierten Apps
Die folgende Darstellung zeigt, wie die Webseite für einen Kunden in der verteilten Architektur bereitgehalten wird und nicht in einem einzigen Speicher:
Mietertrennung (Tenant separation)
Atlassian hat, wie bereits erwähnt, Maßnahmen ergriffen, um sicherzustellen, dass die Kundendaten von denen anderer Kunden getrennt bleiben. Sie verwenden einen „Mandantenkontext“ (engl: tenant context), um eine logische Isolierung der Kunden zu erreichen. Das bedeutet, dass die Daten jedes Kunden im Ruhezustand logisch von denen anderer Mandanten getrennt sind und dass alle Anfragen, die verarbeitet werden, eine mandantenspezifische Ansicht haben, sodass andere Mandanten nicht beeinträchtigt werden. Dieses Konzept nennt Atlassian Tenant Context Service (TCS).
Hierbei sind die Daten für einen Mandanten in einem Kontext zentral gespeichert, welcher mit einer eindeutigen ID verbunden ist. Sobald ein Kunde in Jira oder Confluence Cloud auf seine Daten zugreifen möchte, verwendet der TCS die Mandanten-ID, damit Daten gesammelt und verknüpft werden.
Atlassian Edges
Edge bezeichnet ein von Atlassian entwickeltes System, virtuelle Wände, die um die Software herum gebaut werden. Wenn eine Anfrage eingeht, landet diese auf dem Edge, welcher dem User am nächsten ist. Atlassians Edge prüft, ob die Anfrage legitim ist, die Identität des Benutzers und leitet die Anfrage basierend auf TCS-Informationen an die Zielregion weiter. Der Knoten verwendet das Mandantenkonfigurationssystem, um benötigte Informationen zu sammeln und ruft Datenspeicher und Dienste auf. Die Anfrage enthält auch Informationen aus früheren Aufrufen.
Lesen Sie mehr in Atlassians Guide zur Cloud Architektur.