多租户架构
Vibe Coding 平台通常需要为每个用户提供独立的环境。本文介绍 CloudBase 的多租户隔离方案。
租户隔离模型
CloudBase 采用「一租户一环境」模式,每个用户对应一个独立的 CloudBase 环境,计算/数据/存储/网络天然隔离:
关键设计点:
| 维度 | 设计方案 |
|---|---|
| Agent 与 Sandbox 分离 | Agent 运行在生产环境中(持有凭证),通过 RPC 远程调用 Sandbox(无凭证),两者隔离避免安全风险 |
| 多租户隔离 | 「一租户一环境」模式,每个用户对应一个独立的 CloudBase 环境,计算/数据/存储/网络天然隔离 |
| 弹性伸缩 | Agent 服务层无状态化,可水平扩展;Sandbox 按需创建/销毁;CloudBase 环境按量计费 |
| 冷启动优化 | Sandbox Snapshot 预热 + 模板环境克隆,减少首次使用等待时间 |
| 成本优化 | 空闲 Sandbox 实例自动回收 + 按需恢复;环境级资源配额控制 |
权限隔离方案
CloudBase 提供两种权限隔离方案,可根据需求选择(详见 方案对比文档):
| 维度 | 方案一:基于 CAM 子账号 | 方案二:无 CAM 子账号(白标) |
|---|---|---|
| 核心思路 | 为每位用户创建 CAM 子账号 | 平台自有身份系统作为授权中间层 |
| 用户账号 | 腾讯云 CAM 子账号 | 平台自有账号(可对接 SSO/LDAP) |
| 品牌感知 | 用户可感知腾讯云 | 完全白标,用户无感知 |
| 人工管理 | ✅ 可登录控制台管理/审查 | ❌ 仅通过 API/日志审查 |
| SSO 集成 | 不支持 | ✅ 支持企业 SSO |
| 适合场景 | 快速上线、内部平台 | toC 产品、有白标/OEM 需求 |
建议:可先用方案一快速验证效果,再按需升级到方案二。
凭证安全:
| 持有方 | 凭证 | 用途 |
|---|---|---|
| Agent 运行环境 | LLM API Key | 调用大模型 |
| CloudBase SecretId/SecretKey | 调用管理面 API + Sandbox RPC 认证 | |
| Sandbox 沙盒 | 环境级临时密钥(仅��用于 MCP) | 仅能操作当前用户自己的 CloudBase 环境 |