Soberania digital em nuvem: como tenant clusters redefinem o controle de dados em plataformas cloud native

O tenant cluster não é só um novo padrão de isolamento, é uma resposta operacional direta ao Data Act (em vigor desde setembro/2025) e à NIS-2 (vigente desde outubro/2024). Ele transforma exigências jurídicas em código executável: cada workload regulado roda seu próprio control plane como pods no cluster hospedeiro, com etcd ou SQLite dedicado, API server isolado e RBAC declarado por jurisdição. Isso permite auditar o ciclo de vida completo do plano de controle, desde a criação até o descarte, sem depender de SLAs de provedor ou de recursos físicos alocados por região. Projetos como vCluster já estão em produção em bancos europeus desde 2025; o vCluster Standalone, previsto para 2027, vai eliminar a dependência do cluster hospedeiro, tornando o modelo ainda mais portável.

A soberania digital deixou de ser sinônimo de 'data residency', hoje exige controle sobre o *stack de execução*. Um cluster compartilhado com múltiplos tenant clusters reduz custos operacionais em até 65% comparado a clusters dedicados (dados da Swisscom, 2025), mas mantém o raio de impacto de falhas ou violações estritamente limitado a um único tenant. Isso atende diretamente ao DORA e ao Cyber Resilience Act, que entram em vigor total em setembro/2026 e exigem resiliência granular por serviço crítico.

Em abril, a CEVIU destacou o uso de k0s + k0rdent para multi-cluster no OpenStack com Hosted Control Planes (HCP), uma abordagem que ainda exigia infraestrutura física separada por tenant. Agora, os tenant clusters eliminam essa barreira: o control plane vira workload nativa, rodando como pods em um único cluster compartilhado. Também avançamos além do GKE em conformidade PCI-DSS (abril/2026): lá, a soberania era garantida via CMEK e políticas de rede; agora, ela é codificada no próprio modelo de orquestração, o plano de controle é parte do aplicativo, não da infraestrutura.

Equipes de platform engineering não podem mais delegar soberania a contratos de SLA ou a regiões de nuvem. O US CLOUD Act continua valendo, e o GDPR não protege dados se o control plane estiver sob jurisdição estrangeira, mesmo que os dados estejam fisicamente na UE. Tenant clusters transferem o ponto de controle para dentro do domínio técnico da equipe: você define onde o scheduler roda, onde o etcd persiste, quem pode acessar o kubeconfig do tenant, tudo como código, auditável, versionável e testável. Isso muda o papel do platform engineer: de provedor de clusters para autor de fronteiras jurisdicionais executáveis.