WO2022007631A1

WO2022007631A1 - 一种多租户管理方法及装置

Info

Publication number: WO2022007631A1
Application number: PCT/CN2021/101883
Authority: WO
Inventors: 夏海涛
Original assignee: 华为技术有限公司
Priority date: 2020-07-07
Filing date: 2021-06-23
Publication date: 2022-01-13
Also published as: CN113918268A; EP4177742A1; EP4177742A4

Abstract

一种多租户管理方法及装置，在该方法中，通过指示信息指示VNF实例所调用的容器对象与该VNF实例所调用的其他容器对象的部署位置是否在相同的空间范围中，来满足该VNF实例部署的隔离性需求，可以保证该VNF实例的安全性。且，空间范围例如容器集群或者命名空间等，通常是由NFVO创建的，在上述方案中，VNFM可以根据VNF的实例化请求中携带的租户的标识，请求CISM根据该指示信息在其管理的空间范围中部署容器对象，从而可以避免VNFM需要在感知容器对象所部署的空间范围的前提下才能对容器对象进行管理。

Description

一种多租户管理方法及装置

本申请要求于2020年7月7日提交中国国家知识产权局、申请号为202010647800.8、申请名称为“一种多租户管理方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种多租户管理方法及装置。

背景技术

容器即服务(container as a service，CaaS)是电信运营商网络在面向互联网技术(internet technology,IT)的云化转型过程中的一种新型的虚拟化技术。在CaaS技术中，虚拟网络功能(virtualised network function，VNF)调用一个或多个容器对象来实现它的功能，形成容器化VNF，容器化VNF的生命周期管理通过它所调用的容器对象的管理来实现。

在CaaS技术中，每个容器对象需要被调度到容器集群中相应的节点资源(包括计算资源、存储资源或者网络资源等)上运行，因此，从容器集群的角度，多个容器化VNF形成了容器集群的多租户(multi-tenancy)，多租户共享容器集群中的节点资源。请参考图1，为容器集群的多租户的一种示例的示意图。在图1中包括2个容器集群，分别为容器集群1和容器集群2，其中，容器集群1为租户1(例如为VNF1)提供节点资源，容器集群1和容器集群2为租户2(例如为VNF2)提供节点资源，容器集群2为租户3(例如为VNF3)提供节点资源。

考虑到租户中应用的安全性，可能需要对各个租户所调用的容器对象进行隔离，因此，如何对上述多租户进行管理，是目前亟待解决的问题。

发明内容

本申请提供一种多租户管理方法及装置，用以对调用容器集群的多租户进行管理。

第一方面，提供一种多租户管理方法，该方法由虚拟化网络功能管理器VNFM执行，在该方法中，VNFM首先接收VNF的实例化请求，该实例化请求中包括该VNF实例所调用的容器对象的租户的标识，然后，VNFM获取用于指示所述VNF所调用的容器对象是否与所在的同一租户中的其他容器对象部署在同一空间范围的指示信息，并将该第一消息、该VNF实例所调用的容器对象的标识、该VNF实例所调用的容器对象的租户的标识，携带在容器对象的创建请求中，发送给容器基础设施服务管理CISM，以使CISM根据创建请求中的信息，创建该VNF实例所调用的容器对象，其中，空间范围包括容器集群和/或容器集群中的命名空间。VNFM在接收所述CISM发送的容器对象的创建应答，完成该VNF实例的实例化。

在上述技术方案中，通过指示信息指示VNF实例所调用的容器对象与该VNF实例所调用的其他容器对象的部署位置是否在相同的空间范围中，来满足该VNF实例部署的隔离性需求，可以保证该VNF实例的安全性。且，上述空间范围，例如，容器集群或者命名空间，通常是由NFVO创建的，在上述方案中，VNFM可以根据VNF的实例化请求中携带的租户的标识，请求CISM根据该指示信息在其管理的空间范围中部署容器对象，从而可以避免VNFM需要在感知容器对象所部署的空间范围的前提下才能对容器对象进行管理。

进一步，上述对空间范围的说明只是两种示例，在本申请中，空间范围也可以是其他粒度的空间范围集合，在此不作限制。

在一种可能的设计中，指示信息可以包括但不限于如下两种情况：

第一种情况：

指示信息包括容器对象的亲和性/反亲和性规则，亲和性/反亲和性规则包括容器对象所在的亲和性/反亲和性组的标识，以及亲和性/反亲和性组的作用范围，该作用范围包括前述的空间范围。

在上述技术方案中，可以通过亲和性/反亲和性规则来指示该指示信息，且在本申请中，亲和性/反亲和性规则中亲和性/反亲和性组的作用范围不仅可以包括站点、区域等，也可以包括本申请中的空间范围，可以增加亲和性/反亲和性规则的适用范围。

在一种可能的设计中，亲和性/反亲和性规则可以保存在虚拟化网络功能描述符VNFD中，则VNFM可以从与VNF实例对应的VNFD中获取亲和性/反亲和性规则。

第二种情况：

指示信息包括VNF实例的生命周期管理操作中使用的空间范围的标识。

在上述技术方案中，可以根据生命周期管理操作来指示该指示信息，并在该生命周期管理操作中直接指示该空间范围的标识，实现方式简单。

在一种可能的设计中，当VNFM需要获取指示信息，则VNFM向网络功能虚拟化编排器NFVO发送包括VNF的部署位置约束的生命周期管理许可请求，该部署位置约束的范围包括前述的空间范围，然后，接收NFVO发送的生命周期管理许可应答，该生命周期管理许可应答中包括NFVO许可VNFM在生命周期管理操作中使用部署位置约束的范围，该NFVO许可的部署位置约束的范围即指示信息。

在上述技术方案中，部署位置约束的范围不仅可以包括站点、区域等，也可以包括本申请中的空间范围，可以增加部署位置约束的适用范围。

另外，在上述技术方案中，VNFM可以通过上述两种不同的方式中的任一方式获取该指示信息，可以增加多租管理方法的灵活性。

在一种可能的设计中，VNF实例所调用的容器对象的租户的标识为，该VNF实例的标识或该VNF实例所使用的容器对象包的标识。

在上述技术方案中，可以通过多种信息来指示租户的标识，可以增加方案的灵活性。

第二方面，提供一种多租户管理方法，该方法由网络功能虚拟化编排器NFVO执行，在该方法中，NFVO首先接收网络服务NS实例的实例化请求，然后确定该NS实例所包括的虚拟化网络功能VNF实例所调用的容器对象的租户的标识，并获取与该NS实例对应的网络服务描述符文件NSD，该NSD中包括该NS实例所包括的VNF实例之间的亲和性/反亲和性组，最后，NFVO将该亲和性/反亲和性组以及租户的标识携带在多租管理策略的创建请求中，发送给容器基础设施服务管理CISM，从而CISM在接收该创建请求后，则根据该亲和性/反亲和性组以及该租户的标识创建多租管理策略，该多租管理策略用于指示该租户与其他租户分别调用的容器对象是否部署在同一个空间范围，空间范围包括容器集群和/或容器集群中的命名空间，该租户与该其他租户为该NS实例所包括的VNF实例所调用的容器对象的租户。

在上述技术方案中，NFVO可以预先在CISM中创建与每个租户对应的多租管理策略，该多租管理策略可以用于指示不同租户所调用的容器对象是否部署在同一空间范围，从而可以满足不同的VNF实例部署的隔离性需求，可以保证该VNF实例的安全性。且，在本申请中，多租管理策略的适用范围不仅可以包括站点、区域等，也可以包括本申请中的空间范围，可以增加多租管理策略的适用范围。

在一种可能的设计中，NFVO可以向虚拟化网络功能管理器VNFM发送用于创建所述NS所包括的VNF实例的标识的VNF实例标识创建请求，然后，接收VNFM发送的VNF实例标识创建应答，该VNF实例标识创建应答中包括该NS实例所包括的VNF实例的标识，从而，NFVO将该NS实例所包括的VNF实例的标识映射为租户标识，即确定了NS实例所包括的虚拟化网络功能VNF实例所调用的容器对象的租户标识。

在一种可能的设计中，租户标识为该VNF实例所使用的容器对象包的标识。

在上述技术方案中，可以通过映射VNF实例的标识的方式，获取租户标识；也可以通过映射VNF实例所使用的容器对象包的标识的方式，获取租户标识，可以增加多租管理方法的灵活性。

在一种可能的设计中，NFVO还可以接收包括NS实例的标识的NS实例的终结请求，然后根据NS实例的标识，确定NS实例所包括的VNF实例所调用的容器对象的租户的标识，并将该租户的标识携带在多租管理策略的删除请求发送给CISM，从而使得CISM删除与租户的标识相关的多租管理策略。

在上述技术方案中，当终结该NS实例后，也可以删除将CISM中与该NS实例对应的租户的多租管理策略，以减少无效的多租管理策略占用的存储空间。

在一种可能的设计中，该多租管理策略包括容器对象的租户的标识、租户所包括的容器对象所在的亲和性/反亲和性组的标识、亲和性/反亲和性的类型以及所述亲和性/反亲和性组的作用范围，该作用范围包括前述的空间范围。

在上述技术方案中，多租管理策略中所述亲和性/反亲和性组的作用范围不仅可以包括站点、区域等，也可以包括本申请中的空间范围，可以多租管理策略的适用范围。

第三方面，提供一种多租户管理方法，该方法由容器基础设施服务管理CISM执行，在该方法中，CISM首先接收虚拟化网络功能管理器VNFM发送的容器对象的创建请求，该创建请求中包括VNFM请求创建的容器对象的标识、该容器对象的租户的标识以及指示信息，其中，指示信息用于指示该容器对象是否与该容器对象所在的同一租户中的其他容器对象部署在同一空间范围，该空间范围包括容器集群和/或容器集群中的命名空间；然后，CISM根据容器对象的标识、该容器对象的租户的标识以及该指示信息，创建容器对象，并向VNFM发送容器对象的创建应答。

在上述技术方案中，通过指示信息指示容器对象与该容器对象所在的同一租户中的其他容器对象是否在部署在相同的空间范围中，这样，CISM则可以根据该指示信息来创建容器对象，以满足VNF实例对容器对象部署的隔离性需求，可以保证该VNF实例的安全性。

第一种情况：

指示信息包括该容器对象的亲和性/反亲和性规则，该亲和性/反亲和性规则包括该容器对象所在的亲和性/反亲和性组的标识，以及所述亲和性/反亲和性组的作用范围，该作用范围包括前述的空间范围。

第二种情况：

指示信息包括该容器对象的租户的生命周期管理操作中使用的空间范围的标识。

在上述技术方案中，可以通过上述两种不同的信息中的任意一种信息来指示该指示信息，可以增加多租管理方法的灵活性。

在一种可能的设计中，由于指示信息的不同，则根据CISM根据指示信息创建容器对象的过程也不相同，具体来讲：

在指示信息为前述的第一种情况下，CISM首先确定所述容器对象所在的租户的其他容器对象的部署位置为第一空间范围；在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第一空间范围中创建所述容器对象；或，在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第二空间范围中创建所述容器对象，所述第一空间范围与所述第二空间范围不同。

在指示信息为前述的第二种情况下，CISM则直接在与所述空间范围的标识对应的空间范围中创建所述容器对象。

在上述技术方案中，CISM可以通过多种方式创建该容器对象，可以增加CISM的灵活性。

在一种可能的设计中，CISM还可以接收网络功能虚拟化编排器NFVO发送的多租管理策略的创建请求，该创建请求中包括虚拟化网络功能VNF实例所调用的容器对象的租户的标识以及所述VNF实例与NS实例的其他VNF实例之间的亲和性/反亲和性组；然后，CISM根据所述亲和性/反亲和性组以及所述租户的标识创建多租管理策略，所述多租管理策略用于指示所述租户与其他租户分别调用的容器对象是否部署在同一个空间范围，所述空间范围包括容器集群和/或容器集群中的命名空间，所述租户与所述其他租户为所述NS实例所包括的VNF实例所调用的容器对象的租户。

其中，对多租管理策略的说明，请参照第二方面中相应的内容，在此不再赘述。

在一种可能的设计中，CISM还可以根据容器对象的标识、容器对象的租户的标识、指示信息以及NFVO创建的多租管理策略，创建该容器对象，从而可以增加CISM的灵活性。

在一种可能的设计中，在指示信息包括该容器对象的亲和性/反亲和性规则时，CISM首先确定该容器对象所在的租户的其他容器对象的部署位置为第三空间范围；若确定所述第三空间范围满足所述多租管理策略，且在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第三空间范围中创建所述容器对象；或，若在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第四空间范围中创建所述容器对象，所述第四空间范围满足所述多租管理策略。

在一种可能的设计中，CISM还可以接收NFVO发送的多租管理策略的删除请求，该删除请求中包括租户的标识，然后，CISM则删除与该租户的标识相关的多租管理策略，从而可以删除无效的多租管理策略，可以提高CISM中存储空间的利用率。

第四方面，提供一种多租户管理装置，该装置具有实现第一方面中VNFM的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述装置的结构中包括处理器和收发器，所述处理器被配置为处理该装置执行上述方法中相应的功能。所述收发器用于实现上述装置与NFVO以及CISM之间的通信。所述装置还可以包括存储器，所述存储器用于与处理器耦合，其保存该装置必要的程序指令和数据。

在一种可能的设计中，包括处理器和收发器，其中：

收发器在处理器的控制下，接收VNF的实例化请求，所述实例化请求中包括所述VNF所调用的容器对象的租户的标识；

处理器获取指示信息，所述指示信息用于指示所述VNF所调用的容器对象是否与所在的同一租户中的其他容器对象部署在同一空间范围；所述空间范围包括容器集群和/或容器集群中的命名空间；

收发器在处理器的控制下，向容器基础设施服务管理CISM发送容器对象的创建请求，所述创建请求中包括所述容器对象的标识、所述VNF所调用的容器对象的租户的标识以及所述指示信息；以及，接收所述CISM发送的容器对象的创建应答，完成所述VNF的实例化。

其中，针对逻辑空间范围、租户的标识以及指示信息的说明，请参照第一方面中相应的内容，在此不再赘述。

在一种可能的设计中，处理器从与所述VNF对应的虚拟化网络功能描述符VNFD中获取所述亲和性/反亲和性规则。

在一种可能的设计中，收发器在处理器的控制下，向网络功能虚拟化编排器NFVO发送所述VNF的生命周期管理许可请求，所述生命周期管理许可请求中包括所述VNF的部署位置约束，所述部署位置约束的范围包括所述空间范围；然后，接收所述NFVO发送的生命周期管理许可应答，所述生命周期管理许可应答中包括所述NFVO许可所述装置在生命周期管理操作中使用所述部署位置约束的范围，所述NFVO许可的所述部署位置约束的范围即所述指示信息。

第五方面，提供一种多租户管理装置，该装置具有实现第二方面中NFVO的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述装置的结构中包括处理器和收发器，所述处理器被配置为处理该装置执行上述方法中相应的功能。所述收发器用于实现上述装置与VNFM以及CISM之间的通信。所述装置还可以包括存储器，所述存储器用于与处理器耦合，其保存该装置必要的程序指令和数据。

在一种可能的设计中，包括处理器和收发器，其中：

收发器在处理器的控制下，接收网络服务NS实例的实例化请求；

处理器确定所述NS实例所包括的虚拟化网络功能VNF实例所调用的容器对象的租户的标识；以及，获取与所述NS实例对应的网络服务描述符文件NSD，所述NSD中包括所述NS实例所包括的VNF实例之间的亲和性/反亲和性组；

收发器在处理器的控制下，向容器基础设施服务管理CISM发送多租管理策略的创建请求，所述创建请求中包括所述亲和性/反亲和性组以及所述租户的标识，所述CISM根据所述亲和性/反亲和性组以及所述租户的标识创建多租管理策略，所述多租管理策略用于指示所述租户与其他租户分别调用的容器对象是否部署在同一个空间范围，所述空间范围包括容器集群和/或容器集群中的命名空间，所述租户与所述其他租户为所述NS实例所包括的VNF实例所调用的容器对象的租户。

其中，针对逻辑空间范围以及多租管理策略的说明，请参照第二方面中相应的内容，在此不再赘述。

在一种可能的设计中，收发器在处理器的控制下，向虚拟化网络功能管理器VNFM发送VNF实例标识创建请求，所述VNF实例标识创建请求用于创建所述NS所包括的VNF实例的标识；以及，接收所述VNFM发送的VNF实例标识创建应答，所述VNF实例标识创建应答中包括所述NS实例所包括的VNF实例的标识；处理器将所述NS实例所包括的VNF实例的标识映射为所述租户标识。

在一种可能的设计中，所述租户标识为所述VNF实例所使用的容器对象包的标识。

在一种可能的设计中，收发器在处理器的控制下，接收所述NS实例的终结请求，所述终结请求中包括所述NS实例的标识；处理器根据所述NS实例的标识，确定所述NS实例所包括的VNF实例所调用的容器对象的租户的标识；收发器在处理器的控制下，向所述CISM发送多租管理策略的删除请求，所述删除请求中包括所述租户的标识，所述CISM删除与所述租户的标识相关的多租管理策略。

第六方面，提供一种多租户管理装置，该装置具有实现第三方面中CISM的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述装置的结构中包括处理器和收发器，所述处理器被配置为处理该装置执行上述方法中相应的功能。所述收发器用于实现上述装置与VNFM以及NFVO之间的通信。所述装置还可以包括存储器，所述存储器用于与处理器耦合，其保存该装置必要的程序指令和数据。

在一种可能的设计中，包括处理器和收发器，其中：

所述收发器在所述处理器的控制下，接收虚拟化网络功能管理器VNFM发送的容器对象的创建请求，所述创建请求中包括所述VNFM请求创建的容器对象的标识、所述容器对象的租户的标识以及指示信息；所述指示信息用于指示所述容器对象是否与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围；所述空间范围包括容器集群和/或容器集群中的命名空间；

所述处理器根据所述指示信息，创建所述容器对象，并控制所述收发器向所述VNFM发送容器对象的创建应答。

在一种可能的设计中，所述指示信息包括所述容器对象的亲和性/反亲和性规则，所述亲和性/反亲和性规则包括所述容器对象所在的亲和性/反亲和性组的标识，以及所述亲和性/反亲和性组的作用范围，所述作用范围包括所述空间范围。

在一种可能的设计中，所述处理器确定所述容器对象所在的租户的其他容器对象的部署位置为第一空间范围；以及，在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第一空间范围中创建所述容器对象；或，在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第二空间范围中创建所述容器对象，所述第一空间范围与所述第二空间范围不同。

在一种可能的设计中，所述指示信息包括所述容器对象的租户的生命周期管理操作中使用的空间范围的标识。

在一种可能的设计中，所述处理器在与所述空间范围的标识对应的空间范围中创建所述容器对象。

在一种可能的设计中，所述收发器在所述处理器的控制下，接收网络功能虚拟化编排器NFVO发送的多租管理策略的创建请求，所述创建请求中包括虚拟化网络功能VNF实例所调用的容器对象的租户的标识以及所述VNF实例与NS实例的其他VNF实例之间的亲和性/反亲和性组；所述处理器，根据所述亲和性/反亲和性组以及所述租户的标识创建多租管理策略，所述多租管理策略用于指示所述租户与其他租户分别调用的容器对象是否部署在同一个空间范围，所述空间范围包括容器集群和/或容器集群中的命名空间，所述租户与所述其他租户为所述NS实例所包括的VNF实例所调用的容器对象的租户。

在一种可能的设计中，所述处理器根据容器对象的标识、所述容器对象的租户的标识、所述指示信息以及所述多租管理策略，创建所述容器对象。

在一种可能的设计中，所述指示信息包括所述容器对象的亲和性/反亲和性规则，所述处理器确定所述容器对象所在的租户的其他容器对象的部署位置为第三空间范围；以及，在确定所述第三空间范围满足所述多租管理策略，且在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第三空间范围中创建所述容器对象；或，在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第四空间范围中创建所述容器对象，所述第四空间范围满足所述多租管理策略。

在一种可能的设计中，所述收发器在所述处理器的控制下，接收所述NFVO发送的多租管理策略的删除请求，所述删除请求中包括所述租户的标识；所述处理器删除与所述租户的标识相关的多租管理策略。

第七方面，提供一种多租户管理装置，该装置具有实现上述方法中VNFM的功能。该通信装置可以包括相应的功能模块，例如包括接收模块、获取模块以及发送模块等，分别用于实现第一方面的方法中的步骤。

在一种可能的设计中，包括接收模块、获取模块以及发送模块，其中：

接收模块，用于接收VNF的实例化请求，所述实例化请求中包括所述VNF所调用的容器对象的租户的标识；

获取模块，用于获取指示信息，所述指示信息用于指示所述VNF所调用的容器对象是否与所在的同一租户中的其他容器对象部署在同一空间范围；所述空间范围包括容器集群和/或容器集群中的命名空间；

发送模块，用于向容器基础设施服务管理CISM发送容器对象的创建请求，所述创建请求中包括所述容器对象的标识、所述VNF所调用的容器对象的租户的标识以及所述指示信息；

所述接收模块，还用于接收所述CISM发送的容器对象的创建应答，完成所述VNF的实例化。

其中，针对空间范围、租户的标识以及指示信息的说明，请参照第一方面中相应的内容，在此不再赘述。

在一种可能的设计中，获取模块具体用于：

从与所述VNF对应的虚拟化网络功能描述符VNFD中获取所述亲和性/反亲和性规则。

在一种可能的设计中，发送模块具体用于：

向网络功能虚拟化编排器NFVO发送所述VNF的生命周期管理许可请求，所述生命周期管理许可请求中包括所述VNF的部署位置约束，所述部署位置约束的范围包括所述空间范围；

接收模块具体用于：接收所述NFVO发送的生命周期管理许可应答，所述生命周期管理许可应答中包括所述NFVO许可所述装置在生命周期管理操作中使用所述部署位置约束的范围，所述NFVO许可的所述部署位置约束的范围即所述指示信息。

第八方面，提供一种多租户管理装置，该装置具有实现上述方法中NFVO的功能。该通信装置可以包括相应的功能模块，例如包括接收模块、确定模块、获取模块以及发送模块等，分别用于实现第二方面的方法中的步骤。

在一种可能的设计中，包括接收模块、确定模块、获取模块以及发送模块，其中：

接收模块，用于接收网络服务NS实例的实例化请求；

确定模块，用于确定所述NS实例所包括的虚拟化网络功能VNF实例所调用的容器对象的租户的标识；

获取模块，用于获取与所述NS实例对应的网络服务描述符文件NSD，所述NSD中包括所述NS实例所包括的VNF实例之间的亲和性/反亲和性组；

发送模块，用于向容器基础设施服务管理CISM发送多租管理策略的创建请求，所述创建请求中包括所述亲和性/反亲和性组以及所述租户的标识，所述CISM根据所述亲和性/反亲和性组以及所述租户的标识创建多租管理策略，所述多租管理策略用于指示所述租户与其他租户分别调用的容器对象是否部署在同一个空间范围，所述空间范围包括器集群和/或容器集群中的命名空间，所述租户与所述其他租户为所述NS实例所包括的VNF实例所调用的容器对象的租户。

其中，针对空间范围以及多租管理策略的说明，请参照第二方面中相应的内容，在此不再赘述。

在一种可能的设计中，发送模块具体用于：

向虚拟化网络功能管理器VNFM发送VNF实例标识创建请求，所述VNF实例标识创建请求用于创建所述NS所包括的VNF实例的标识；

接收模块具体用于：接收所述VNFM发送的VNF实例标识创建应答，所述VNF实例标识创建应答中包括所述NS实例所包括的VNF实例的标识；

确定模块具体用于：将所述NS实例所包括的VNF实例的标识映射为所述租户标识。

在一种可能的设计中，接收模块还用于：

接收所述NS实例的终结请求，所述终结请求中包括所述NS实例的标识；

确定模块还用于：根据所述NS实例的标识，确定所述NS实例所包括的VNF实例所调用的容器对象的租户的标识；

发送模块还用于：向所述CISM发送多租管理策略的删除请求，所述删除请求中包括所述租户的标识，所述CISM删除与所述租户的标识相关的多租管理策略。

第九方面，提供一种多租户管理装置，该装置具有实现上述方法中CISM的功能。该通信装置可以包括相应的功能模块，例如包括接收模块、创建模块以及发送模块等，分别用于实现第三方面的方法中的步骤。

在一种可能的设计中，包括接收模块、创建模块以及发送模块，其中：

接收模块，用于接收虚拟化网络功能管理器VNFM发送的容器对象的创建请求，所述创建请求中包括所述VNFM请求创建的容器对象的标识、所述容器对象的租户的标识以及指示信息；所述指示信息用于指示所述容器对象是否与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围；所述空间范围包括容器集群和/或容器集群中的命名空间；

创建模块，用于根据容器对象的标识、所述容器对象的租户的标识以及所述指示信息，创建所述容器对象；

发送模块，用于向所述VNFM发送容器对象的创建应答。

其中，针对空间范围以及多租管理策略的说明，请参照第三方面中相应的内容，在此不再赘述。

在一种可能的设计中，所述创建模块具体用于：

确定所述容器对象所在的租户的其他容器对象的部署位置为第一空间范围；

在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第一空间范围中创建所述容器对象；或，在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第二空间范围中创建所述容器对象，所述第一空间范围与所述第二空间范围不同。

在一种可能的设计中，所述创建模块具体用于：

在与所述空间范围的标识对应的空间范围中创建所述容器对象。

在一种可能的设计中，所述接收模块还用于：

接收网络功能虚拟化编排器NFVO发送的多租管理策略的创建请求，所述创建请求中包括虚拟化网络功能VNF实例所调用的容器对象的租户的标识以及所述VNF实例与NS实例的其他VNF实例之间的亲和性/反亲和性组；

所述创建模块，还用于根据所述亲和性/反亲和性组以及所述租户的标识创建多租管理策略，所述多租管理策略用于指示所述租户与其他租户分别调用的容器对象是否部署在同一个空间范围，所述空间范围包括容器集群和/或容器集群中的命名空间，所述租户与所述其他租户为所述NS实例所包括的VNF实例所调用的容器对象的租户。

在一种可能的设计中，所述创建模块具体用于：

根据容器对象的标识、所述容器对象的租户的标识、所述指示信息以及所述多租管理策略，创建所述容器对象。

在一种可能的设计中，所述指示信息包括所述容器对象的亲和性/反亲和性规则，所述创建模块具体用于：

确定所述容器对象所在的租户的其他容器对象的部署位置为第三空间范围；

确定所述第三空间范围满足所述多租管理策略，且在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第三空间范围中创建所述容器对象；或，

在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第四空间范围中创建所述容器对象，所述第四空间范围满足所述多租管理策略。

在一种可能的设计中，所述接收模块还用于：接收所述NFVO发送的多租管理策略的删除请求，所述删除请求中包括所述租户的标识；所述创建模块还用于，删除与所述租户的标识相关的多租管理策略。

第十方面，本申请实施例中还提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行第一方面中VNFM或第二方面NFVO或第三方面CISM所执行的方法。

第十一方面，本申请实施例中还提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行第一方面中VNFM或第二方面NFVO或第三方面CISM所执行的方法。

第十二方面，本申请实施例提供了一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现第一方面中VNFM或第二方面NFVO或第三方面CISM所执行的方法。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

上述第四方面至第十二方面及其实现方式的有益效果可以参考对第一方面或第二方面或第三方面的方法及其实现方式的有益效果的描述。

附图说明

图1为容器集群的多租户的一种示例的示意图；

图2为kubernetes容器管理编排系统的架构图；

图3为一种NFV架构的示意图；

图4为本申请实施例提供的多租户管理方法的一种示例的流程图；

图5为本申请实施例提供的空间范围的示例的示意图；

图6为本申请实施例提供的多租户管理方法的另一种示例的流程图；

图7为本申请实施例提供的多租户管理的一种示例的结构示意图；

图8为本申请实施例提供的多租户管理的另一种示例的结构示意图；

图9为本申请实施例提供的多租户管理的另一种示例的结构示意图；

图10为本申请实施例提供的多租户管理的另一种示例的结构示意图；

图11为本申请实施例提供的多租户管理的另一种示例的结构示意图；

图12为本申请实施例提供的多租户管理的另一种示例的结构示意图。

具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地详细描述。

本申请实施例中“多个”是指两个或两个以上，鉴于此，本申请实施例中也可以将“多个”理解为“至少两个”。“至少一个”，可理解为一个或多个，例如理解为一个、两个或更多个。例如，包括至少一个，是指包括一个、两个或更多个，而且不限制包括的是哪几个，例如，包括A、B和C中的至少一个，那么包括的可以是A、B、C、A和B、A和C、B和C、或A和B和C。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。在本申请实施例中，“调用”和“使用”可以互换使用。

除非有相反的说明，本申请实施例提及“第一”、“第二”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度。

如上介绍了本申请实施例涉及的一些概念，下面介绍本申请实施例所涉及的技术特征。

请参考图2，为CaaS技术的一种示例，kubernetes(K8S)容器管理编排系统的架构图。

kubernetes将容器集群中的基础设施资源划分为一个kubernetes主节点(master)和一群工作节点(node)。其中，master节点(也称管理节点)上运行着容器集群管理相关的一组进程，例如，应用程序编程接口服务(application programming interface server，API server)、复制控制器(replication controller，RC)等，这些进程实现了整个容器集群的资源管理、容器仓(Pod)调度、弹性伸缩、安全控制、系统监控和纠错等管理功能。在每个工作节点上运行kubelet、proxy、docker三个组件，负责对本节点上的Pod的生命周期进行管理，以及实现服务代理的功能。如图2所示，一个Pod中可以包括至少一个容器，则一个Pod可以理解为一个或多个容器组成的容器仓。

其中，API Server提供了资源对象的唯一操作入口，其他所有组件都必须通过它提供的API接口来操作资源数据，通过对相关的资源数据“全量查询”以及“变化监听”，完成相关的业务功能。

controller manager是容器集群的管理控制中心，其主要目的是实现kubernetes集群的故障检测和恢复自动化工作。例如，可以根据RC的定义完成Pod的复制或移除，以确保Pod实例数符合RC的定义、根据服务(service)与Pod的管理关系，完成service的端点(endpoints)对象的创建和更新、node的发现、管理和状态监控、以及本地缓存的镜像文件的清理等。

kubelet组件负责本节点上的Pod的创建、修改、监控、删除等全生命周期管理，同时Kubelet定时向API Server上报本节点的状态信息。

proxy组件用于实现service的代理与软件模式的负载均衡。

docker组件为容器的运行环境。

请参考图3，为一种NFV架构的示意图。该NFV架构可以实现多种网络，例如局域网(local area network，LAN)、互联网协议(internet protocol，IP)网络或者演进分组核心网(evolved packet core，EPC)网络等。

随着虚拟化技术的不断发展，业界提出了在NFV管理编排(management and orchestration，MANO)的参考架构内引入容器管理。请参考图3，为在欧洲通信标准协会 (european telecommunications standards institute，ETSI)的下属的NFV行业标准组定义的一种NFV MANO系统管理容器集群的部署用例。

如图3所示，在该部署用例中包括NFV-MANO 310、一个或多个运营支撑系统/业务支撑系统(operation support system/business support system，OSS/BSS)320、多个网元管理系统(element manager，EM)330、多个VNF340以及NFV基础设施(NFV infrastructure，NFVI)350。

OSS/BSS 320主要面向电信服务运营商，提供综合的网络管理和业务运营功能，包括网络管理(例如故障监控、网络信息收集等)、计费管理以及客户服务管理等。

EM 330用于针对VNF执行传统的故障、配置、用户、性能和安全管理(fault management,configuration management,account management,performance management,security management，FCAPS)功能。

VNF 340对应于传统非虚拟化网络中的物理网络功能(physical network function，PNF)，如虚拟化的分组核心网(evolved packet core，EPC)节点(例如，移动性管理实体(mobility management entity，MME)，服务网关(serving gateway，SGW)，公用数据网网关(public data network gateway，PGW)等)。网络功能的功能性行为和状态与虚拟化与否无关，NFV技术需求希望VNF和PNF拥有相同的功能性行为和外部接口。

VNF 340可以由一个或多个容器对象来组成，一个容器对象可以理解为图2中的pod，而每个pod可以部署在一个容器集群节点资源池中，每个容器集群节点资源池中的资源可以是虚拟机(virtual machine，VM)或者裸金属(bare metal)服务器，每个VM承载一个或多个容器对象。

NFVI 350可以包括虚拟资源层。该虚拟资源层中可以包括多个VM，该多个VM可用于形成一个或多个容器集群节点资源池，比如，在图3中VM1～VM3形成容器集群节点资源池1，VM4～VM6形成容器节点资源池2。

NFV-MANO 310可以包括NFV编排器(NFV orchestrator，NFVO)311，一个或多个VNFM 312，容器基础设施服务管理(container infrastructure service management，CISM)313，容器集群管理(container cluster management，CCM)314以及虚拟基础设施管理器(virtualised infrastructure manager，VIM)315。

其中，NFVO用于实现网络服务描述符(network service descriptor，NSD)，虚拟网络功能转发图(VNF forwarding graph，VNFFG)的管理及处理，网络服务生命周期的管理，以及，和VNFM配合实现VNF的生命周期管理和虚拟资源的全局视图功能。

VNFM实现VNF的生命周期管理，包括虚拟化网络功能描述符(VNF descriptor，VNFD)的管理、VNF的实例化、VNF实例的弹性伸缩(包括扩容(scaling out/up)和缩容(scaling in/down))、VNF实例的治愈(healing)以及VNF实例的终止。VNFM还支持接收NFVO下发的弹性伸缩(scaling)策略，实现自动化的VNF弹性伸缩。

VIM主要负责NFVI中资源的管理(包括预留和分配)，虚拟资源状态的监控和故障上报，面向上层应用提供虚拟化资源池。

CISM也可以称为CaaS管理，负责管理VNF所调用的容器对象，包括容器对象的创建、更新和删除，并在其纳管的容器集群节点资源池中将容器对象调度到相应的VM对应的节点资源上，该节点资源包括计算资源、存储资源和网络资源等。容器对象在ETSI标准中对应的概念是被管理的容器基础设施对象(managed container infrastructure object， MCIO)。

CCM负责对容器集群进行管理，包括容器集群所使用的节点资源池的创建和节点资源池的扩容或者缩容等。容器集群是由一个管理节点(例如，图2中的Kubernetes Master)和一系列的工作节点(例如，图2中的node)组成的集合。容器集群是一个动态的系统，在容器集群中可以部署多个容器，这些容器的状态和容器之间的通信可以被监控和管理系统所监控。容器集群在ETSI标准中对应的概念是容器基础设施服务集群(container infrastructure service cluster，CIS Cluster)。

CISM和CCM在北向接口上为NFVO或VNFM提供了调用其功能的管理服务。

由图3所示的部署用例可知，容器对象可以被VNF直接调用，形成容器化VNF，因此，从容器集群的角度，多个容器化VNF形成了容器集群的多租户，如图1所示。在图1所示的场景中，不同的租户可能会部署在相同的容器集群中，例如，VNF1和VNF2均需要调用容器集群1提供的节点资源，也就是说，VNF1和VNF2都需要部署在容器集群1中。同一个租户所调用的容器对象也可以部署在不同的容器集群中，例如，VNF2需要分别调用容器集群1和容器集群2提供的节点资源。出于租户中应用的安全性考虑，可能需要对不同租户所调用的容器对象进行隔离，因此，当存在如图1所示的情况时，该如何对该多租户进行管理，以保证各个租户的应用运行的安全性，是目前亟待解决的问题。

鉴于此，本申请实施例提供一种多租户管理方法，在该方法中，当虚拟化网络功能管理器VNFM接收包括VNF所调用的容器对象的租户的标识的VNF的实例化请求后(在这里VNF所调用的容器对象的租户指代该VNF)，VNFM会获取用于指示该VNF所调用的容器对象是否与该VNF中的其他容器对象部署在同一逻辑空间范围的指示信息，然后，VNFM向容器基础设施服务管理CISM发送容器对象的创建请求，并在该创建请求中携带该容器对象的标识、该VNF所调用的容器对象的租户的标识以及该指示信息。CISM在接收到创建请求后，则根据预存的多租管理策略和该创建请求中的指示信息，创建该VNF所调用的容器对象，并向VNFM发送VNF实例化应答，完成该VNF的实例化过程。

在上述技术方案中，通过指示信息指示VNF实例所调用的容器对象与该VNF实例所调用的其他容器对象的部署位置是否在相同的逻辑空间范围中，来满足该VNF实例部署的隔离性需求，可以保证该VNF实例的安全性。且，逻辑空间范围通常是由NFVO创建的，在上述方案中，VNFM可以根据VNF的实例化请求中携带的租户的标识，请求CISM根据该指示信息在其管理的逻辑空间范围中部署容器对象，从而可以避免VNFM需要在感知容器对象所部署的逻辑空间范围的前提下才能对容器对象进行管理。

本申请实施例描述的NFV MANO系统管理容器集群的部署用例以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

下面，结合附图介绍本申请实施例提供的技术方案。

请参考图4，为本申请实施例提供的多租户管理方法的流程图。

在下文的介绍过程中，以该方法应用于图3所示的NFV MANO系统管理容器集群的部署用例为例，也就是，下文中的NFVO、VNFM、CISM可以是图3所示的NFVO、VNFM、CISM。另外，该方法可由多个通信装置执行，这多个通信装置可以分别是NFVO、VNFM、CISM或能够支持NFVO、VNFM、CISM实现该方法所需的功能的通信装置，当然还可以是其他通信装置，例如芯片系统。这里对于该多个通信装置的实现方式均不做限制。

S401、NFVO接收网络服务NS实例的实例化请求。

在本申请实施例中，该NS实例的实例化请求可以为图3所示的部署用例中的OSS/BSS发起的，在此不对该NS实例的实例化请求的发起方进行限制。

该NS实例的实例化请求中，可以携带NS实例的标识。当NFVO接收到该实例化请求后，可以验证该实例化请求的正确性。例如，可以验证该实例化请求中携带的NS实例的标识是否正确，在验证通过后，NFVO则执行NS实例化过程。

S402、NFVO确定该NS实例所包括的VNF实例所调用的容器对象的租户的标识。

在本申请实施例中，租户可以理解为建立在不同层级的空间范围内的租户，且在本申请实施例中，租户用于指示所创建的VNF实例。

下面，对不同层级的空间范围进行说明。

在本申请实施例中，空间范围可以包括但不限于：站点(site或NFVI-PoP，也称为数据中心)、区域(zone)、区域组(zone group)、主机(host)、容器集群以及命名空间(namespace)。其中，站点、区域、区域组、主机可以称为物理空间范围，它们代表物理上相互分离的不同层级或颗粒的基础设施资源的范围。容器集群以及容器集群下的命名空间也可以称为逻辑空间范围或者虚拟空间范围，是对容器应用(例如：容器化VNF)所运行的节点集合进行的不同层级或颗粒的逻辑对象的抽象。其中，容器集群的概念在前述对CCM的介绍中已经进行了说明，在此不再赘述。命名空间是由一组特定的标识符、资源、策略和授权组成的逻辑分组，该逻辑分组可以独占容器集群下的节点资源的一个子集，将该子集中的节点资源分配给逻辑分组内标识符所代表的对象使用。例如，请参考图5，在图3所示的部署用例中，在每个容器集群内可以包括一个用于管理该容器集群的CISM，该CISM为NFVO提供了命名空间的创建(create)、查询(read)、更新(update)和删除(delete)等管理功能，也就是说，命名空间是由NFVO在容器集群内创建的，通常情况下，VNFM不感知由NFVO创建的命名空间。该CISM可以为部署在该容器集群下的其中一个节点上。如图5所示，容器集群1中包括4个节点，容器集群2包括5个节点，其中，CISM部署在每个容器集群中的一个节点上；每个节点上包括多个资源，例如，容器集群1中的剩余3个节点中分别包括计算资源1～计算资源4，容器集群2中的剩余4个节点中分别包括计算资源1’～5’。NFVO可以在容器集群1中创建2个命名空间，这2个命名空间的标识信息分别为b1和b2，也就是说，命名空间b1占用容器集群1中3个节点的一部分资源，例如，占用剩余3个节点中每个节点的计算资源1和计算资源2，命名空间b2占用容器集群1中3个节点的另一部分资源，例如，占用剩余3个节点中每个节点的计算资源3和计算资源4，这两个命名空间所占用的节点的资源不重叠，在图5中，通过虚线箭头来指示每个命名空间所占用的节点的资源。NFVO可以在容器集群2中创建2个命名空间，这2个命名空间的标识信息分别为b3和b4，也就是说，命名空间b3占用容器集群2中剩余4个节点的一部分资源，例如，占用剩余4个节点中每个节点的计算资源1’～计算资源3’；命名空间b4占用容器集群2中剩余4个节点的另一部分资源，例如，占用剩余4个节点中每个节点的计算资源4’和计算资源5’，这两个命名空间所占用的节点的资源不重叠。当然，本申请实施例不对NFVO在每个容器集群创建的命名空间的数量进行限制。

在上述不同层级的空间范围的前提下，该租户可以是指某个容器集群中的租户，或者，该租户也可以是指跨不同容器集群的某个站点中的租户，或者，该租户可以是指由上述多个不同的空间范围的组合所对应的空间范围内的租户，在此不对租户所使用的空间范围进行限制。为方便说明，下文中以容器集群中的租户为例进行说明。

作为一种示例，在本申请实施例中，NFVO可以通过与VNFM进行交互来获取该NS实例所包括的VNF实例所调用的容器对象的租户标识，具体可以包括如下步骤：

当NFVO接收到该NS的实例化请求后，首先确定该NS实例所包括的至少一个VNF实例。例如，NFVO可以根据该NS的实例化请求中携带的NS的标识，获取该NS的网络服务描述符文件(network service descriptor，NSD)，根据该NSD确定该NS所包括的VNF实例，该NS所包括的VNF实例的数量可以是一个也可以是多个，在此不作限制。然后，NFVO可以向VNFM发送用于创建该NS所包括的VNF实例的标识的VNF实例标识创建请求。该VNF实例标识创建请求可以用于创建该NS所包括的所有的VNF实例的标识，或者，NFVO可以针对每个VNF实例发送一个VNF实例标识创建请求，在此不对该VNF实例标识创建请求的数量进行限制。VNFM在接收该VNF实例标识创建请求后，则创建与对应的VNF实例的标识，并向NFVO发送VNF实例标识创建应答，该VNF实例标识创建应答中包括VNFM创建的VNF实例的标识。当NFVO接收该VNF实例标识创建应答后，则将该VNF实例标识创建应答中所包括的VNF实例的标识映射为对应的VNF实例所调用的容器对象的租户标识。

需要说明的是，在VNFM中还可以包括用于对容器对象的模板进行描述的容器对象包，在ETSI NFV标准中，容器对象包对应的概念是被管理的容器基础设施对象包(managed container infrastructure object package，MCIOP)。在这种情况下，当VNFM接收到该VNF实例标识创建请求后，也可以获取与该VNF实例所调用的容器对象对应的容器对象包的标识，然后将该容器对象包的标识携带在VNF实例标识创建应答中发送给NFVO。NFVO则可以将该容器对象包的标识映射为对应的VNF实例所调用的容器对象的租户标识。

当然，NFVO也可以通过其他方式获取该NS实例所包括的VNF实例所调用的容器对象的租户标识，在此不一一说明。

S403、NFVO获取与该NS实例对应的NSD。

NFVO可以根据该NS实例的标识，获取与其对应的NSD。在本申请实施例中，该NSD中包括该NS实例所包括的VNF实例之间的亲和性/反亲和性组。下面，对亲和性/反亲和性组进行说明。

亲和性/反亲和性组是根据亲和性/反亲和性规则得到的。亲和性/反亲和性规则是NFV技术中的一种部署策略，用于约束要部署的虚拟化功能对象在映射为实际的物理资源时位置相近或相远的部署要求，该虚拟化功能对象可以包括组成VNF实例的一个或多个VNF组件(VNF component，VNFC)或者用于连接各个VNF实例之间的虚拟链路(virtual link，VL)等。

举例来说，对于VNFC而言，VNFC的虚拟化计算资源的亲和性规则限定了在一个亲和性组中的两个或多个VNFC要部署在相同的计算节点上，VNFC的虚拟化计算资源的反亲和性规则限定了在一个反亲和性组中的两个或多个VNFC要部署在不同的计算节点上。对于虚拟链路VL而言，VL的虚拟化网络资源的亲和性规则限定了一个亲和性组中的两个或多个VL要部署在相同的物理网络连接上，VL的虚拟化网络资源的反亲和性规则限定了一个反亲和性组中的两个或多个VL要部署在不同的物理网络连接上。该亲和性/反亲和性规则也可以理解为在一定作用范围内的亲和性/反亲和性规则，该作用范围的可以包括但不限于：机槽(slot)、机框(rack)、机架(shelf)、主机(host)、区域(zone)、区域组(zone group)、站点(site或NFVI-PoP)等。例如，若该亲和性/反亲和性规则是指在机槽范围内的规则，则VNFC的虚拟化计算资源的亲和性规则可以限定在一个亲和性组中的两个或多个VNFC要部署在同一个机槽中的计算节点上；若该亲和性/反亲和性规则是指在区域范围内的规则，则VNFC的虚拟化计算资源的亲和性规则可以限定在一个亲和性组中的两个或多个VNFC要部署在同一个区域中的计算节点上。当该作用范围为其他情况时，对该亲和性/反亲和性规则的理解可以参照前述当区域范围为机槽或区域的说明，在此不一一举例。

在本申请实施例中，对亲和性/反亲和性规则的作用范围进行了扩展，具体如下：

在前述对亲和性/反亲和性规则的介绍中，该亲和性/反亲和性规则的作用范围是包括机槽、机架等物理空间范围，而本申请实施例中的亲和性/反亲和性规则对应的作用范围不仅包括上述物理空间范围，还增加了包括但不限于容器集群和/或容器集群中的命名空间的空间范围(或称为逻辑空间范围)，通过该物理空间范围和逻辑空间范围一起来确定VNF实例所调用的容器对象要部署的位置。由于本申请实施例中的亲和性/反亲和性规则的作用范围包括该逻辑空间范围，因此，可以保证VNF实例所调用的容器对象可以根据该亲和性/反亲和性规则部署到相同或者不同的容器集群中，或者，部署到相同或者不同的命名空间中。

需要说明的是，该亲和性/反亲和性规则中指示的空间范围可以理解为一个指示的是空间范围的类型，例如，空间范围的类型可以分为两种，一种是容器集群，另一种是容器集群下的命名空间，则该亲和性/反亲和性规则只能用于指示是将VNF实例所调用的容器对象与该租户的其他容器对象是否部署到同一个类型的空间范围中，例如，部署到同一个容器集群，或者部署到同一个命名空间。但是，同一类型的空间范围可能有多个，例如，有多个容器集群，分别标记为容器集群1～容器集群3，若该亲和性/反亲和性规则指示该VNF实例所调用的容器对象与该租户的其他容器对象部署在同一个容器集群中，那么该VNF实例所调用的容器对象具体是部署在容器集群1～容器集群3中的哪一个容器集群，是无法通过该亲和性/反亲和性规则指示的，具体部署在哪一个容器集群中，可以由CISM根据预设的规则进行确定，在此不再赘述。

作为一种示例，本申请实施例分别对ETSI NFV标准定义的NSD信息模型中的VNF配置文件(VNF profile)和虚拟链路配置文件(virtual link profile)，以及VNFD信息模型中的VDU配置文件(VDU profile)和虚拟链路配置文件(virtual link profile)中的亲和性/反亲和性规则中的“范围(scope)”属性进行扩展，例如，可以扩展本地亲和性/反亲和性规则(local affinity or anti-affinity rule)信息单元的“范围(scope)”属性和亲和性/反亲和性组(affinity or antiaffinity group)信息单元的“范围(scope)”属性等，在此不作限制。例如，可以在“范围(scope)”属性中，通过枚举的方式指示该亲和性/反亲和性规则的作用范围，该作用范围包括站点(NFVI-PoP)、区域(zone)、区域组(zone group)、节点(node)、容器集群、命名空间等。

由上述内容可知，亲和性/反亲和性规则的作用范围增加了容器集群和命名空间，从而可以指示一个亲和性组内的所有的容器对象都部署在同一个容器集群中，或者，都部署在同一个命名空间中；或者，可以指示一个反亲和性组内的所有的容器对象都部署在不同的容器集群或者部署在不同的命名空间中。需要说明的是，对于反亲和性组，可以将物理空间范围和逻辑空间范围联合起来进行定义。例如，若一个反亲和性组的作用范围为某一个命名空间，则可以理解为该反亲和性组内的所有的容器对象都部署在同一站点的相同容器集群下的不同命名空间中，或者，也可以理解为该反亲和性组内的所有的容器对象都部署在同一站点的不同容器集群下的不同命名空间。

需要说明的是，在本申请实施例中不限制步骤S402和步骤S403的执行顺序，即可以先执行步骤S402在执行步骤S403，或者也可以先执行步骤S403在执行步骤S402，或者也可以同时执行步骤S402和步骤S403。在图4中，以先执行步骤S402再执行步骤S403为例进行示例。

S404、NFVO向CISM发送多租管理策略的创建请求，CISM接收该多租管理策略的创建请求。

当NFVO获取该NS所包括的VNF实例所调用的容器对象的租户的标识以及该NS实例所包括的VNF实例之间的亲和性/反亲和性组后，则向CISM发送多租管理策略的创建请求，该创建请求中包括该亲和性/反亲和性组以及该租户的标识。

S405、CISM根据该亲和性/反亲和性组以及该租户的标识创建并存储多租管理策略。

在本申请实施例中，该多租管理策略用于指示该租户与其他租户分别调用的容器对象是否部署在同一个空间范围，该租户与该其他租户均为该NS实例所包括的VNF实例所调用的容器对象的租户。例如，该NS实例包括3个VNF实例，分别标记为VNF实例1～VNF实例3，VNF实例1～VNF实例3所调用的容器对象的租户的标识分别为租户1～租户3，则CISM可以针对每个租户创建对应的多租管理策略，其中，与租户1对应的多租管理策略用于指示租户1与租户2、租户3分别调用的容器对象是否部署在同一个空间范围；与租户2对应的多租管理策略用于指示租户2与租户1、租户3分别调用的容器对象是否部署在同一个空间范围，以此类推。

作为一种示例，多租管理策略包括容器对象的租户的标识、该租户所包括的容器对象所在的亲和性/反亲和性组的标识、亲和性/反亲和性的类型以及所述亲和性/反亲和性组的作用范围，其中，规则类型包括亲和性或反亲和性，规则作用的范围可以包括前述物理空间范围和逻辑空间范围中的任意一个或任意多个的组合。具体来将，CISM可以将获取的亲和性/反亲和性组以及该租户的标识绑定在一起，形成该租户所调用的容器对象的多租管理策略，存储在CISM中。该多租管理策略可以表示为{租户的标识(标记为tenantID)，亲和性或反亲和性组的标识(标记为groupID)，规则类型，规则作用的范围}，例如，CISM创建的多租管理策略的一种示例为{租户1，亲和性组1，亲和性，命名空间1}，则表示租户1所调用的容器对象被部署在亲和性组1中，该亲和性组内的所有成员都在同一个命名空间中。

需要说明的是，在此不对CISM创建的多租管理策略的具体形式进行限制。

至此，NFVO在CISM中已创建了面向多个租户的多租管理策略，这样，当后续NFVO向VNFM发送针对该NS所包括的VNF实例进行实例化的实例化请求后，则可以根据该多租管理策略创建所需的VNF实例。

S406、CISM向NFVO发送多租管理策略的创建应答，NFVO接收该多租管理策略的创建应答。

S407、NFVO向VNFM发送VNF实例的实例化请求，VNFM接收该实例化请求。

在本申请实施例中，该实例化请求中包括VNF所调用的容器对象的租户的标识，即该VNF实例的标识。需要说明的是，若该NS包括多个VNF实例，则NFVO需要分别发送针对每一个VNF实例的实例化请求，为方便说明，下文中以NFVO发送的其中一个实例化请求为例，针对其他VNF实例的处理与下文中的过程，在此不再赘述。

S408、VNFM获取指示信息。

在本申请实施例中，该指示信息用于指示VNF所调用的容器对象是否与所在的同一租户(即该VNF实例)中的其他容器对象部署在同一逻辑空间范围。作为一种示例，该指示信息可以理解为容器对象的亲和性/反亲和性规则。在这种情况，当VNFM接收到VNF实例的实例化请求后，则可以根据该VNF实例的标识，获取与该VNF实例对应的虚拟化网络功能描述符文件VNFD，从VNFD中获取该亲和性/反亲和性规则。作为一种示例，该亲和性/反亲和性规则包括该VNF实例所调用的容器对象的亲和性/反亲和性规则类型(例如，为亲和性或者反亲和性)，该亲和性/反亲和性规则容器对象所在的亲和性/反亲和性组的标识，以及亲和性/反亲和性组的作用范围，该作用范围包括前述的空间范围，例如，可以表示为：{亲和性/反亲和性组的标识，规则类型，规则作用的范围}；或者，该亲和性/反亲和性规则中还可以包括容器对象的标识，例如，可以表示为：{容器对象的标识，亲和性/反亲和性组的标识，规则类型，规则作用的范围}。其中，该亲和性/反亲和性规则中包括的每一项信息可以参照前述内容，在此不再赘述。

S409、VNFM向CISM发送容器对象的创建请求，CISM接收该容器对象的创建请求。

在本申请实施例中，该创建请求中包括所创建的容器对象的标识、该容器对象的租户的标识(即该VNF实例的标识)以及该指示信息(即容器对象的亲和性/反亲和性规则)。需要说明的是，若VNF所调用的容器对象有多个，则VNFM可以向CISM发送多个容器对象的创建请求，以创建该多个容器对象，或者，该VNFM也可以只发送一个容器对象的创建请求，将该多个容器对象的标识携带在该创建请求中，在此不对VNFM发送该容器对象的创建请求的方式进行限制。

S410、CISM根据容器对象的标识、所述容器对象的租户的标识以及该指示信息，创建该容器对象。

在本申请实施例中，CISM创建容器对象的方式可以包括但不限于如下两种方式：

第一种方式，CISM仅根据容器对象的标识、所述容器对象的租户的标识以及该指示信息创建容器对象。

作为一种示例，CISM接收该容器对象的创建请求后，则根据该创建请求中容器对象的亲和性/反亲和性规则，确定容器对象所部署的容器集群和/或容器集群下的命名空间的位置，然后在确定的位置下，创建该容器对象。具体来讲，CISM首先确定该容器对象所在的租户的其他容器对象的部署位置，例如为第一空间范围，该第一空间范围可以为前述的空间范围中的任意一个，例如，为某一个容器集群或者某一个命名空间。若指示信息指示该容器对象与该容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，则CISM在该第一空间范围中创建该容器对象。若指示信息指示该容器对象不与该容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，则CISM从其他的空间范围中选择与第一空间范围不同的第二空间范围，从而在该第二空间范围中创建该容器对象。

例如，CISM根据指示信息确定该VNF实例所调用的容器对象与该VNF实例调用的其他容器对象部署在同一个容器集群下的同一命名空间中，则CISM可以根据其管理的多个命名空间中的资源的可用性情况，确定将该VNF实例所调用的容器对象部署在哪个命名空间中。例如：该VNF实例调用的容器对象包括容器对象c1～c3，若指示信息指示容器对象c1与该VNF实例的其他容器对象(即容器对象c2和容器对象c3)部署在同一空间范围，且该VNF实例调用的其他容器对象c2已经部署在标识信息为b1的命名空间中，或者该VNF实例所调用的容器对象c1的亲和组中的其他成员容器对象c3已经部署在标识信息为b1的命名空间中，而且该命名空间有足够的资源来承载容器对象c1的运行，则CISM将容器对象c1也部署在标识信息为b1的命名空间中。若指示信息指示，容器对象c1与该VNF实例的其他容器对象部署在不同的空间范围，且该VNF实例调用的其他容器对象c2已经部署在标识信息为b1的命名空间中，或者该VNF实例所调用的容器对象c1的亲和组中的其他成员容器对象c3已经部署在标识信息为b1的命名空间中，则CISM确定需要将容器对象c1部署在其他命名空间中，例如，部署在标识信息为b2的命名空间中。当然，CISM也可以根据其他的算法确定具体在哪个命名空间中部署VNF实例所调用的容器对象，在此不作限制。

第二种方式，CISM根据容器对象的标识、所述容器对象的租户的标识、预存的多租管理策略和指示信息，创建容器对象。

作为一种示例，CISM在根据该创建请求中容器对象的亲和性/反亲和性规则，确定容器对象所部署的容器集群和/或容器集群下的命名空间的位置后，还可以根据执行步骤S405所存储的多租管理策略，进一步确认或调整容器对象所部署的容器集群和/或容器集群下的命名空间的位置，以避免调用该容器对象的租户使用了与容器对象的亲和性/反亲和性规则不匹配的其他租户使用的容器集群或命名空间。

具体来讲，CISM首先确定该容器对象所在的租户的其他容器对象的部署位置，例如为第三空间范围。然后，确定该第三空间范围是否满足多租管理策略，若第三空间范围满足多租管理策略，且在指示信息指示该容器对象与该容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，CISM则在该第三空间范围中创建该容器对象；若指示信息指示该容器对象不与该容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，则CISM则从其他的空间范围内确定满足多租管理策略的第四空间范围，并在该第四空间范围中创建该容器对象。

需要说明的是，确定某个空间范围是否满足多租管理策略，可以理解为：若多租管理策略指示该容器对象所在的租户不能与其他租户的容器对象部署在同一空间范围，则确定某个空间范围是否满足多租管理策略，即确定该空间范围内是否创建其他租户的容器对象，若该空间范围内没有创建其他租户的容器对象，则该空间范围满足多租管理策略，否则确定该空间范围不满足多租管理策略。

例如，CISM根据指示信息确定该VNF实例所调用的容器对象与该VNF实例调用的其他容器对象部署在同一个容器集群下的同一命名空间中，且根据其管理的多个命名空间中的资源的可用性情况，确定将该VNF实例所调用的容器对象部署在标识信息为b1的命名空间中，然后，CISM确定标识信息为b1的命名空间中还部署有其他VNF实例的容器对象，由于CISM中存储的多租管理策略指示该VNF实例不能与其他VNF实例使用相同的命名空间，从而，CISM重新调整该VNF实例所调用的容器对象的部署位置，例如，可以将该VNF实例所调用的容器对象部署在标识为b2的命名空间中。

S411、CISM向VNFM发送容器对象的创建应答，VNFM接收该容器对象的创建应答。

S412、VNFM向NFVO发送VNF实例化应答，NFVO接收该VNF实例化应答。

当CISM成功创建该VNF实例所调用的容器对象后，则VNFM向NFVO发送该VNF 实例化成功创建的应答消息。

当NFVO确认完成该NS所包括的所有的VNF的实例化后，则确认完成该NS的实例化。

在上述技术方案中，通过该容器对象的亲和性/反亲和性规则直接指示该VNF实例所调用的容器对象与该VNF实例的其他容器对象是否部署在相同的空间范围(同一个容器集群或者同一个命名空间)，可以满足该VNF实例部署的隔离性需求，保证该VNF实例的安全性。且，VNFM是根据VNF的实例化请求中携带的租户的标识，请求CISM根据该指示信息在其管理的空间范围中部署容器对象，从而VNFM不用感知该空间范围，可以避免VNFM需要在感知容器对象所部署的空间范围的前提下才能对容器对象进行管理。

由于基础设施层的资源有限，因此，为了合理利用该资源，当长时间不使用该NS实例或者确认不需要再使用该NS实例后，也可以删除该NS实例。具体可以包括如下步骤：

S413、NFVO接收该NS实例的终结请求。

该终结请求中包括该NS实例的标识。该终结请求可以是由OSS/BSS发送的，当然也可以是由其他设备发送的，在此不作限制。

S414、NFVO根据该NS实例的标识，确定该NS实例所包括的VNF实例所调用的容器对象的租户的标识。

具体来讲，当NFVO执行步骤S402获取该NS所包括的VNF实例所调用的容器对象的租户(即该VNF实例)的标识后，可以将该租户的标识存储在NFVO中，创建该NS实例的标识与该租户的标识的映射关系，从而NFVO可以根据其存储的映射关系获取需要终结的NS实例对应的租户的标识。当然，也可以采用其他方式获取该租户的标识，在此不作限制。

S415、NFVO删除CISM中与该租户对应多租管理策略。

具体来讲，NFVO可以先向CISM发送多租管理策略的删除请求，该删除请求中包括该租户的标识。当CISM接收该删除请求后，则删除与该租户(即该VNF实例)的标识相关的多租管理策略，并向NFVO发送多租管理策略的删除应答。

S416、NFVO向VNFM发送VNF实例的终结请求，VNFM接收该VNF实例的终结请求。

该VNF实例的终结请求包括该VNF实例的标识。

S417、VNFM向CISM发送容器对象的删除请求，CISM接收该容器对象的删除请求。

该删除请求中包括该VNF实例所调用的容器对象的标识。

S418、CISM删除容器对象的亲和性/反亲和性规则。

S419、CISM向VNFM发送容器对象的删除应答。

S420、VNFM向NFVO发送VNF实例的终结应答，NFVO接收该VNF实例的终结应答。

当VNFM确定CISM成功删除该VNF实例所调用的所有的容器对象后，则向NFVO发送VNF终结应答。

当NFVO接收到针对该NS实例所包括的所有的VNF的终结应答后，则确认完成对该NS的终结。

在图4所示的实施例中，是通过容器对象的亲和性/反亲和性规则指示VNF实例所调用的容器对象与该VNF实例的其他容器对象是否部署在同一个容器集群或者同一个命名空间，从而实现对容器集群中的多租管理，在其他实施例中，也可以采用其他信息来指示VNF实例所调用的容器对象与该VNF实例的其他容器对象是否部署在同一个容器集群或者同一个命名空间，例如，可以使用VNF生命周期管理许可操作中的位置约束(placement constraint)信息来进行上述多租管理。下面，对使用VNF生命周期管理许可操作中的位置约束信息来进行上述多租管理的实施例进行说明。

请参考图6，为本申请实施例提供的多租户管理方法的另一种示例的流程图，该流程图描述如下：

S601、NFVO接收网络服务NS实例的实例化请求。

S602、NFVO确定该NS实例所包括的VNF实例所调用的容器对象的租户(即该VNF实例)的标识。

步骤S601～步骤S602与步骤S401～步骤S402相似，在此不再赘述。

S603、NFVO向VNFM发送VNF实例的实例化请求，VNFM接收该实例化请求。

该实例化请求中包括该VNF实例所调用的容器对象的租户的标识。

步骤S603与步骤S406相似，在此不再赘述。

S604、VNFM向NFVO发送VNF的生命周期管理许可请求，NFVO接收该生命周期管理许可请求。

在本申请实施例中，该生命周期管理许可请求中包括该VNF的部署位置约束。

需要说明的是，在本申请实施例中，对部署位置约束的“范围”属性进行了扩展，具体如下：

该部署位置约束的范围不仅包括图4所示的实施例中的机槽、机架等物理空间范围，还增加了包括但不限于容器集群和/或容器集群中的命名空间的空间范围(或者可以将容器集群和/或容器集群中的命名空间称为逻辑空间范围)，通过该物理空间范围和逻辑空间范围一起来确定VNF实例所调用的容器对象要部署的位置。这样，通过该部署位置约束信息来保证VNF实例所调用的容器对象可以部署到相同或者不同的容器集群中，或者，部署到相同或者不同的命名空间中。

作为一种示例，本申请实施例对ETSI NFV标准定义的VNF生命周期管理许可操作中的“部署位置约束”信息单元以及“约束资源索引”(constraint resource reference)信息单元进行了扩展。例如，在“部署位置约束”信息单元的“范围(scope)”属性中，通过枚举的方式指示该VNF实例的部署位置约束范围包括站点、区域、区域组、节点、容器集群、命名空间等。在“约束资源索引”信息单元中增加新的属性，例如“cismConnectionId”属性，通过该属性指向CISM的连接标识。

从而，本申请实施例中，该生命周期管理许可请求中包括的VNF实例的部署位置约束可以表示为{部署位置约束类型，部署位置约束的作用范围，该VNF实例所调用的容器对象的标识}，其中，部署位置约束类型可以包括亲和性类型或者反亲和性类型，部署位置约束的作用范围包括前述包括但不限于容器集群和/或容器集群中的命名空间的空间范围，VNF实例所调用的容器对象的标识可以包括{容器对象1，容器对象2，…,容器对象n}。当然，该部署位置约束也可以采用其他形式表示，在此不作限制。

S605、NFVO向VNFM发送的生命周期管理许可应答，VNFM接收该生命周期管理许可应答。

在本申请实施例中，该生命周期管理许可应答中包括该NFVO许可该VNFM在生命周期管理操作中使用该部署位置约束的范围，例如，该部署位置约束的范围可以与步骤S504中携带在生命周期管理许可请求的部署位置约束的作用范围相同，或者，NFVO也可以根据其他策略重新为设置该部署位置约束的范围，其中，该重新设置的部署位置约束的范围可以包括但不限于容器集群和/或容器集群中的命名空间的空间范围。例如，NFVO许可该VNFM在生命周期管理操作中使用该部署位置约束的范围为某一个容器集群或者某一个容器集群中的命名空间，则可以在该生命周期管理许可应答中携带该容器集群或者该命名空间的标识信息，例如，NFVO许可该VNFM在生命周期管理操作中使用的部署位置约束的范围为标识信息为a1的容器集群或者标识信息为b1的命名空间。需要说明的是，在这种情况下，NFVO许可的部署位置约束的范围是由标识信息所确定的目标空间范围。

在这种情况下，该NFVO许可的部署位置约束的范围可以指示该VNF所调用的容器对象是否与所在的同一租户中的其他容器对象部署在同一空间范围，也就是说，VNFM从该生命周期管理许可应答中获取了指示信息。

S606、VNFM向CISM发送容器对象的创建请求，CISM接收该容器对象的创建请求。

在本申请实施例中，该创建请求中包括NFVO许可的部署位置约束的范围，所创建的容器对象的标识以及该容器对象的租户的标识。

S607、CISM根据在该部署位置约束的范围对应的空间范围内创建该VNF实例所调用的容器对象。

具体来讲，CISM则在与该部署位置约束所指示的空间范围的标识对应的第二空间范围中创建该容器对象。

例如，该部署位置约束的范围为标识信息为b2的命名空间，则CISM可以将该VNF实例所调用的容器对象部署在标识信息为b2的命名空间中。

需要说明的是，本申请实施例中，NFVO也可以采用如图4中步骤S402～步骤S405，在CISM中创建多租管理策略。那么，若CISM中已经预存了多租管理策略，则CISM也可以根据预存的多租管理策略和该部署位置约束，创建该容器对象。

例如，CISM判断与该部署位置约束所指示的空间范围的标识对应的第二空间范围是否满足多租管理策略，若满足，则在该第二空间范围创建该容器对象，若不满足，则无法创建该容器对象。其中，判断第二空间范围是否满足多租管理策略，与步骤S410中相应的内容相似，在此不再赘述。

S608、CISM向VNFM发送容器对象的创建应答，VNFM接收该容器对象的创建应答。

S609、VNFM向NFVO发送VNF实例化应答，NFVO接收该VNF实例化应答。

步骤S608～步骤S609与步骤S411～步骤S412相似，在此不再赘述。

上述本申请提供的实施例中，分别从NFVO、CISM、VNFM以及三者之间交互的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中VNFM的各功能，VNFM可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。

图7示出了一种多租户管理装置700的结构示意图。其中，装置700可以是VNFM，能够实现本申请实施例提供的方法中VNFM的功能；装置700也可以是能够支持VNFM实现本申请实施例提供的方法中VNFM的功能的装置。装置700可以是硬件结构、软件模块、或硬件结构加软件模块。装置700可以由芯片系统实现。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

装置700可以包括接收模块701、获取模块702以及发送模块703。

接收模块701可以用于执行图4所示的实施例中的步骤S407、步骤S411、步骤S416以及步骤S419，或可以用于执行图6所示的实施例中的步骤S603、步骤S605以及步骤S608，和/或用于支持本文所描述的技术的其它过程。

获取模块702可以用于执行图4所示的实施例中的步骤S408，和/或用于支持本文所描述的技术的其它过程。

发送模块703可以用于执行图4所示的实施例中的步骤S409、步骤S417以及步骤S420，或可以用于执行图6所示的实施例中的步骤S604、步骤S606以及步骤S609，和/或用于支持本文所描述的技术的其它过程。

接收模块701和发送模块703用于装置700和其它模块进行通信，其可以是电路、器件、接口、总线、软件模块、收发器或者其它任意可以实现通信的装置。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

图8示出了一种多租户管理装置800的结构示意图。其中，装置800可以是NFVO，能够实现本申请实施例提供的方法中NFVO的功能；装置800也可以是能够支持NFVO实现本申请实施例提供的方法中NFVO的功能的装置。装置800可以是硬件结构、软件模块、或硬件结构加软件模块。装置800可以由芯片系统实现。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

装置800可以包括接收模块801、确定模块802、获取模块803以及发送模块804。

接收模块801可以用于执行图4所示的实施例中的步骤S401、步骤S406、步骤S412、步骤S413、步骤S415以及步骤S420，或可以用于执行图6所示的实施例中的步骤S601、步骤S604以及步骤S609，和/或用于支持本文所描述的技术的其它过程。

确定模块802可以用于执行图4所示的实施例中的步骤S402以及步骤S414，或可以用于执行图6所示的实施例中的步骤S602，和/或用于支持本文所描述的技术的其它过程。

获取模块803可以用于执行图4所示的实施例中的步骤S403，和/或用于支持本文所描述的技术的其它过程。

发送模块804可以用于执行图4所示的实施例中的步骤S404、步骤S407以及步骤S415～步骤S416，或可以用于执行图6所示的实施例中的步骤S603以及步骤S605，和/或用于支持本文所描述的技术的其它过程。

接收模块801和发送模块804用于装置800和其它模块进行通信，其可以是电路、器件、接口、总线、软件模块、收发器或者其它任意可以实现通信的装置。

图9示出了一种多租户管理装置900的结构示意图。其中，装置900可以是CISM，能够实现本申请实施例提供的方法中CISM的功能；装置900也可以是能够支持CISM实现本申请实施例提供的方法中CISM的功能的装置。装置900可以是硬件结构、软件模块、或硬件结构加软件模块。装置900可以由芯片系统实现。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

装置900可以包括接收模块901、创建模块902以及发送模块903。

接收模块901可以用于执行图4所示的实施例中的步骤S404、步骤S409、步骤S415、步骤S417，或可以用于执行图6所示的实施例中的步骤S606，和/或用于支持本文所描述的技术的其它过程。

创建模块902可以用于执行图4所示的实施例中的步骤S405、步骤S410以及步骤S418，或可以用于执行图6所示的实施例中的步骤S607，和/或用于支持本文所描述的技术的其它过程。

发送模块903可以用于执行图4所示的实施例中的步骤S406、步骤S411、步骤S415以及步骤S419，或可以用于执行图6所示的实施例中的步骤S608，和/或用于支持本文所描述的技术的其它过程。

接收模块901和发送模块903用于装置900和其它模块进行通信，其可以是电路、器件、接口、总线、软件模块、收发器或者其它任意可以实现通信的装置。

本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

如图10所示为本申请实施例提供的多租户管理装置1000，其中，基于容器集群的多租户管理装置1000可以是图4或图6所示的实施例中的NFVO，能够实现本申请实施例提供的方法中NFVO的功能；基于容器集群的多租户管理装置1000也可以是能够支持NFVO实现本申请实施例提供的方法中NFVO的功能的装置。其中，该基于容器集群的多租户管理装置1000可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

基于容器集群的多租户管理装置1000包括至少一个处理器1020，用于实现或用于支持基于容器集群的多租户管理装置1000实现本申请实施例提供的方法中NFVO的功能。示例性地，处理器1020可以向CISM发送多租管理策略的创建请求，具体参见方法示例中的详细描述，此处不做赘述。

基于容器集群的多租户管理装置1000还可以包括至少一个存储器1030，用于存储程序指令和/或数据。存储器1030和处理器1020耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器1020可能和存储器1030协同操作。处理器1020可能执行存储器1030中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

基于容器集群的多租户管理装置1000还可以包括通信接口1010，用于通过传输介质和其它设备进行通信，从而用于基于容器集群的多租户管理装置1000中的装置可以和其它设备进行通信。示例性地，该其它设备可以是VNFM。处理器1020可以利用通信接口1010收发数据。

本申请实施例中不限定上述通信接口1010、处理器1020以及存储器1030之间的具体连接介质。本申请实施例在图10中以存储器1030、处理器1020以及通信接口1010之间通过总线1040连接，总线在图10中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在本申请实施例中，处理器1020可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器1030可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

如图11所示为本申请实施例提供的多租户管理装置1100，其中，基于容器集群的多租户管理装置1100可以是图4或图6所示的实施例中的VNFM，能够实现本申请实施例提供的方法中VNFM的功能；基于容器集群的多租户管理装置1100也可以是能够支持VNFM实现本申请实施例提供的方法中VNFM的功能的装置。其中，该基于容器集群的多租户管理装置1100可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

基于容器集群的多租户管理装置1100包括至少一个处理器1120，用于实现或用于支持基于容器集群的多租户管理装置1100实现本申请实施例提供的方法中NFVO的功能。示例性地，处理器1120可以获取指示信息，具体参见方法示例中的详细描述，此处不做赘述。

基于容器集群的多租户管理装置1100还可以包括至少一个存储器1130，用于存储程序指令和/或数据。存储器1130和处理器1120耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器1120可能和存储器1130协同操作。处理器1120可能执行存储器1130中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

基于容器集群的多租户管理装置1100还可以包括通信接口1110，用于通过传输介质和其它设备进行通信，从而用于基于容器集群的多租户管理装置1100中的装置可以和其它设备进行通信。示例性地，该其它设备可以是NFVO。处理器1120可以利用通信接口1110收发数据。

本申请实施例中不限定上述通信接口1110、处理器1120以及存储器1130之间的具体连接介质。本申请实施例在图11中以存储器1130、处理器1120以及通信接口1110之间通过总线1140连接，总线在图11中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在本申请实施例中，处理器1120可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器1130可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

如图12所示为本申请实施例提供的多租户管理装置1200，其中，基于容器集群的多租户管理装置1200可以是图4或图6所示的实施例中的CISM，能够实现本申请实施例提供的方法中CISM的功能；基于容器集群的多租户管理装置1200也可以是能够支持CISM实现本申请实施例提供的方法中CISM的功能的装置。其中，该基于容器集群的多租户管理装置1200可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

基于容器集群的多租户管理装置1200包括至少一个处理器1220，用于实现或用于支持基于容器集群的多租户管理装置1200实现本申请实施例提供的方法中CISM的功能。示例性地，处理器1220可以根据亲和性/反亲和性组以及租户的标识创建多租管理策略，具体参见方法示例中的详细描述，此处不做赘述。

基于容器集群的多租户管理装置1200还可以包括至少一个存储器1230，用于存储程序指令和/或数据。存储器1230和处理器1220耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器1220可能和存储器1230协同操作。处理器1220可能执行存储器1230中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

基于容器集群的多租户管理装置1200还可以包括通信接口1210，用于通过传输介质和其它设备进行通信，从而用于基于容器集群的多租户管理装置1200中的装置可以和其它设备进行通信。示例性地，该其它设备可以是VNFM。处理器1220可以利用通信接口1210收发数据。

本申请实施例中不限定上述通信接口1210、处理器1220以及存储器1230之间的具体连接介质。本申请实施例在图12中以存储器1230、处理器1220以及通信接口1210之间通过总线1240连接，总线在图12中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在本申请实施例中，处理器1220可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器1230可以是非易失性存储器，比如硬盘(hard disk drive， HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

本申请实施例中还提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行图4或图6所示的实施例中NFVO或VNFM或CISM执行的方法。

本申请实施例中还提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得计算机执行图4或图6所示的实施例中NFVO或VNFM或CISM执行的方法。

本申请实施例提供了一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现前述方法中NFVO或VNFM或CISM的功能。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

本申请实施例提供了一种系统，所述系统包括前述的NFVO和VNFM和CISM。

本申请实施例提供的方法中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件或固件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，简称DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，简称DVD))、或者半导体介质(例如，SSD)等。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种多租户管理方法，其特征在于，包括：

虚拟化网络功能管理器VNFM接收VNF的实例化请求，所述实例化请求中包括所述VNF所调用的容器对象的租户的标识；

所述VNFM获取指示信息，所述指示信息用于指示所述VNF所调用的容器对象是否与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围；所述空间范围包括容器集群和/或容器集群中的命名空间；

所述VNFM向容器基础设施服务管理CISM发送容器对象的创建请求，所述创建请求中包括所述容器对象的标识、所述VNF所调用的容器对象的租户的标识以及所述指示信息；

所述VNFM接收所述CISM发送的容器对象的创建应答，完成所述VNF的实例化。
根据权利要求1所述的方法，其特征在于，所述指示信息包括所述容器对象的亲和性/反亲和性规则，所述亲和性/反亲和性规则包括所述容器对象所在的亲和性/反亲和性组的标识，以及所述亲和性/反亲和性组的作用范围，所述作用范围包括所述空间范围。
根据权利要求2所述的方法，其特征在于，所述VNFM获取指示信息，包括：

所述VNFM从与所述VNF对应的虚拟化网络功能描述符VNFD中获取所述亲和性/反亲和性规则。
根据权利要求1所述的方法，其特征在于，所述指示信息包括所述VNF的生命周期管理操作中使用的空间范围的标识。
根据权利要求4所述的方法，其特征在于，所述VNFM获取指示信息，包括：

所述VNFM向网络功能虚拟化编排器NFVO发送所述VNF的生命周期管理许可请求，所述生命周期管理许可请求中包括所述VNF的部署位置约束，所述部署位置约束的范围包括所述空间范围；

所述VNFM接收所述NFVO发送的生命周期管理许可应答，所述生命周期管理许可应答中包括所述NFVO许可所述VNFM在生命周期管理操作中使用所述部署位置约束的范围，所述NFVO许可的所述部署位置约束的范围即所述指示信息。
根据权利要求1-5中任一项所述的方法，其特征在于，所述VNF实例所调用的容器对象的租户标识为，所述VNF实例的标识或所述VNF实例所使用的容器对象包的标识。
一种多租户管理方法，其特征在于，包括：

容器基础设施服务管理CISM接收虚拟化网络功能管理器VNFM发送的容器对象的创建请求，所述创建请求中包括所述VNFM请求创建的容器对象的标识、所述容器对象的租户的标识以及指示信息；所述指示信息用于指示所述容器对象是否与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围；所述空间范围包括容器集群和/或容器集群中的命名空间；

所述CISM根据所述容器对象的标识、所述容器对象的租户的标识以及所述指示信息，创建所述容器对象；

所述CISM向所述VNFM发送容器对象的创建应答。
根据权利要求7所述的方法，其特征在于，所述指示信息包括所述容器对象的亲和性/反亲和性规则，所述亲和性/反亲和性规则包括所述容器对象所在的亲和性/反亲和性组的标识，以及所述亲和性/反亲和性组的作用范围，所述作用范围包括所述空间范围。
根据权利要求8所述的方法，其特征在于，所述CISM根据所述指示信息，创建所述容器对象，包括：

确定所述容器对象所在的租户的其他容器对象的部署位置为第一空间范围；

在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第一空间范围中创建所述容器对象；或，在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第二空间范围中创建所述容器对象，所述第一空间范围与所述第二空间范围不同。
根据权利要求7所述的方法，其特征在于，所述指示信息包括所述容器对象的租户的生命周期管理操作中使用的空间范围的标识。
根据权利要求10所述的方法，其特征在于，所述CISM根据所述指示信息，创建所述容器对象，包括：

在与所述空间范围的标识对应的空间范围中创建所述容器对象。
根据权利要求7所述的方法，其特征在于，所述方法还包括：

所述CISM接收网络功能虚拟化编排器NFVO发送的多租管理策略的创建请求，所述创建请求中包括虚拟化网络功能VNF实例所调用的容器对象的租户的标识以及所述VNF实例与NS实例的其他VNF实例之间的亲和性/反亲和性组；

所述CISM根据所述亲和性/反亲和性组以及所述租户的标识创建多租管理策略，所述多租管理策略用于指示所述租户与其他租户分别调用的容器对象是否部署在同一个空间范围，所述空间范围包括容器集群和/或容器集群中的命名空间，所述租户与所述其他租户为所述NS实例所包括的VNF实例所调用的容器对象的租户。
根据权利要求7所述的方法，其特征在于，所述多租管理策略包括所述容器对象的租户的标识、所述租户所包括的容器对象所在的亲和性/反亲和性组的标识、亲和性/反亲和性的类型以及所述亲和性/反亲和性组的作用范围，所述作用范围包括所述空间范围。
根据权利要求12或13所述的方法，其特征在于，所述CISM根据所述指示信息，创建所述容器对象，包括：

所述CISM根据所述容器对象的标识、所述容器对象的租户的标识、所述指示信息以及所述多租管理策略，创建所述容器对象。
根据权利要求14所述的方法，其特征在于，所述指示信息包括所述容器对象的亲和性/反亲和性规则，所述CISM根据所述容器对象的标识、所述容器对象的租户的标识、所述指示信息以及所述多租管理策略，创建所述容器对象，包括：

确定所述容器对象所在的租户的其他容器对象的部署位置为第三空间范围；

确定所述第三空间范围满足所述多租管理策略，且在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第三空间范围中创建所述容器对象；或，

在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第四空间范围中创建所述容器对象，所述第四空间范围满足所述多租管理策略。
根据权利要求12-15中任一项所述的方法，其特征在于，所述方法还包括：

所述CISM接收所述NFVO发送的多租管理策略的删除请求，所述删除请求中包括所述租户的标识；

所述CISM删除与所述租户的标识相关的多租管理策略。
一种多租户管理装置，其特征在于，包括：

接收模块，用于接收VNF的实例化请求，所述实例化请求中包括所述VNF所调用的容器对象的租户的标识；

获取模块，用于获取指示信息，所述指示信息用于指示所述VNF所调用的容器对象是否与所在的同一租户中的其他容器对象部署在同一空间范围；所述空间范围包括容器集群和/或容器集群中的命名空间；

发送模块，用于向容器基础设施服务管理CISM发送容器对象的创建请求，所述创建请求中包括所述容器对象的标识、所述VNF所调用的容器对象的租户的标识以及所述指示信息；

所述接收模块，还用于接收所述CISM发送的容器对象的创建应答，完成所述VNF的实例化。
根据权利要求17所述的装置，其特征在于，所述指示信息包括所述容器对象的亲和性/反亲和性规则，所述亲和性/反亲和性规则包括所述容器对象所在的亲和性/反亲和性组的标识，以及所述亲和性/反亲和性组的作用范围，所述作用范围包括所述空间范围。
根据权利要求18所述的装置，其特征在于，所述获取模块具体用于：

从与所述VNF对应的虚拟化网络功能描述符VNFD中获取所述亲和性/反亲和性规则。
根据权利要求17所述的装置，其特征在于，所述指示信息包括所述VNF的生命周期管理操作中使用的空间范围的标识。
根据权利要求20所述的装置，其特征在于，所述发送模块具体用于：

向网络功能虚拟化编排器NFVO发送所述VNF的生命周期管理许可请求，所述生命周期管理许可请求中包括所述VNF的部署位置约束，所述部署位置约束的范围包括所述空间范围；

所述接收模块具体用于：接收所述NFVO发送的生命周期管理许可应答，所述生命周期管理许可应答中包括所述NFVO许可所述装置在生命周期管理操作中使用所述部署位置约束的范围，所述NFVO许可的所述部署位置约束的范围即所述指示信息。
根据权利要求17-21中任一项所述的装置，其特征在于，所述VNF实例所调用的容器对象的租户标识为，所述VNF实例的标识或所述VNF实例所使用的容器对象包的标识。
一种多租户管理装置，其特征在于，包括：

接收模块，用于接收虚拟化网络功能管理器VNFM发送的容器对象的创建请求，所述创建请求中包括所述VNFM请求创建的容器对象的标识、所述容器对象的租户的标识以及指示信息；所述指示信息用于指示所述容器对象是否与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围；所述空间范围包括但不限于容器集群和/或容器集群中的命名空间；

创建模块，用于根据所述容器对象的标识、所述容器对象的租户的标识以及所述指示信息，创建所述容器对象；

发送模块，用于向所述VNFM发送容器对象的创建应答。
根据权利要求23所述的装置，其特征在于，所述指示信息包括所述容器对象的亲和性/反亲和性规则，所述亲和性/反亲和性规则包括所述容器对象所在的亲和性/反亲和性组的标识，以及所述亲和性/反亲和性组的作用范围，所述作用范围包括所述空间范围。
根据权利要求24所述的装置，其特征在于，所述创建模块具体用于：

确定所述容器对象所在的租户的其他容器对象的部署位置为第一空间范围；

在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第一空间范围中创建所述容器对象；或，在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第二空间范围中创建所述容器对象，所述第一空间范围与所述第二空间范围不同。
根据权利要求23所述的装置，其特征在于，所述指示信息包括所述容器对象的租户的生命周期管理操作中使用的空间范围的标识。
根据权利要求26所述的装置，其特征在于，所述创建模块具体用于：

在与所述空间范围的标识对应的空间范围中创建所述容器对象。
根据权利要求23所述的装置，其特征在于，所述接收模块还用于：

接收网络功能虚拟化编排器NFVO发送的多租管理策略的创建请求，所述创建请求中包括虚拟化网络功能VNF实例所调用的容器对象的租户的标识以及所述VNF实例与NS实例的其他VNF实例之间的亲和性/反亲和性组；

所述创建模块，还用于根据所述亲和性/反亲和性组以及所述租户的标识创建多租管理策略，所述多租管理策略用于指示所述租户与其他租户分别调用的容器对象是否部署在同一个空间范围，所述空间范围包括容器集群和/或容器集群中的命名空间，所述租户与所述其他租户为所述NS实例所包括的VNF实例所调用的容器对象的租户。
根据权利要求28所述的装置，其特征在于，所述多租管理策略包括所述容器对象的租户的标识、所述租户所包括的容器对象所在的亲和性/反亲和性组的标识、亲和性/反亲和性的类型以及所述亲和性/反亲和性组的作用范围，所述作用范围包括所述空间范围。
根据权利要求28或29所述的装置，其特征在于，所述创建模块具体用于：

根据所述容器对象的标识、所述容器对象的租户的标识、所述指示信息以及所述多租管理策略，创建所述容器对象。
根据权利要求30所述的装置，其特征在于，所述指示信息包括所述容器对象的亲和性/反亲和性规则，所述创建模块具体用于：

确定所述容器对象所在的租户的其他容器对象的部署位置为第三空间范围；

确定所述第三空间范围满足所述多租管理策略，且在所述指示信息指示所述容器对象与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在所述第三空间范围中创建所述容器对象；或，

在所述指示信息指示所述容器对象不与所述容器对象所在的同一租户中的其他容器对象部署在同一空间范围时，在第四空间范围中创建所述容器对象，所述第四空间范围满足所述多租管理策略。
根据权利要求23-31中任一项所述的装置，其特征在于，所述接收模块还用于：

接收所述NFVO发送的多租管理策略的删除请求，所述删除请求中包括所述租户的标识；

所述创建模块还用于，删除与所述租户的标识相关的多租管理策略。
一种多租户管理装置，其特征在于，包括处理器，所述处理器用于与存储器耦合，读取并执行所述存储器中的指令，以实现如权利要求1-6或7-16中任一项所述的方法。
一种可读存储介质，其特征在于，包括程序或指令，当所述程序或指令被执行时，如权利要求1-6或7-16中任意一项所述的方法被执行。
一种计算机程序产品，其特征在于，包括计算机可读指令，当通信装置读取并执行所述计算机可读指令，使得所述通信装置执行如权利要求1-6或7-16中任一项所述的方法。