Linux----K8s的安全使用

最新推荐文章于 2024-03-11 16:21:53 发布
置顶 最新推荐文章于 2024-03-11 16:21:53 发布
阅读量755 收藏
点赞数
分类专栏: K8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq397750142/article/details/106222735
版权

 

安全机制

k8s的安全框架

流程:kubect先请求apiserver资源,然后是通过三关。

第一关是认证(Authentication)相当于一个凭证。

第二关是授权(Authorization)赋予一个角色,这个角色具体可以使用哪些命令。

第三关是准入控制(Admission Control),可以使用哪些插件,比如可以查看default命名空间的pod资源,只有通过这三关才可能会被k8s创建资源。

K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都 支持插件方式,通过API Server配置来启用插件。

普通用户若要安全访问集群API Server,往往需要证书、Token  或者用户名+密码;Pod访问,需要ServiceAccount

apiserver使用的是token认证

可以通过ServiceAccount在pod中去查看apiserver 

[root@localhost k8s-cert]# kubectl get sa
NAME      SECRETS   AGE
default   1         20d

 为了安全被访问,对外提供6443端口,有加密协议

[root@localhost demo]# netstat -ntap | grep 6443
tcp        0      0 192.168.179.150:6443    0.0.0.0:*               LISTEN      61722/kube-apiserve 
tcp        0      0 192.168.179.150:6443    192.168.179.151:58236   SYN_RECV    -                   
tcp        0      0 192.168.179.150:6443    192.168.179.155:49638   ESTABLISHED 61722/kube-apiserve 
tcp        0      0 192.168.179.150:34610   192.168.179.150:6443    ESTABLISHED 61722/kube-apiserve 
tcp        0      0 192.168.179.150:6443    192.168.179.150:34610   ESTABLISHED 61722/kube-apiserve 
tcp        0      0 192.168.179.150:6443    192.168.179.155:49646   ESTABLISHED 61722/kube-apiserve 
tcp        0      0 192.168.179.150:6443    192.168.179.155:49550   ESTABLISHED 61722/kube-apiserve

内部通讯端口为8080

[root@localhost demo]# netstat -natp | grep 8080 | grep LISTEN
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      61722/kube-apiserve

第一模块:认证

三种客户端身份认证方法:

HTTPS 证书认证:基于CA证书签名的数字证书认证

HTTP Token认证:通过一个Token来识别用户(生产环境中使用广泛)

HTTP Base认证:用户名+密码的方式认证

https证书认证存在于

[root@localhost k8s-cert]# cat server-csr.json 
{
    "CN": "kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "192.168.179.150",
      "192.168.179.153",
      "192.168.179.100",
      "192.168.179.154",
      "192.168.179.155",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

httpd的token认证

[root@localhost demo]# cat /opt/kubernetes/cfg/token.csv 
d2b8b9fe6d91ed4b604831ea4b3344ca,kubelet-bootstrap,10001,"system:kubelet-bootstrap"

第二模块:授权

RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。

第三模块:准入控制

Adminssion Control实际上是一个准入控制器插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控制器 插件的检查,检查不通过,则拒绝请求

NamespaceLifecycle: 命令空间回收

LimitRanger:配额管理

ServiceAccount: 每个pod中导入方便访问apiserver

ResourceQuota: 基于命名空间的高级配额管理

NodeRestriction: Node加入到k8s群集中以最小权限运行

 设么是RBAC授权?

RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略

流程:绑定一个具体角色如"用户名,组或者是ServiceAccount",是Role或者ClusterRole其中一种,绑定之后,这个角色具体拥有的权限,比如一用户为“zhangsan”绑定为Role,那么“zhangsan”可以使用"get"命令查看Role中的某一个命名空间的资源,比如pod,node,namespace。

角色

Role:授权特定命名空间的访问权限

ClusterRole:授权所有命名空间的访问权限

角色绑定

RoleBinding:将角色绑定到主体(即subject)

ClusterRoleBinding:将集群角色绑定到主体

主体(subject)

User:用户

Group:用户组

ServiceAccount:服务账号

演示示例

创建命名空间
[root@localhost demo]# kubectl create ns kgc
namespace/kgc created

查看该命名空间
[root@localhost demo]# kubectl get ns
NAME          STATUS   AGE
default       Active   20d
kgc           Active   28s            #创建成功
kube-public   Active   20d
kube-system   Active   20d

创建nginx的pod资源,指定到kgc命名空间中
[root@localhost demo]# kubectl run nginx --image=nginx -n kgc
kubectl run --generator=deployment/apps.v1beta1 is DEPRECATED and will be removed in a future version. Use kubectl create instead.
deployment.apps/nginx created

查看kgc命名空间资源
[root@localhost demo]# kubectl get pods -n kgc
NAME                    READY   STATUS    RESTARTS   AGE
nginx-dbddb74b8-h8z58   1/1     Running   0          17s

扩容成3个副本,在原有的pod增加两个,变为3个pod
[root@localhost demo]#  kubectl scale deploy/nginx --replicas=3 -n kgc
deployment.extensions/nginx scaled

查看kgc命名空间资源
[root@localhost demo]# kubectl get pods -n kgc
NAME                    READY   STATUS    RESTARTS   AGE
nginx-dbddb74b8-49mkm   1/1     Running   0          21s
nginx-dbddb74b8-6nwsg   1/1     Running   0          21s
nginx-dbddb74b8-h8z58   1/1     Running   0          107s

创建role
[root@localhost demo]# vim rbac-role.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: kgc                         #名称空间
  name: pod-reader                        
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]        #拥有的命令权限

[root@localhost demo]# kubectl apply -f rbac-role.yaml 
role.rbac.authorization.k8s.io/pod-reader created

查看该角色信息
[root@localhost demo]# kubectl get role -n kgc
NAME         AGE
pod-reader   18s

创建rolebinding,绑定一个用户
[root@localhost demo]# vim rbac-rolebinding.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: kgc
subjects:
- kind: User
  name: zhangsan
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

[root@localhost demo]# kubectl apply -f rbac-rolebinding.yaml
rolebinding.rbac.authorization.k8s.io/read-pods created
         
查看绑定信息
[root@localhost demo]# kubectl get role,rolebinding -n kgc
NAME                                        AGE
role.rbac.authorization.k8s.io/pod-reader   2m41s

NAME                                              AGE
rolebinding.rbac.authorization.k8s.io/read-pods   27s

编辑用户信息的脚本

[root@localhost demo]# mkdir zhangsan
[root@localhost demo]# cd zhangsan/
[root@localhost zhangsan]# vim rbac-user.sh 
cat > zhangsan-csr.json <<EOF
{
  "CN": "zhangsan",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes zhangsan-csr.json | cfssljson -bare zhangsan

kubectl config set-cluster kubernetes \
  --certificate-authority=ca.pem \
  --embed-certs=true \
  --server=https://192.168.179.100:6443 \        #指向apiserverIP地址,即为VIP地址
  --kubeconfig=zhangsan-kubeconfig

kubectl config set-credentials zhangsan \
  --client-key=zhangsan-key.pem \
  --client-certificate=zhangsan.pem \
  --embed-certs=true \
  --kubeconfig=zhangsan-kubeconfig

kubectl config set-context default \
"rbac-user.sh" [dos] 38L, 923C

 拷贝证书

[root@localhost zhangsan]# cp /root/k8s/k8s-cert/ca* ./
[root@localhost zhangsan]# ls
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem  rbac-user.sh

安装格式化工具
[root@localhost zhangsan]# yum install dos2unix -y

编辑rbac的yaml文件
[root@localhost zhangsan]# cd ..
[root@localhost demo]# vim rbac.yaml 

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

apiVersion: v1
kind: ServiceAccount
metadata:
  name: pod-reader
  namespace: default

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: sa-read-pods
  namespace: default
subjects:
- kind: ServiceAccount
  name: pod-reader
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

格式化
[root@localhost zhangsan]# dos2unix rbac-user.sh
dos2unix: converting file rbac-user.sh to Unix format ...

执行脚本
[root@localhost zhangsan]# bash rbac-user.sh
2020/05/20 11:28:57 [INFO] generate received request
2020/05/20 11:28:57 [INFO] received CSR
2020/05/20 11:28:57 [INFO] generating key: rsa-2048
2020/05/20 11:28:58 [INFO] encoded CSR
2020/05/20 11:28:58 [INFO] signed certificate with serial number 554903934778595747847838553072709228440415758603
2020/05/20 11:28:58 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").
Cluster "kubernetes" set.
User "zhangsan" set.
Context "default" created.
Switched to context "default".

修改zhangsan-kubeconfigIP地址,指向apiserver
[root@localhost zhangsan]# vim zhangsan-kubeconfig 
......
server: https://192.168.179.100:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: zhangsan
  name: default
current-context: default
kind: Config
preferences: {}
users:
- name: zhangsan
  user:

查看证书
[root@localhost zhangsan]# cat zhangsan-kubeconfig 
......

使用zhangsan-kubeconfig访问pod资源
[root@localhost zhangsan]# kubectl --kubeconfig=zhangsan-kubeconfig get pods -n kgc
NAME                    READY   STATUS    RESTARTS   AGE
nginx-dbddb74b8-49mkm   1/1     Running   0          30m
nginx-dbddb74b8-6nwsg   1/1     Running   0          30m
nginx-dbddb74b8-h8z58   1/1     Running   0          31m

使用zhangsan-kubeconfig访问 svc资源就会被拒绝
[root@localhost zhangsan]#  kubectl --kubeconfig=zhangsan-kubeconfig get svc -n kgc
Error from server (Forbidden): services is forbidden: User "zhangsan" cannot list resource "services" in API group "" in the namespace "kgc"

因为我们只授权zhangsan用户拥有访问pod资源的权限,没有授权查看service资源的权限,同样也无法访问默认的命名空间

[root@localhost zhangsan]# kubectl --kubeconfig=zhangsan-kubeconfig get svc 
Error from server (Forbidden): services is forbidden: User "zhangsan" cannot list resource "services" in API group "" in the namespace "default"

演示示例2,UI访问控制

[root@localhost zhangsan]# kubectl get svc -n kube-system
NAME                   TYPE       CLUSTER-IP   EXTERNAL-IP   PORT(S)         AGE
kubernetes-dashboard   NodePort   10.0.0.153   <none>        443:30001/TCP   12d

访问地址https://192.168.179.151:30001/

查看令牌

[root@localhost dashboard]# kubectl get secret -n kube-system
NAME                               TYPE                                  DATA   AGE
dashboard-admin-token-dlnmm        kubernetes.io/service-account-token   3      10s
default-token-7pgx6                kubernetes.io/service-account-token   3      20d
kubernetes-dashboard-certs         Opaque                                0      7m43s
kubernetes-dashboard-key-holder    Opaque                                2      7m43s
kubernetes-dashboard-token-x5sg4   kubernetes.io/service-account-token   3      7m29s
[root@localhost dashboard]# kubectl describe secret dashboard-admin-token-dlnmm -n kube-system
Name:         dashboard-admin-token-dlnmm
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: dashboard-admin
              kubernetes.io/service-account.uid: bd4540f7-9a4e-11ea-9a93-000c29270f97

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1359 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.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.D-FSgbur3lZWn1IW1BWNFQPatTUhuILQR9IwysxubmUJM3vnjsll5SYhHB1LDE_GKicJEJw60ze-rbbX-pik5WniQpDOh0HEmtoDqbhCyjUy6iW3crrJXBzfYo9zGqFZ4sUI0ZTbpCvhdIHlZNsULjqufhHzpt-3mCrpO0A0ngZYPQsiFYZM6ngMjF4oshWOiJUNrARYAchxyPROoM7OU-d84tpRKOcdIgPftVqRZW80AW32C9YkOf20Bta-YgJRSG7HfLW1Jdv8qci4C13sc08NptiTKVs6isEpXkwxlUHl5aqr5_zpjEGFiBgtC3VM6gGzz6RSX3_holhsI2zHyg

 

使用zhangsan用户创建一个令牌登录UI界面 

[root@localhost zhangsan]# vim sa.yaml

apiVersion: v1
kind: ServiceAccount
metadata:
  name: pod-reader
  namespace: kgc

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: sa-read-pods
  namespace: kgc
subjects:
- kind: ServiceAccount
  name: pod-reader
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

[root@localhost zhangsan]# kubectl apply -f sa.yaml 
serviceaccount/pod-reader created
rolebinding.rbac.authorization.k8s.io/sa-read-pods created

查看token令牌
[root@localhost zhangsan]# kubectl describe secret pod-reader -n kgc
Name:         pod-reader-token-hv5vz
Namespace:    kgc
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: pod-reader
              kubernetes.io/service-account.uid: 6a68ac37-9a4f-11ea-9a93-000c29270f97

Type:  kubernetes.io/service-account-token

Data
====
namespace:  3 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrZ2MiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlY3JldC5uYW1lIjoicG9kLXJlYWRlci10b2tlbi1odjV2eiIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJwb2QtcmVhZGVyIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiNmE2OGFjMzctOWE0Zi0xMWVhLTlhOTMtMDAwYzI5MjcwZjk3Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmtnYzpwb2QtcmVhZGVyIn0.msbU8ongZ25UPa4X5kSg6fiyj_zX5yokGb4YoItMRTCdCVfo9qeyADpkh6Vd6EatKwaZUZh5Owo-pCnhQF1x2z-YIlb5F754KKOIdQUzxb1S2DGKECWxnTrMhF9p4EqbQs1xwhj90CXaDRSKCCex-gIozq8v3BgfjYcN522s_Buh2CENF40ZoRhzz3ezqM5vF71YkNgnIJXK7MH9vhXzMpthw-HKvHiN0TirudgXVasY649qU2VuGeNnvV6GLWiROLqOktfJchqdieKXrLZyA40jq6Oip3-8-VF5TmoNerzz8ZaPFDNKwVk9KH47-X9EyN2ZHMUMOdHpuZB9t6nfgw
ca.crt:     1359 bytes

登录UI界面

 

 

稚与最初丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vcluster-linux-amd64-v0.14.2
04-12
Kubernetes多租户开源项目软件vcluster, 版本是0.14.2,
k8s中的网络安全丨PKI知识梳理》
u010389826的博客
05-06 1998
pki体系讲解与k8s中的证书机制
kubernetes集群配置serviceaccount;Service Account和RBAC授权
码农崛起
04-17 1805
https://blog.51cto.com/ylw6006/2067326 Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。 Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种: Opaque(default): 任意字符串...
k8s 安全机制详解
最新发布
qq_51545656的博客
03-11 1065
Token 和 Basic 认证主要是单向的,即只能验证客户端对服务器的身份。而 HTTPS 证书认证可以实现双向认证,这对于需要确保通信双方身份的场景非常重要,比如在 Kubernetes API Server 与 etcd 或其他组件之间的通信中。使用 HTTPS 证书认证可以防止中间人攻击,确保数据传输的安全性。kind: Rolemetadata:rules:- apiGroups: [""] # 空字符串表示核心 API 组。
Kubernetes(k8s安全机制
weixin_56270746的博客
08-11 1601
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
云原生Kubernetes:K8S安全机制
cronaldo91的博客
09-26 1899
k8s 中的 namespace 就类似于 windows 中的多个桌面,或者 linux 中的多个终端;namespace 之间的 api 对象是不可见的。Token 认证和 Base 认证方式只能进行服务端对客户端的单向认证,而客户端不知道服务端是否合法;而 HTTPS 证书认证方式 则可以实现双向认证。1)用户账户(user) : 是在集群外部访问apiserver时使用的用户,如kubectl命令就是作为kubernetes的admin用户来执行的。
Kubernetes客户端认证—— 基于ServiceAccount的JWTToken认证
2301_77342543的博客
08-04 306
在 Kubernetes 官方手册中给出了 “用户” 的概念,Kubernetes 集群中存在的用户包括 “普通用户” 与 “ServiceAccount”, 但是 Kubernetes 没有普通用户的管理方式,通常只是将使用集群根证书签署的有效证书的用户都被视为合法用户。那么对于使得 Kubernetes 集群有一个真正的用户系统,就可以根据上面给出的概念将 Kubernetes 用户分为“内部用户”与“外部用户”。如何理解内部与外部用户呢?
Centos7 Docker-CE 一键安装脚本
03-29
企业利用 Docker 可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为 Linux 和 Windows Server 应用发布新功能。 有了容器,就可以将软件运行所需的所有资源打包到一个隔离的容器中。容器与...
k8s-ansible:Ansible Playbook创建HA kubernetes集群
04-29
组件版本和其他一些设置可以在variables/k8s-global.yml ,不要忘记将etcd_initial_token更改为更安全的设置。 要设置集群,请编辑hosts文件并运行: ansible-playbook -i hosts -u root kubernetes.yml注意:在...
istio-1.14.3-linux-arm64.tar.gz
01-10
Istio 使用功能强大的 Envoy 服务代理扩展了 Kubernetes,以建立一个可编程的、可感知的应用程序网络。Istio 与 Kubernetes 和传统工作负载一起使用,为复杂的部署带来了标准的通用流量管理、遥测和安全
使用其他用户的安全性特权运行kubernetes命令-Linux开发
05-27
DR此插件允许用户使用其他用户的安全性特权运行kubernetes命令:$ kubectl获取节点服务器错误(禁止):禁止节点:用户“ bofh”无法列出集群范围内的节点$ kubectl sudo获取节点名称状态角色年龄版本准备好了...
(八)k8s安全
卷心菜投手
01-14 960
k8s安全
K8S应用流程安全(镜像安全 配置管理 访问安全
m0_46690280的博客
07-10 1711
这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。
K8S安全机制
L2111533547的博客
08-07 1485
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
K8S 云原生】K8S安全机制
koeda1的博客
01-25 1176
K8S安全机制,对用户的K8S权限的管理
Kubernetes Service Account如何生成Token
weixin_30399797的博客
04-10 1147
Service Account是运行pods用到的帐号,默认是default。如果apiserver启动配置--admission-control=ServiceAccount,Service Account就要生成Token才能启动pods或者连接apiserver进行操作。下面讲讲如何把默认Service Account(default)生成Token。 1,生成serviceaccount...
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 1809
梳理出ServiceAccount服务账号一条线
Linux安装k8s
07-27
安装 Kubernetes (k8s) 在 Linux 上需要一些步骤,下面是一个简单的安装指南: 1. 安装 Docker:Kubernetes 使用 Docker 容器来运行应用程序,因此首先需要安装 Docker。您可以根据您的 Linux 发行版选择适当的安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值