Hadoop 2.7.3-Kerberos认证

最新推荐文章于 2024-07-29 11:33:03 发布
最新推荐文章于 2024-07-29 11:33:03 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: kerberos 文章标签: hadoop kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27499099/article/details/77771253
版权

本文参考自:

http://blog.csdn.net/dxl342/article/details/55510659
http://hadoop.apache.org/docs/r2.5.2/hadoop-project-dist/hadoop-common/SecureMode.html
http://blog.csdn.net/wulantian/article/details/42173023

1. 搭建 Kerberos

1.1 环境
我们在三个节点的服务器上安装 Kerberos,这两个个节点上安装了 hadoop 集群,安装 hadoop。这两个节点机器分布为:ht25、ht26。
操作系统:CentOs 6.5
1.2 安装
各节点yum安装:
yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y
1.3 配置
kdc 服务器涉及到三个配置文件:

/etc/krb5.conf
/var/kerberos/krb5kdc/kdc.conf
/var/kerberos/krb5kdc/kadm5.acl

配置 Kerberos 的一种方法是编辑配置文件 /etc/krb5.conf。默认安装的文件中包含多个示例项。

$ cat /etc/krb5.conf
  [logging]
   default = FILE:/var/log/krb5libs.log
   kdc = FILE:/var/log/krb5kdc.log
   admin_server = FILE:/var/log/kadmind.log

  [libdefaults]
   default_realm = htsy
   dns_lookup_realm = false
   dns_lookup_kdc = false
   clockskew = 120
   ticket_lifetime = 24h
   renew_lifetime = 7d
   forwardable = true
   renewable = true
   udp_preference_limit = 1
   default_tgs_enctypes = arcfour-hmac
   default_tkt_enctypes = arcfour-hmac

  [realms]
   htsy = {
    kdc = ht25:88
    admin_server = ht25:749
   }

  [domain_realm]
    .htsy = htsy
    www.htsy = htsy

  [kdc]
  profile=/var/kerberos/krb5kdc/kdc.conf

说明:
[logging]:表示 server 端的日志的打印位置
[libdefaults]:每种连接的默认配置,需要注意以下几个关键的小配置
default_realm = htsy:设置 Kerberos 应用程序的默认领域。如果您有多个领域,只需向 [realms] 节添加其他的语句。
udp_preference_limit= 1:禁止使用 udp 可以防止一个Hadoop中的错误
clockskew:时钟偏差是不完全符合主机系统时钟的票据时戳的容差,超过此容差将不接受此票据。通常,将时钟扭斜设置为 300 秒(5 分钟)。这意味着从服务器的角度看,票证的时间戳与它的偏差可以是在前后 5 分钟内。
ticket_lifetime: 表明凭证生效的时限,一般为24小时。
renew_lifetime: 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。
[realms]:列举使用的 realm。
kdc:代表要 kdc 的位置。格式是 机器:端口
admin_server:代表 admin 的位置。格式是 机器:端口
default_domain:代表默认的域名
[appdefaults]:可以设定一些针对特定应用的配置,覆盖默认配置。
修改 /var/kerberos/krb5kdc/kdc.conf ,该文件包含 Kerberos 的配置信息。例如,KDC 的位置,Kerbero 的 admin 的realms 等。需要所有使用的 Kerberos 的机器上的配置文件都同步。这里仅列举需要的基本配置。详细介绍参考:krb5conf

$ cat /var/kerberos/krb5kdc/kdc.conf[kdcdefaults]
 v4_mode = nopreauth
 kdc_ports = 88
 kdc_tcp_ports = 88
[realms]
 htsy = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes =  des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal des-cbc-crc:v4 des-cbc-crc:afs3
  max_life = 24h
  max_renewable_life = 10d
  default_principal_flags = +renewable, +forwardable
 }

说明:
htsy: 是设定的 realms。名字随意。Kerberos 可以支持多个 realms,会增加复杂度。大小写敏感,一般为了识别使用全部大写。这个 realms 跟机器的 host 没有大关系。
master_key_type:和 supported_enctypes 默认使用 aes256-cts。由于,JAVA 使用 aes256-cts 验证方式需要安装额外的 jar 包(后面再做说明)。推荐不使用,并且删除 aes256-cts。
acl_file:标注了 admin 的用户权限,需要用户自己创建。文件格式是:Kerberos_principal permissions [target_principal] [restrictions]
supported_enctypes:支持的校验方式。
admin_keytab:KDC 进行校验的 keytab。
关于AES-256加密:
对于使用 centos5. 6及以上的系统,默认使用 AES-256 来加密的。这就需要集群中的所有节点上安装 Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File。
下载的文件是一个 zip 包,解开后,将里面的两个文件放到下面的目录中:$JAVA_HOME/jre/lib/security
为了能够不直接访问 KDC 控制台而从 Kerberos 数据库添加和删除主体,请对 Kerberos 管理服务器指示允许哪些主体执行哪些操作。通过编辑文件 /var/lib/kerberos/krb5kdc/kadm5.acl 完成此操作。ACL(访问控制列表)允许您精确指定特权。

$ cat /var/kerberos/krb5kdc/kadm5.acl
  */admin@htsy *

同步配置文件到其他节点
1.4 创建数据库
在 ht25上运行初始化数据库命令。其中 -r 指定对应 realm。
$ kdb5_util create -r htsy -s
1.5 启动服务
在 ht25节点上运行:

$ chkconfig --level 35 krb5kdc on
$ chkconfig --level 35 kadmin on
$ service krb5kdc start
$ service kadmin start

1.6 创建kerberos管理员
在 ht25 上创建远程管理的管理员:

root$ kadmin.local -q "addprinc root/admin"

2 HDFS 上配置 kerberos

2.1 创建认证规则
在 Kerberos 安全机制里,一个 principal 就是 realm 里的一个对象,一个 principal 总是和一个密钥(secret key)成对出现的。
这个 principal 的对应物可以是 service,可以是 host,也可以是 user,对于 Kerberos 来说,都没有区别。
Kdc(Key distribute center) 知道所有 principal 的 secret key,但每个 principal 对应的对象只知道自己的那个 secret key 。这也是“共享密钥“的由来。
对于 hadoop,principals 的格式为 username/fully.qualified.domain.name@YOUR-REALM.COM。
NameNode 和 DataNode 是通过 hdfs 启动的,故为集群中每个服务器节点添加两个principals:hdfs、HTTP。
在 KCD server 上(这里是 ht25)创建 hdfs principal:

kadmin.local -q "addprinc -randkey hdfs/ht25@htsy"
kadmin.local -q "addprinc -randkey hdfs/ht26@htsy"

-randkey 标志没有为新 principal 设置密码,而是指示 kadmin 生成一个随机密钥。之所以在这里使用这个标志,是因为此 principal 不需要用户交互。它是计算机的一个服务器帐户。
创建 HTTP principal:

kadmin.local -q "addprinc -randkey HTTP/ht25@htsy"
kadmin.local -q "addprinc -randkey HTTP/ht26@htsy"

创建完成后,查看:

$ kadmin.local -q "listprincs"

2.2 创建keytab文件

kadmin.local -q "xst  -k /root/hdfs.keytab  hdfs/ht25@htsy"
kadmin.local -q "xst  -k /root/hdfs.keytab  hdfs/ht26@htsy"
kadmin.local -q "xst  -k /root/hdfs.keytab  HTTP/ht25@htsy"
kadmin.local -q "xst  -k /root/hdfs.keytab  HTTP/ht26@htsy"

验证: klist -ket /root/hdfs.keytab

如下:

 2 08/29/17 08:19:24 HTTP/ht25@htsy (aes128-cts-hmac-sha1-96) 
   2 08/29/17 08:19:24 HTTP/ht25@htsy (des3-cbc-sha1) 
   2 08/29/17 08:19:24 HTTP/ht25@htsy (arcfour-hmac) 
   2 08/29/17 08:19:24 HTTP/ht25@htsy (des-hmac-sha1) 
   2 08/29/17 08:19:24 HTTP/ht25@htsy (des-cbc-md5) 
   2 08/29/17 08:19:26 HTTP/ht26@htsy (aes128-cts-hmac-sha1-96) 
   2 08/29/17 08:19:26 HTTP/ht26@htsy (des3-cbc-sha1) 
   2 08/29/17 08:19:26 HTTP/ht26@htsy (arcfour-hmac) 
   2 08/29/17 08:19:26 HTTP/ht26@htsy (des-hmac-sha1) 
   2 08/29/17 08:19:26 HTTP/ht26@htsy (des-cbc-md5) 
   2 08/31/17 05:54:10 hdfs/ht25@htsy (aes128-cts-hmac-sha1-96) 
   2 08/31/17 05:54:10 hdfs/ht25@htsy (des3-cbc-sha1) 
   2 08/31/17 05:54:10 hdfs/ht25@htsy (arcfour-hmac) 
   2 08/31/17 05:54:10 hdfs/ht25@htsy (des-hmac-sha1) 
   2 08/31/17 05:54:10 hdfs/ht25@htsy (des-cbc-md5) 
   2 08/31/17 05:54:13 hdfs/ht26@htsy (aes128-cts-hmac-sha1-96) 
   2 08/31/17 05:54:13 hdfs/ht26@htsy (des3-cbc-sha1) 
   2 08/31/17 05:54:13 hdfs/ht26@htsy (arcfour-hmac) 
   2 08/31/17 05:54:13 hdfs/ht26@htsy (des-hmac-sha1) 
   2 08/31/17 05:54:13 hdfs/ht26@htsy (des-cbc-md5)

2.3 获取票据

$ kinit -k -t /root/hdfs.keytab hdfs/ht25@htsy
$ kinit -k -t /root/hdfs.keytab hdfs/ht26@htsy

同步keytab到各节点,授权0400

3 hdfs 配置

3.1 配置文件修改
core-site.xml

<configuration>
    <property>
        <name>fs.defaultFS</name>
        <value>hdfs://ht25:9000</value>
    </property>
    <property>
        <name>hadoop.tmp.dir</name>
        <value>/data/tmp/hadoop1</value>
    </property>
   <property>
        <name>hadoop.proxyuser.oozie.hosts</name>
        <value>*</value>
  </property>
  <property>
        <name>hadoop.proxyuser.oozie.groups</name>
        <value>*</value>
  </property>
 <property>
        <name>hadoop.security.authorization</name>
        <value>true</value>
</property>
<property>
        <name>hadoop.security.authentication</name>
        <value>kerberos</value>
</property>
 <property>
        <name>hadoop.rpc.protection</name>
        <value>authentication</value>
</property>
<property>
        <name>hadoop.security.auth_to_local</name>
        <value>
        RULE:[2:$1@$0](hdfs/.*@.*htsy)s/.*/hdfs/
        RULE:[2:$1@$0](yarn/.*@.*htsy)s/.*/yarn/
        DEFAULT
        </value>
</property>
</configuration>

hdfs-site.xml

<configuration>
    <property>
        <name>dfs.replication</name>
        <value>1</value>
    </property>
<property>
    <name>dfs.block.access.token.enable</name>
    <value>true</value>
</property>
<property>
    <name>dfs.namenode.keytab.file</name>
    <value>/root/hdfs.keytab</value>
</property>
<property>
    <name>dfs.https.enable</name>
    <value>true</value>
</property>
<property>
    <name>dfs.namenode.kerberos.principal</name>
    <value>hdfs/_HOST@htsy</value>
</property>
<property>
    <name>dfs.namenode.kerberos.internal.spnego.principal</name>
    <value>HTTP/_HOST@htsy</value>
</property>
<property>
    <name>dfs.datanode.keytab.file</name>
    <value>/root/hdfs.keytab</value>
</property>
<property>
    <name>dfs.datanode.kerberos.principal</name>
    <value>hdfs/_HOST@htsy</value>
</property>
<property>
    <name>dfs.datanode.address</name>
    <value>0.0.0.0:61004</value>
</property>
<property>
   <name>dfs.datanode.http.address</name>
    <value>0.0.0.0:61006</value>
</property>
<property>
     <name>dfs.permissions.supergroup</name>
     <value>supergroup</value>
     <description>The name of the group of
     super-users.</description>
</property>
<property>
    <name>dfs.datanode.kerberos.https.principal</name>
    <value>HTTP/_HOST@htsy</value>
</property>
<property>
    <name>dfs.encrypt.data.transfer</name>
    <value>false</value>
</property>
<property>
    <name>dfs.journalnode.keytab.file</name>
    <value>/root/hdfs.keytab</value>
</property>
<property>
    <name>dfs.journalnode.kerberos.principal</name>
    <value>hdfs/_HOST@htsy</value>
</property>
<property>
    <name>dfs.namenode.kerberos.https.principal</name>
    <value>HTTP/_HOST@htsy</value>
</property>
<property>
    <name>dfs.journalnode.kerberos.internal.spnego.principal</name>
    <value>HTTP/_HOST@htsy</value>
</property>
<property>
  <name>dfs.http.policy</name>
  <value>HTTPS_ONLY</value>
</property>
<property>
  <name>dfs.data.transfer.protection</name>
  <value>integrity</value>
</property>
<property>
  <name>dfs.datanode.data.dir.perm</name>
  <value>700</value>
</property>
<property>
  <name>dfs.encrypt.data.transfer</name>
  <value>true</value>
</property>
<property>
  <name>dfs.webhdfs.enabled</name>
  <value>true</value>
</property>
<property>
  <name>dfs.web.authentication.kerberos.principal</name>
  <value>HTTP/_HOST@JAVACHEN.COM</value>
</property>

<property>
  <name>dfs.web.authentication.kerberos.keytab</name>
  <value>/root/hdfs.keytab</value>
</property>
</configuration>

3.2 配置https
CA机器上:

openssl req -new -x509 -keyout test_ca_key -out test_ca_cert -days 9999 -subj '/C=CN/ST=zhejiang/L=hangzhou/O=dtdream/OU=security/CN=zelda.com'

将上面生成的test_ca_key和test_ca_cert丢到所有机器上,在各个机器上继续:

keytool -keystore keystore -alias localhost -validity 9999 -genkey -keyalg RSA -keysize 2048 -dname "CN=zelda.com, OU=test, O=test, L=hangzhou, ST=zhejiang, C=cn"


keytool -keystore truststore -alias CARoot -import -file test_ca_cert


keytool -certreq -alias localhost -keystore keystore -file cert
openssl x509 -req -CA test_ca_cert -CAkey test_ca_key -in cert -out cert_signed -days 9999 -CAcreateserial -passin pass:changeit
keytool -keystore keystore -alias CARoot -import -file test_ca_cert
keytool -keystore keystore -alias localhost -import -file cert_signed

配置ssl-server.xml和ssl-client.xml
从{target}.xml.example文件拷贝一份出来,并制定keystore、trustkeystore两个文件的路径、password,然后同步到所有节点。

4 配置yarn

4.1 配置yarn-site.xml
yarn-site.xml

<configuration>
    <property>
        <name>yarn.nodemanager.aux-services</name>
        <value>mapreduce_shuffle</value>
    </property>
    <property>
        <name>yarn.resourcemanager.hostname</name>
        <value>ht25</value>
    </property>
    <property>
    <name>yarn.resourcemanager.keytab</name>
    <value>/root/yarn.keytab</value>
</property>
<property>
  <name>yarn.http.policy</name>
  <value>HTTPS_ONLY</value>
</property>
<property>
    <name>yarn.resourcemanager.principal</name>
    <value>yarn/_HOST@htsy</value>
</property>
<property>
    <name>yarn.nodemanager.keytab</name>
    <value>/root/yarn.keytab</value>
</property>
<property>
    <name>yarn.nodemanager.principal</name>
    <value>yarn/_HOST@htsy</value>
</property>
<property>
    <name>yarn.nodemanager.container-executor.class</name>
    <value>org.apache.hadoop.yarn.server.nodemanager.LinuxContainerExecutor</value>
</property>
<property>
    <name>yarn.nodemanager.linux-container-executor.group</name>
    <value>yarn</value>
</property>

4.2 yarn kerberos认证用户

kadmin.local -q "addprinc -randkey yarn/ht25@htsy"
kadmin.local -q "addprinc -randkey yarn/ht26@htsy"
kadmin.local -q "xst  -k /root/yarn.keytab  yarn/ht25@htsy"
kadmin.local -q "xst  -k /root/yarn.keytab  yarn/ht26@htsy"
kadmin.local -q "xst  -k /root/yarn.keytab  HTTP/ht25@htsy"
kadmin.local -q "xst  -k /root/yarn.keytab  HTTP/ht26@htsy"

4.3 重新编译container-executor

修改文件container-executor.cfg

yarn.nodemanager.linux-container-executor.group=#configured value of yarn.nodemanager.linux-container-executor.group
banned.users=#comma separated list of users who can not run applications
min.user.id=1000#Prevent other super-users
allowed.system.users=##comma separated list of system users who CAN run applications
yarn.nodemanager.linux-container-executor.group=yarn
banned.users=bin
min.user.id=499
allowed.system.users=root,nobody,impala,hive,hdfs,yarn

保存放入/etc下

下载hadoop2.7.3源码 编译时指定目录

mvn package -Pdist,native -DskipTests -Dtar -Dcontainer-executor.conf.dir=/etc
将编译好的container-executor放在/usr/lib/hadoop-yarn/bin下并授权。

chown root:yarn container-executor /etc/container-executor.cfg
chmod 4750 container-executor

这边给出我编译好的:http://download.csdn.net/download/qq_27499099/9960222

至此,配置完成,各组件启动时需要先kinit -ket /root/xxx.keytab xx/xx@xxx 来获取票据,然后正常启动组件。

5 常见问题汇总

http://www.cnblogs.com/warmingsun/p/6738730.html

qq_27499099?
关注
专栏目录
Hadoop 安全机制认证---Kerberos
cqboy1991的专栏
02-27 2271
1. 背景 在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的,值得信赖的。用户与HDFS或者M/R进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到hadoop集群上,恶意的提交作业,修改JobTracker状态,篡改HDFS上的数据,伪装成NameNode 或者TaskTracker接受任务等。 尽
HadoopSimple Authentication
TragicJun的专栏
08-07 6222
最近在写一个MapReduce程序,需要从DB里面读取某些数据,但是公司内所有的DB都是Kerberos方式认证,因而有必要对MapReduce Security机制做一些初步的研究。 JAAS 首先,Hadoop Security是基于JAAS(Java Authentication and Authorization Service)实现的,这是JDK标准的一个框架,可plug各种类型的L
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
Hadoop Kerberos认证
followwwind的博客
04-21 616
Hadoop Kerberos认证
Kerberos 认证介绍
最新发布
qq_44011926的博客
07-29 1624
Ticket(票据):一个加密的证书,证明用户的身份并允许用户访问特定的服务。票据由 Kerberos 服务器(Key Distribution Center,KDC)颁发。KDC 是 Kerberos 认证系统的中心,包括两个主要的组件:Authentication Server (AS):负责用户登录验证,并颁发初始票据(Ticket Granting Ticket, TGT)。Ticket Granting Server (TGS):负责颁发服务票据,用于访问具体的服务。
【配置/认证】Authentication for Hadoop(3.3.1) HTTP web-consoles : Hadoopsimple认证 不是银弹
hiliang521的博客
08-22 1202
Authentication for Hadoop HTTP web-consoles
hadoop-common-2.7.3-bin-master
06-19
- **安全模式**:在Windows上启用Hadoop的安全模式可能会遇到挑战,因为Windows并不完全支持Hadoop的安全模型,如Kerberos认证。 4. **实战演练**: - **创建目录**:通过`hadoop fs -mkdir`命令创建HDFS目录,...
hadoop-common-2.7.3-bin-master + win10-64
06-22
3. **安全性**:Hadoop支持认证、授权和审计功能,如Kerberos,以确保集群的安全性。在2.7.3版本中,安全机制得到了进一步加强和完善。 4. **I/O工具**:Hadoop提供了一系列的输入/输出工具,如序列化框架...
hadoop-2.7.3.zip
05-29
5. Security Improvements:2.7.3版加强了安全特性,如Kerberos认证,增强了数据保护和用户访问控制。 6. Bug Fixes:这个版本包含了对之前版本中发现的问题的修复,确保了系统的稳定运行。 为了使用这个压缩包,...
Hadoop-2.7.3
12-07
此外,Hadoop 2.7.3还可能包含了安全性的增强,例如Kerberos认证的集成,以确保集群内的数据通信安全。同时,该版本可能对性能进行了微调,提高了I/O操作的效率,减少了延迟,从而提升了整体性能。 总结来说,...
centos 7+hadoop 2.7.3
网维的木棉后记
07-21 990
hadoop 2.7.3 maven protobuf zookeeper ssh
Hadoop2.7.7 API: core-site.xml 解析
张伯毅的专栏
08-13 3026
name description value 备注 hadoop.common.configuration.version 配置文件版本 0.23.0   hadoop.tmp.dir 其它临时目录的父目录,会被其它临时目录用到。 /tmp/hadoop-${user.name}   io.native.lib.available ...
hadoopkerberos权限配置(ranger基础上)(三)
weixin_40496191的博客
01-02 4298
kerberos+ranger+kerberos权限控制
Hadoop Kerberos 集成
hyunbar的博客
02-10 2906
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 106篇原创内容 ...
hadoop 3.X 分布式HA集成Kerbos(保姆级教程)
guofei_ok的博客
06-30 1192
前提:先安装Kerbos。
原生apache hadoop3.3.1集群安装配置Kerberos
h952520296的博客
05-25 1506
安装kerberos可以看一下我另外一篇。下面直接开始配置hadoop部署好了kerberos之后,首先添加用户和生成认证文件在KDC中添加需要认证的用户具体用户看情况而定(hadoop集群主要由hdfs管理,所以除了建hdfs账户还有HTTP账户,另外还有hive、hbase、dwetl也会访问hadoop集群。如有别的用户可用这种方式另行添加,如下图:格式为:用户名/主机hostname@HADOOP.COM。
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1478
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
大数据全栈式运维开发
11-21
本次课程让学员全面系统地学习大数据平台运维,开发的操作。课程内容涉及到大数据生态系统的各项工具,内容全面,讲解细致,助您全面掌握大数据平台运维及开发工具的作用
配置两个Hadoop集群Kerberos认证跨域互信
Mrerlou的博客
06-29 1182
两个Hadoop集群开启Kerberos验证后,集群间不能够相互访问,需要实现Kerberos之间的互信,使用Hadoop集群A的客户端访问Hadoop集群B的服务(实质上是使用Kerberos Realm A上的Ticket实现访问Realm B的服务)。先决条件:1)两个集群(IDC.COM和HADOOP.COM)均开启Kerberos认证2)Kerberos的REALM分别...
Hadoop集群启用Kerberos认证
05-22
Hadoop集群的所有节点上修改hadoop-env.sh文件,设置HADOOP_OPTS环境变量,将HadoopKerberos认证集成。 4. 生成Keytab文件 在KDC服务器上为Hadoop集群创建一个Keytab文件,用于在Hadoop集群的每个节点上进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值