10-Secret安全存储

最新推荐文章于 2022-06-17 17:25:59 发布
最新推荐文章于 2022-06-17 17:25:59 发布
阅读量311 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47261578/article/details/119532353
版权

Secret安全存储

上节课我们学习了Kubernetes 当中非常重要的一个对象ConfigMap ,一般情况下ConfigMap 是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap 就非常不妥了,因为ConfigMap 是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret , Secret 用来保存敏感信息,例如密码、Auth 令牌和 ssh key等等,将这些信息放在Secret 中比放在Pod 的定义中或者docker 镜像中来说更加安全和灵活。

Secret 有三种类型:

  • Opaque: base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。
  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
  • kubernetes.io/service-account-token:用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目 录/run/secrets/kubernetes.io/serviceaccount 中。

Opaque Secret

Opaque 类型的数据是一个 map 类型,要求value是base64 编码格式,比如创建一个用户名为 admin,密码为 admin321 的 Secret 对象,首先把这用户名和密码做 base64 编码,

[root@k8s-master ~]# echo -n "fbw" | base64
ZmJ3
[root@k8s-master ~]# echo -n "fbw321" | base64
ZmJ3MzIx

用上面编码过后的数据来编写一个YAML文件:

[root@k8s-master ~]# vim secret-demo.yaml
apiVersion: v1
kind: Secret	#类型
metadata:
  name: mysecret	#secret名称
type: Opaque		#secret类型
data:		#数据
  username: ZmJ3		#数据键值对,值是base64编码
  password: ZmJ3MzIx	#数据键值对,值是base64编码

创建并查看对应的secret

[root@k8s-master ~]# kubectl create -f secret-demo.yaml
secret/mysecret created
[root@k8s-master ~]# kubectl  get secrets
NAME                  TYPE                                  DATA   AGE
default-token-whcrj   kubernetes.io/service-account-token   3      10d
mysecret              Opaque                                2      18s
#可以查看到对应的名称为mysecret的secret,secret类型Opaque

其中default-token-cty7pdefault-token-n9w2d 为创建集群时默认创建的 secret,被serviceacount/default 引用。

使用describe命令查看详情

[root@k8s-master ~]# kubectl describe secrets mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  6 bytes		#只能查看对应的字节数并不能查看到原始数据
username:  3 bytes

可以看到利用describe命令查看到的Data没有直接显示出来,如果想看到Data里面的详细信息,同样我们可以输出成YAML文件进行查看:

[root@k8s-master ~]# kubectl get secret mysecret -o yaml
apiVersion: v1
data:
  password: ZmJ3MzIx		#可以查看到使用base64加密后的数据
  username: ZmJ3
kind: Secret
metadata:
  creationTimestamp: "2021-03-05T02:47:11Z"
  managedFields:
  - apiVersion: v1
    fieldsType: FieldsV1
    fieldsV1:
      f:data:
        .: {}
        f:password: {}
        f:username: {}
      f:type: {}
    manager: kubectl
    operation: Update
    time: "2021-03-05T02:47:11Z"
  name: mysecret
  namespace: default
  resourceVersion: "62423"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: b9edff60-b5be-4016-8868-c2f0fc2ad77b
type: Opaque

查看到的内容可以进行base64解密:

[root@k8s-master ~]# echo ZmJ3MzIx | base64 -dsh
fbw321
#此时已经进行解密成功,显示出对应的密码

创建好Secret对象后,有两种方式来使用它:

  • 以环境变量的形式
  • 以Volume的形式挂载(存储都可以使用卷挂载)
环境变量方式演示

首先来测试下环境变量的方式,使用一个简单的busybox镜像来测试下:

[root@k8s-master ~]# vim secret1-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: secret1-pod
spec:
  containers:
  - name: secret1
    image: busybox
    command: [ "/bin/sh", "-c", "env" ]		#打印环境变量
    env:		#定义环境变量
    - name: USERNAME	#定义环境变量的键
      valueFrom:		#以挂载的方式获取
        secretKeyRef:		#从secret中获取
          name: mysecret	#从secret名称为mysecret的文件中获取
          key: username		#mysecret的文件中获取环境变量的值
 #整体意思:定义一个名称为USERNAME环境变量,值以挂载的方式获取,挂载secret中名称为mysecret中的username值 
    - name: PASSWORD
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: password
#同上只是键值对不同其他一样

上面环境变量中定义的secretKeyRef 关键字,和之前讲的configMapKeyRef是不是比较类似,一个是从 Secret 对象中获取,一个是从ConfigMap 对象中获取,创建上面的Pod :创建

[root@k8s-master ~]# kubectl create -f secret1-pod.yaml
pod/secret1-pod created

查看pod的日志中是否有对应的变量信息

[root@k8s-master ~]# kubectl logs secret1-pod |grep fbw
USERNAME=fbw
PASSWORD=fbw321
#可以查看到对应的环境变量

容器执行完命令就会退出,并且一直重启,可以通过查看状态查看

[root@k8s-master ~]# kubectl get pod
NAME          READY   STATUS             RESTARTS   AGE
secret1-pod   0/1     CrashLoopBackOff   7          12m
Volume 挂载方式演示

验证Volume 挂载,创建一个Pod 文件:

[root@k8s-master ~]# vim secret2-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: secret2-pod
spec:
  containers:
  - name: secret2
    image: busybox
    command: ["/bin/sh", "-c", "ls -l /etc/secrets"]
    volumeMounts:	#挂载卷
    - name: secrets	#挂载卷名称
      mountPath: /etc/secrets	#挂载到容器中的路径
  volumes:	#创建卷
  - name: secrets	#创建的卷名称
    secret:		#把创建的secret创建成一个卷
      secretName: mysecret	#选择secret中的mysecret
#整体意思:将secrets中的名称为mysecret的创建为一个卷,并以卷的方式挂载到容器中的/etc/secrets这个路径

创建Pod :

[root@k8s-master ~]# kubectl create -f secret2-pod.yaml
pod/secret2-pod created

查看日志

[root@k8s-master ~]# kubectl logs secret2-pod
total 0
lrwxrwxrwx    1 root     root            15 Mar  5 03:29 password -> ..data/password
lrwxrwxrwx    1 root     root            15 Mar  5 03:29 username -> ..data/username
#此时已经以卷的方式挂载到容器内部

可以看到secret 把两个key挂载成了两个对应的文件。当然如果想要挂载到指定的文件上面,是不是也可以使用上一节课的方法**:在secretName 下面添加items指定 key 和 path挂载到指定路径**,这个大家可以参考上节课ConfigMap 中的方法去测试下。

kubernetes.io/dockerconfigjson

除了上面的Opaque 这种类型外,还可以来创建用户docker registry认证的Secret (用于认证信息下载私有仓库的镜像),直接使用kubectl create命令创建即可,如下

[root@k8s-master ~]# kubectl create secret docker-registry myregistry --docker-server=DOCKER_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret/myregistry created
#参数解释: 
# kubectl create secret:创建secret的关键命令
# docker-registry:创建的secret类型
# myregistry :创建的secret名称
# --docker-server=DOCKER_SERVER:表示仓库服务器地址
# --docker-username=DOCKER_USER:指定用户名
# --docker-password=DOCKER_PASSWORD:指定密码
#  --docker-email=DOCKER_EMAIL:指定邮箱

例如:下载私有仓库中的镜像,(如果使用自动下载私有仓库中的镜像,不填写认证信息的话,下载镜像会报错,可以用此方法自动提交认证信息并下载私有仓库的镜像)

[root@server1 secret]# vim pod3.yaml 
apiVersion: v1
kind: Pod
metadata: 
  name: mypod
spec:
  containers:
    - name: nginx
      image: 192.168.10.101:5000/test:v1	#此处指定私有镜像仓库的镜像
  imagePullSecrets:		#镜像下载密钥
    - name: myregistry			#使用的Secret名称

我们需要拉取私有仓库镜像192.168.1.100:5000/test:v1 ,我们就需要针对该私有仓库来创建一个如上的Secret ,然后在Pod 的 YAML 文件中指定imagePullSecrets 。

可以通过查看以输出yaml的方式详细信息,可以查看到data的详细信息

[root@k8s-master ~]# kubectl get secrets myregistry -o yaml
apiVersion: v1
data:
  .dockerconfigjson: eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0=
kind: Secret
metadata:
  creationTimestamp: "2021-03-05T03:49:24Z"
  managedFields:
  - apiVersion: v1
    fieldsType: FieldsV1
    fieldsV1:
      f:data:
        .: {}
        f:.dockerconfigjson: {}
      f:type: {}
    manager: kubectl
    operation: Update
    time: "2021-03-05T03:49:24Z"
  name: myregistry
  namespace: default
  resourceVersion: "71645"
  selfLink: /api/v1/namespaces/default/secrets/myregistry
  uid: c42e0eea-8c2c-48bb-990b-63eb50619971
type: kubernetes.io/dockerconfigjson

上方查看到的信息可以进行base64进行解密

[root@k8s-master ~]# echo eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiVSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0= | base64 -d

#数出的结果是json格式的
{"auths":{"DOCKER_SERVER":{"username":"DOCKER_USER","password":"DOCKER_PASSWORD","email":"DOCKER_EMAIL","auth":"RE9DS0VSX1VTRVI6RE9DS0VSX1BBU1NXT1JE"}}}

注意看上面的TYPE类型, myregistry 是不是对应的kubernetes.io/dockerconfigjson ,可以使用describe命令来查看详细信息

[root@k8s-master ~]# kubectl describe secret myregistry
Name:         myregistry
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Datas
====
.dockerconfigjson:  152 bytes	#只能查看到字节数
kubernetes.io/service-account-token

另外一种Secret 类型就是kubernetes.io/service-account-token,用于被serviceaccount引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的secret会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount 目录中。这里我们使用一个nginx 镜像来验证一下。

[root@k8s-master ~]#  kubectl run secret-pod3 --image nginx:1.7.9
pod/secret-pod3 created
[root@k8s-master ~]# kubectl get pods
NAME          READY   STATUS             RESTARTS   AGE
secret-pod3   1/1     Running            0          30s
[root@k8s-master ~]# kubectl exec secret-pod3 -- ls /run/secrets/kubernetes.io/serviceaccount		
#进入容器内查看是否有证书文件
ca.crt
namespace
token
[root@k8s-master ~]# kubectl exec secret-pod3 -- cat /run/secrets/kubernetes.io/serviceaccount/token	#查看token文件
eyJhbGciOiJSUzI1NiIsImtpZCI6Im1KbUotQV8zdlllUWVuX0JrNFppdDJGOTFXc21RNVhrOTJyYXZEbjJGZ2MifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImRlZmF1bHQtdG9rZW4td2hjcmoiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGVmYXVsdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImYwMjgyOWMyLTE3MzUtNDhlZC05NmM3LTA0Nzc5YzVhMWU1ZSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OmRlZmF1bHQifQ.DbHavECeu8XuOFCQjqhnr3RnE2gxuiHZsmQw3MIGbqiJROeyvlmFkqSJ0ad5Y_0dYgm73BhyQmCH43XkIeBLnHmQYUeUqkeidL3XVG2AWZupb-cAV4fwskSXVPrfwmkehXmmS7yB5abOG9VCtGxTD5K8lnVc6iLemhFYqcrQQgU8n7zQl5658tRA7_7hjHN8T_HVI1FPe4DFSsUb4tGJ7xOypL7QM0UolzZozg9OTPHsgzTVR0PwU9seL3yoqfLk28mPZ84_FxmBkGjoZ49BVrcYJrd9VrNwzE-Z7aZEGlZNf9vFV6_JX6bq-ZxcvRe8q5X2F3dXACzFPTsDIsF49Q
[root@k8s-master ~]# kubectl exec secret-pod3 -- cat /run/secrets/kubernetes.io/serviceaccount/namespace 	
#查看所在命名空间
default

Secret ConfigMap 对比

相同点:

  • key/value的形式
  • 属于某个特定的namespace
  • 可以导出到环境变量
  • 可以通过目录/文件形式挂载
  • 通过 volume 挂载的配置信息均可热更新

不同点

  • Secret 可以被 ServerAccount 关联
  • Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret参数中,用于拉取私有仓库的镜像
  • Secret 支持 Base64 加密
玖丶C
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
github-secret-manager-ghaction:[GitHub 行动] GitHub 秘密管理器
08-04
出于安全原因: 此操作无法在自主机/运行器上执行/运行,并且 操作的参与者和源的秘密的所有者(即:存储库所有者(没有存储库,GitHub 操作无法运行))必须是同一用户。 这个动作应该是作业中的唯一一步,要处理...
Django 安全最佳实践
ronon77的专栏
06-16 860
加固服务器 包括修改 SSH 端口,关闭/删除不必要的服务等。 理解 Django 的安全特性 包括: 跨站脚本保护 XSS 跨站请求伪造保护 CSRF SQL 注入保护 劫持保护 支持 TLS/HTTPS/HSTS,包括安全 cookie 安全的密码存储,默认使用 PBKDF2 算法和 SHA256 哈希算法 自动 HTML 转义 一个能对抗 XML Bomb 攻击的 ...
Java:如何把SecretKey保存下来
hz0324的专栏
10-21 5920
转自:http://stackoverflow.com/questions/5355466/converting-secret-key-into-a-string-and-vice-versa SecretKey to String: // CREATE NEW KEY // GET ENCODED VERSION OF KEY (THIS CAN BE STORED IN A D
java项目的秘钥怎么保存_java生成秘钥key,并保存秘钥到文件中
weixin_30760143的博客
03-02 2201
本例子采用的是Java的对称加密其中的一种方式(3DES),其他的加密方式也类似。生成一个key秘钥,发送方使用生成的key秘钥进行加密操作,然后把生成的key秘钥保存到文件中,提供给需要解密的一方使用key秘钥进行解密操作。(期间一定要保存key秘钥不被泄露)package com.bobo.encryption.asymmetric;import java.io.BufferedReader;...
java生成秘钥key,并保存秘钥到文件中
成功=99%的努力+1%的天赋 你能行!
01-14 1万+
本例子采用的是Java的对称加密其中的一种方式(3DES),其他的加密方式也类似。生成一个key秘钥,发送方使用生成的key秘钥进行加密操作,然后把生成的key秘钥保存到文件中,提供给需要解密的一方使用key秘钥进行解密操作。(期间一定要保存key秘钥不被泄露) package com.bobo.encryption.asymmetric; import java.io.BufferedRea
terraform-provider-secret:Terraform秘密提供者
02-04
secret提供者的任务是:在Terraform状态下存储秘密。 在采用此方法之前,请注意您的安全立场! 该提供程序的主要目标是,很多时候,terraform始终在其状态文件中包含秘密。 与其将它们放入存储库并用"${file(...
whisper-secret-messages:通过 Internet 安全且匿名地共享基于文本的信息
08-03
内容关于该项目 使用,用户可以输入和存储文本信息,并接收链接以安全地共享此信息。 只有知道链接的人才能访问这些信息。 我们使用端到端加密——加密和解密都在客户端执行,用于加密的密码永远不会发送到服务器。...
cfn-secret-provider:用于部署机密和密钥的CloudFormation定制资源提供程序
01-29
机密会生成并存储在EC2参数存储中,并且可以通过安全策略控制对机密的访问。如何生成秘密? 这很容易:您可以按如下所示指定的CloudFormation资源: DBPassword : Type : Custom::Secret Properties : Name : /demo...
aws-secret-operator:Kubernetes运算符可根据AWS Secrets Manager中存储的内容自动创建和更新Kubernetes机密
05-12
秘密操作员 Kubernetes运算符会根据AWS Secrets Manager中存储的内容自动创建和更新Kubernetes机密。...假设您存储了一个名为prod/mysecret的机密管理器密钥,其值为: { " foo " : " bar " } $ aws
kubernetes的Service Account和secret
柳清风的专栏
06-04 2万+
Service AccountService Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。kubectl get sa --all-namespacesNAME
secret详解
wq1205750492的博客
06-17 2721
注意:secret主要为三大类型:创建 Secret 三种方式 基于指定文件创建 基于指定目录创建 基于环境变量键值对文件 1.2 创建 secret-tiger-docker 类型 1.3 创建tls类型 2. 基于yaml文件创建 三. Secret使用 1.容器环境变量中使用 将 Secret 中的所有键值对配置为容器环境变量 2.存储卷(volume)中使用 2.1 使用存储在 ConfigMap 中的数据填充卷 2.2 将 ConfigMap
Kubernetes中的Secret配置
weixin_34013044的博客
12-21 1436
Secret 概览 Secret 是一种包含少量敏感信息例如密码、token 或 key 的对象。这样的信息可能会被放在 Pod spec 中或者镜像中;将其放在一个 secret 对象中可以更好地控制它的用途,并降低意外暴露的风险。 用户可以创建 secret,同时系统也创建了一些 secret。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 se...
k8s编排、Secret加密文件详解,configmap文件详解,基本操作
mingqing的博客
11-27 3706
文章目录总结Secret详解yaml方式创建Secret使用Secret,挂载方式映射secret key到指定的路径被挂载的secret内容自动更新环境变量的形式使用SecretYAML 文件的方式创建SecretConfigMap详解创建ConfigMap使用ConfigMap1 通过环境变量使用环境变量引用文件所有值2 作为volume挂载使用 总结 数据卷 1.secret:保存敏感信息,比如用户名、密码、token 创建方式2种: 命令行 yaml文件 引用3种: volume挂载 secret
亚马逊店铺授权解析|Secret Key、IRP、Auth Token授权有什么区别?
码瘾的空间
09-05 4738
目前亚马逊第三方服务平台越来越多,为了方便第三方服务快速获取店铺数据信息,亚马逊主要有三类授权方式:MWS-Secret Key、IRP、Auth Token授权。这三种授权方式各有所长,而一个安全的账号是每一位运营亚马逊卖家的必要前提,打算在亚马逊长期稳定发展,打造更多的爆款,获得更多的利润,保障亚马逊卖家账号的安全是重中之重。那么亚马逊卖家们该如何区分各类授权方式保障自己的账户安全? MWS-...
kubernetes 中 Secret 的作用, 以及为什么说它是安全
kunyus的博客
07-01 3872
为什么要有 Secret ? 使用过 Kubernetes 的人应该都知道, Kubernetes 对动态配置管理提供了两种管理方式, 一种是 ConfigMap 一种就是现在要讲的 Secret. 这是因为我们在 kubernetes 上部署应用的时候,经常会需要传一些动态配置给应用使用,比如数据库地址,用户名, 密码之类的信息。如果没有上面提供的方法, 我们只能使用下面几种方法. 直接打包到...
第三方SSKeychain保存用户密码
zhz459880251的博客
01-31 2037
UDID(-[UIDevice uniqueIdentifier])在iOS7.0被禁用,一般使用UUID来作为设备的唯一标识。 获取到UUID后,如果用NSUserDefaults存储,当程序被卸载后重装时,再获得的UUID和之前就不同了。 使用keychain存储可以保证程序卸载重装时,UUID不变。但当刷机或者升级系统后,UUID还是会改变的。1. keychain的功能 key
安全性和保密性设计---数字证书与秘钥管理
hu19930613的博客
12-20 1668
数字证书与密钥管理     过去,人们总是依赖于对于加密算法和密钥的保密来增加保密的强度和效果。随着现代密码学的发展,大部分的加密算法都已经公开了。一些典型的算法(例如,DES、IDEA、 RSA 等)更是成了国际标准,被广泛接纳。人们可以从多种途径来获取算法的细节,也已经有很多采用这些算法的软件、硬件设备可以利用。     因此,在现代密码系统中,算法本身的保密已经不重要了,对于数据的保密在...
Google授权登录获取客户端ID(client_id)和客户端密钥(client_secret)及配置
热门推荐
龚清林的博客
05-07 2万+
1、获取客户端ID(client_id)和客户端密钥(client_secret) 需要去这里https://console.developers.google.com/apis/credentials创建 应用凭据 2、创建好应用凭据之后,可以去https://console.developers.google.com/apis/library把对应的API服务启用(获取授权信息,如果只是获取默认授权信息就不需要操作),这里是Web端(对应的是社交>G+和Google People API) 3、
k8s的secret
最新发布
09-14
它们以加密方式存储在Kubernetes集群中,确保在容器中使用这些敏感信息时的安全性。 Secret可以在部署过程中被挂载到容器的文件系统中,或者作为环境变量传递给容器。这样可以避免明文存储敏感信息,并提供了更好的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值