k8s学习笔记-安全机制

最新推荐文章于 2024-05-06 21:45:00 发布
最新推荐文章于 2024-05-06 21:45:00 发布
阅读量430 收藏
点赞数 2
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37703162/article/details/109967612
版权

k8s安全机制

  k8s集群中,API server是集群内部各个组件通信的中介,也是外部控制的入口,所以其安全机制也是围绕保护API server来设计的。k8s使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API server的安全。

Authentication:

HTTP Token 认证:通过一个 Token 来识别合法用户
HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 - Token 来表达客户的一种方式。Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中。当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token;
HTTP Base 认证:通过 用户名+密码 的方式认证
用户名+:+密码 用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务端,服务端收到后进行编码,获取用户名及密码;
上述两种认证方式都是单向认证,即服务器能够认证客户端,但是客户端不能认证服务器,不知道服务器的真假。
最严格的 HTTPS 证书认证:基于 CA 根证书签名的客户端身份认证方式。

k8s的HTTPS证书认证过程:

在这里插入图片描述

需要认证节点:

在这里插入图片描述
两种类型

  • Kubenetes 组件对 API Server 的访问:kubectl、Controller Manager、Scheduler、 kubelet、kubeproxy
  • Kubernetes 管理的 Pod 对容器的访问:Pod(dashborad 也是以 Pod 形式运行)

安全性说明

  • Controller Manager、Scheduler 与 API Server 在同一台机器,所以直接使用 API Server 的非安全端口访问, --insecure-bind-address=127.0.0.1
  • kubectl、kubelet、kube-proxy 访问 API Server 就都需要证书进行 HTTPS 双向认证

证书颁发

  • 手动签发:通过 k8s 集群的跟 ca 进行签发 HTTPS 证书
  • 自动签发:kubelet 首次访问 API Server 时,使用 token 做认证,通过后,Controller Manager 会为kubelet 生成一个证书,以后的访问都是用证书做认证了

kubeconfig文件
  kubeconfig 文件包含集群参数(CA证书、API Server地址),客户端参数(上面生成的证书和私钥),集群context 信息(集群名称、用户名)。Kubenetes 组件通过启动时指定不同的 kubeconfig 文件可以切换到不同的集群,文件在当前目录的.kube/文件夹内;
在这里插入图片描述ServiceAccount
Pod中的容器访问API Server。因为Pod的创建、销毁是动态的,所以要为它手动生成证书就不可行了。Kubenetes使用了Service Account解决Pod 访问API Server的认证问题。
Secret与SA的关系
  Kubernetes 设计了一种资源对象叫做 Secret,分为两类,一种是用于 ServiceAccount 的 service-account-token, 另一种是用于保存用户自定义保密信息的 Opaque。ServiceAccount 中用到包含三个部分:Token、ca.crt、namespace

  • token是使用 API Server 私钥签名的 JWT(jsin web token, 是为了在网络应用环境传递声明而执行的一种基于JSON的开放标准)。用于访问API Server时,Server端认证
  • ca.crt,根证书。用于Client端验证API Server发送的证书
  • namespace, 标识这个service-account-token的作用域名空间

默认情况下,每个 namespace 都会有一个 ServiceAccount,如果 Pod 在创建时没有指定 ServiceAccount,
就会使用 Pod 所属的 namespace 的 ServiceAccount
默认挂着目录:/run/secret/kubernetes.io/serviceaccount/

认证过程总结:
在这里插入图片描述

Authorization

认证过程只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权限。API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “–authorization-mode” 设置)

  • AlwaysDeny:表示拒绝所有的请求,一般用于测试
  • AlwaysAllow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略
  • ABAC(Attribute-Based Access Control):基于属性的访问控制,表示使用用户配置的授权规则对用户请求进行匹配和控制(比较费劲,已淘汰)
  • Webbook:通过调用外部 REST 服务对用户进行授权
  • RBAC(Role-Based Access Control):基于角色的访问控制,现行默认规则

RBAC授权模式:
RBAC(Role-Based Access Control)基于角色的访问控制,在 Kubernetes 1.5 中引入,现行版本成为默认标准。相对其它访问控制方式,拥有以下优势:

  • 对集群中的资源和非资源均拥有完整的覆盖
  • 整个 RBAC 完全由几个 API 对象完成,同其它 API 对象一样,可以用 kubectl 或 API 进行操作
  • 可以在运行时进行调整,无需重启 API Server

RBAC 的 API 资源对象说明

RBAC 引入了 4 个新的顶级资源对象:Role、ClusterRole、RoleBinding、ClusterRoleBinding,4 种对象类型均可以通过 kubectl 与 API 操作:
在这里插入图片描述
需要注意的是 Kubenetes 并不会提供用户管理,那么 User、Group、ServiceAccount 指定的用户又是从哪里来的呢? Kubenetes 组件(kubectl、kube-proxy)或是其他自定义的用户在向 CA 申请证书时,需要提供一个证书请求文件:

{
	 "CN": "admin", 
	"hosts": [], 
	"key": {
		 "algo": "rsa", 
		 "size": 2048 
	},
	"names": [
		 { 
	 		"C": "CN", 
	 		"ST": "HangZhou", 
	 		"L": "XS", 
	 		"O": "system:masters",
	 		 "OU": "System"
		  }	
	]
}
  • API Server会把客户端证书的 CN 字段作为User,把 names.O 字段作为Group;
  • kubelet 使用 TLS Bootstaping 认证时,API Server 可以使用 Bootstrap Tokens 或者 Token authenticationfile 验证 =token,无论哪一种,Kubenetes 都会为 token 绑定一个默认的 User 和 Group;
  • Pod使用 ServiceAccount 认证时,service-account-token 中的 JWT 会保存 User 信息
  • 有了用户信息,再创建一对角色/角色绑定(集群角色/集群角色绑定)资源对象,就可以完成权限绑定了。

Role and ClusterRole
在 RBAC API 中,Role 表示一组规则权限,权限只会增加(累加权限),不存在一个资源一开始就有很多权限而通过RBAC 对其进行减少的操作;Role 可以定义在一个 namespace 中(定义的时候已经进行了名称空间的绑定),如果想要跨 namespace 则可以创建ClusterRole。
Role RoleBinding ClusterRoleBinding概念理解
如下图:
  假设readPod为一个Role(读取pod信息)----名称空间级别,把Role赋予给zhangsan user,此时需要指定一个名称空间,比如default,这个过程就是RoleBinding;如果还有一个角色user Lisi,就还需要创建一个命名空间test进行RoleBinding,这样,在不同的命名空间下创建同一个readPod动作,需要创建多个ReadPod Role,太过繁琐。此时可以创建一个ReadPod ClusterRole,能够读取集群下的所有命名空间下pod信息,然后进行RoleBinding,利用RoleBinding绑定对应用户,依然需要指定对应的命名空间,此时,利用一个ClusterRole即可绑定不同命名空间的用户。还可以利用ClusterRoleBinging绑定用户wangyang,使得该用户可以读取当前集群中的所有pod

在这里插入图片描述
创建role:

kind: Role 
apiVersion: rbac.authorization.k8s.io/v1beta1 
metadata: 
	namespace: default 
	name: pod-reader 
rules:
- apiGroups: [""] # "" indicates the core API group 
  resources: ["pods"] 	#操作对象
  verbs: ["get", "watch", "list"]	#操作动作

ClusterRole 具有与 Role 相同的权限角色控制能力,不同的是 ClusterRole 是集群级别的,ClusterRole 可以用于:

  • 集群级别的资源控制( 例如 node 访问权限 )
  • 非资源型 endpoints( 例如 /healthz 访问 )
  • 所有命名空间资源控制(例如 pods )
kind: ClusterRole 
apiVersion: rbac.authorization.k8s.io/v1beta1 
metadata: 
	#"namespace" omitted since ClusterRoles are not namespaced 
	name: secret-reader 
rules: 
- apiGroups: [""] 
	- resources: ["secrets"] 
	- verbs: ["get", "watch", "list"]

RoleBinding and ClusterRoleBinding
  RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组权限列表(subjects),权限列表中包含有不同形式的待授予权限资源类型(users, groups, or service accounts);RoloBinding 同样包含对被Bind 的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权.
  将 default 命名空间的 pod-reader Role 授予 jane 用户,此后 jane 用户在 default 命名空间中将具有 pod- reader 的权限:

kind: RoleBinding 
apiVersion: rbac.authorization.k8s.io/v1beta1 
metadata: 
	name: read-pods 
	namespace: default 
subjects: 
- kind: User 
	name: jane 
	apiGroup: rbac.authorization.k8s.io 
roleRef: 
	- kind: Role 
	- name: pod-reader 
	- apiGroup: rbac.authorization.k8s.io

  RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内用户、用户组或 ServiceAccount 进行授权,这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 中使用RoleBinding 来引用;例如,以下 RoleBinding 引用了一个 ClusterRole,这个 ClusterRole 具有整个集群内对 secrets 的访问权限;但是其授权用户 dave 只2能访问 development 空间中的 secrets(因为 RoleBinding 定义在 development 命名空间)

# This role binding allows "dave" to read secrets in the "development" namespace. 
kind: RoleBinding 
apiVersion: rbac.authorization.k8s.io/v1beta1 
metadata:
	name: read-secrets 
	namespace: development # This only grants permissions within the "development" namespace. subjects:
	kind: User 
	name: dave 
	apiGroup: rbac.authorization.k8s.io 
roleRef: 
	kind: ClusterRole 
	name: secret-reader 
	apiGroup: rbac.authorization.k8s.io

  使用 ClusterRoleBinding 可以对整个集群中的所有命名空间资源权限进行授权;以下 ClusterRoleBinding 样例展示了授权 manager 组内所有用户在全部命名空间中对 secrets 进行访问。

#This cluster role binding allows anyone in the "manager" group to read secrets in any namespace. 
kind: ClusterRoleBinding 
apiVersion: rbac.authorization.k8s.io/v1beta1 
metadata: 
	name: read-secrets-global 
subjects: 
- kind: Group 
	name: manager 
	apiGroup: rbac.authorization.k8s.io 
roleRef: 
	kind: ClusterRole 
	name: secret-reader 
	apiGroup: rbac.authorization.k8s.io

Resources
  Kubernetes 集群内一些资源一般以其名称字符串来表示,这些字符串一般会在 API 的 URL 地址中出现;同时某些资源也会包含子资源,例如 logs 资源就属于 pods 的子资源,API 中 URL 样例如下:

GET /api/v1/namespaces/{namespace}/pods/{name}/log

  如果要在 RBAC 授权模型中控制这些子资源的访问权限,可以通过 / 分隔符来实现,以下是一个定义 pods 资资源logs 访问权限的 Role 定义样例:

kind: Role 
apiVersion: rbac.authorization.k8s.io/v1beta1 
metadata: 
	namespace: default 
	name: pod-and-pod-logs-reader 
rules: 
- apiGroups: [""] 
	resources: ["pods/log"] 
	verbs: ["get", "list"]

to Subjects
 RoleBinding 和 ClusterRoleBinding 可以将 Role 绑定到 Subjects;Subjects 可以是 groups、users 或者service accounts。

  • Subjects 中 Users 使用字符串表示,它可以是一个普通的名字字符串,如 “alice”;也可以是 email 格式的邮箱地址,如 “wangyanglinux@163.com”;甚至是一组字符串形式的数字 ID 。但是 Users 的前缀 system: 是系统保留的,集群管理员应该确保普通用户不会使用这个前缀格式。
  • Groups 书写格式与 Users 相同,都为一个字符串,并且没有特定的格式要求;同样 system: 前缀为系统保留。

实践演练

创建一个devuser用户只能管理dev空间:
首先在k8s的master节点中新增一个devuser用户,此时该用户没有访问k8s集群的权限,
在这里插入图片描述

首先创建一个证书请求:

在k8s的安装路径中/usr/local/install-k8s/下新建一个cert/devuser文件夹,并新建devuser-csr.json文件:

{
        "CN": "devuser",
        "hosts": [ ],	#可使用的主机,为空时默认所有
        "key": {
                "algo": "rsa",
                "size": 2048
        },
        "names": [
                {
                        "C": "CN",
                        "ST": "BeiJing",
                        "L": "BeiJing",
                        "O": "k8s",
                        "OU": "System"
                }
        ]
}

下载证书生成工具,并复制到/usr/local/bin目录下,

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

执行chmod a+x *赋予执行权限。
在/etc/kubernetes/pki/下下列命令生成证书请求和私钥:
cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /user/local/install-k8s/cert/devuser/devuser-csr.json | cfssljson -bare devuser
会生成devuser.csr和devuser-key.pem
在这里插入图片描述

设置集群参数

export KUBE_APISERVER=“https://192.168.204.133:6443”
kubectl config set-cluster kubernetes
–certificate-authority=/etc/kubernetes/pki/ca.crt #ca证书
–embed-certs=true #指定是否要进行加密认证
–server=${KUBE_APISERVER} #指定服务器信息
–kubeconfig=devuser.kubeconfig #创建kubeconfig文件

执行之后会生成一个config文件在这里插入图片描述

设置客户端认证参数

kubectl config set-credentials devuser
–client-certificate=/etc/kubernetes/pli/devuser.pem
–client-key=/etc/kubernetes/pki/devuser-key.pem
–embed-certs=true
–kubeconfig=devuser.kubeconfig

设置上下文参数

首先需要创建一个dev namespace空间

kubectl config set-context kubernetes \
–cluster=kubernetes \
–user=devuser \
–namespace=dev \
–kubeconfig=devuser.kubeconfig

创建一个RoleBinding并讲cluterrole绑定到dev空间下devuser用户,

kubectl create rolebinding devuser-admin-binding --clusterrole=admin --user=devuser --namespace=dev
拷贝文件,并赋予权限
cp ./devuser.kubeconfig /home/devuser/.kube/
chown devuser:devuser /home/devuser/.kube/devuser.kubeconfig
进入devuser当前目录的./kube文件内执行mv devuser.kubeconfig config

设置默认上下文:
kubectl config use-context kubernetes --kubeconfig=config

准入控制

 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount
列举几个插件的功能:

  • NamespaceLifecycle: 防止在不存在的 namespace 上创建对象,防止删除系统预置 namespace,删除namespace 时,连带删除它的所有资源对象。
  • LimitRanger:确保请求的资源不会超过资源所在 Namespace 的 LimitRange 的限制。
  • ServiceAccount: 实现了自动化添加 ServiceAccount。
  • ResourceQuota:确保请求的资源不会超过资源的 ResourceQuota 限制。

参考:
尚硅谷视频

不知所措的小码农
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s-rdma-sriov-dev-plugin:Kubernetes Rdma SRIOV 设备插件
05-31
[已弃用] 此存储库不再维护 仍然欢迎您探索、学习和使用此处提供的代码。 或者,可以使用存储库 。 k8s-rdma-sriov-dev-plugin ( ) 这是一个简单的 rdma 设备插件,支持 IB 和 RoCE SRIOV vHCA 和 HCA。 这也支持 Mellanox NIC 的 DPDK 应用程序。 这个插件作为 daemonset 运行。 它的容器镜像可以在 rdma/k8s-rdma-sriov-dev-plugin 上找到。 如何使用 SRIOV 模式? 1.创建每个节点的sriov配置 编辑 example/sriov/rdma-sriov-node-config.yaml 以描述 sriov PF netdevice(s)。 在此示例中,它是eth0和eth1。 注意: (a) 不要添加任何 VF。 (b) 不要手动启用 SRIOV。 该插件为给定的
k8s-for-docker-desktop.zip
10-21
mac版docker-desktop启动k8s所需镜像资源
Kubernetes 系统化学习之 集群安全篇(七)
BASK2311的博客
12-09 477
Kubernetes 作为一个分布式集群管理的工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口,所以 K8s安全机制就是围绕保护 API Server 来设计的。K8s 使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证 API Service 的安全。认证和授权的过程中最重要的一个概念是用户。所以在正式讲解之前,我们需要了解清楚 k8s 里面的用户的怎样
k8s集群安全机制说明
zhaikaiyun的博客
02-28 1642
k8s作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务,apiserver是集群内部各个组件通信的中介,也是外部控制的入口,所以k8s安全机制基本就是围绕保护apiserver来设计的。k8s使用了认证Authentication、鉴权Authorization、准入控制admissionControl三步来保证apiserver的安全。 用户通过kubectl、客户端库或者通...
K8S初级入门系列之十一-安全
恰恰虎的博客
07-23 715
metadata:创建完成后,查看详情可以看到 mountable secret和tokens都关联了一个名为my-servicesaccount-token-cz8kp的secret,我们查看其secret的详情Data====其data包含ca.crt,namespace,token密钥三部分,其中ca.crt即颁发的CA证书,namespace即命名空间,token文件中存放的密钥。这三部分的用途我们待会讲到。
K8S安全机制
L2111533547的博客
08-07 1485
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
Kubernetesk8s安全机制
weixin_56270746的博客
08-11 1600
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
k8s篇之Pod 安全策略
不务正业随手记
03-04 1459
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。
K8S安全风险及防护建议
ZAWX_NETSTARSEC的博客
07-17 905
例如,攻击者可以创建一个特权容器,该容器可以访问宿主机上的资源,并在该容器内执行命令,从而使其获得更高的权限。事中,通过融合图计算、身份欺骗等技术,对K8S进行全方位的监测,及时发现针对K8S的漏洞利用、身份窃取等风险,在遭受攻击的第一时间及时发现攻击者,对攻击行为进行阻断。比如攻击者可通过容器中运行的SSH服务执行命令,如果攻击者通过暴力破解或者其他方法获得了容器的有效凭证,他们就可以通过SSH获得对容器的远程访问。但同时,K8S也因其高度复杂的架构和众多组件,成为了攻击者攻击的目标之一。
k8s安全学习
Python_0011的博客
03-22 821
如果我们在创建Pod时,将Node节点的根目录挂载到Pod的某个目录下,由于我们能在Pod内部执行命令,所以我们可以修改挂载到Pod下的Node节点根目录中文件的内容,如果我们写入恶意crontab、web shell、ssh公钥,便可以从Pod逃逸到宿主机Node,获取Node控制权。一个 Node(节点)可以有多个Pod(容器组),kubernetes master 会根据每个 Node(节点)上可用资源的情况,自动调度 Pod(容器组)到最佳的 Node(节点)上。
k8s-dns-sidecar-amd64
09-26
k8s-dns-sidecar-amd64-1.14.8镜像,镜像使用方法: docker load -i k8s-dns-sidecar-amd64-1.14.8.tar.gz
k8s-images-v1.20.4.tar.gz
12-29
k8s1.20.4需要用到的一些img
k8s学习之路-入门级
04-05
本人自学k8s的理解,和吸取业界大佬的思想体会,整理出k8s初学之路材料供参考
k8s环境prometheus operator监控集群外资源
mingqing的博客
04-30 1044
参考网站 k8s环境添加其他节点 参考文档 文档一 文档二 基于prometheus operator 引入外部exporter参考文档 rabbitmq 引入外部exporter参考文档 windows exporte 监控 K8s 集群外服务的两种方式 k8s环境prometheus operator添加node-exporter 方式一:通过 ServiceMonitor 方式 创建 Service 和 ServiceMonitor 文件名为 external-node.yaml /root/test
K8S面试题学习2
wyx的博客
05-06 501
参考做的个人总结,规划是每天看10题,thx!
k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法
最新发布
weixin_44670774的博客
05-06 305
我们使用k8s的网络插件是calico时,可以通过calico的扩展功能来完成 Nodeport 仅在指定节点暴露端口以及针对整个k8s集群内节点的防火墙设置。
11.1.k8s中pod的调度-nodeSelector节点选择器
qq_22321199的专栏
05-06 303
NodeSelector是Kubernetes调度器的一部分,它允许开发者根据节点的标签,精确地控制Pod在集群中的调度位置。通过在Pod的定义中设置NodeSelector,可以确保Pod只会被调度到具有特定标签的节点上。我们先创建一个普通的deploy资源,设置为10个副本,查看创建的pod;我们发现,其是随机创建在,k8s1和k8s2节点上的;那么我们有没有方法,让pod根据我们自己的想法,创建在我们想要的节点上呐?接下来,我们就学习,关于pod调度的节点选择器,nodeSelector。
k8s:精通 Pod 操作的关键命令
weixin_43784341的博客
04-29 956
这些命令可以帮助你在 Kubernetes 中管理和操作 Pod,使你能够轻松地创建、查看、删除和调试 Pod,并进行其他相关操作。
k8s笔记 | Ingress
weixin_41104307的博客
05-03 414
将 文件helm 放到 /usr/local/bin/这里需要配合之前创建的 deploy+service。k8s笔记 | Service 服务。
尚硅谷k8s学习笔记
09-09
抱歉,我无法提供尚硅谷k8s学习笔记的具体内容。然而,根据引用和引用,尚硅谷提供了关于k8s学习笔记视频。这些学习笔记包括了k8s的基本概念、架构和部署等内容。此外,引用中提到k8s是一个开源的、用于管理云平台...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值