Docker (4) docker安全与容器资源控制及安全优化

最新推荐文章于 2024-05-02 23:48:12 发布
最新推荐文章于 2024-05-02 23:48:12 发布
阅读量271 收藏
点赞数
分类专栏: docker 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43414025/article/details/108559684
版权

文章目录

Docker安全

docker 容器的安全很大程度上依赖 linux 本身,因为是共享宿主机内核。

docker 安全评估主要考虑以下几个方面:

  • linux 内核的命名空间(namespace)机制提供的容器隔离安全
  • linux 控制组(cgroup)对容器资源的控制能力安全
  • linux 内核的能力机制所带来的操作系统安全
  • docker 程序(主要是服务器端)本身的抗攻击能力
  • 其他安全增强机制的影响
命名空间隔离安全

docker run 启动一个容器时,后台会为容器创建一个独立的命名空间:
这是最基础的隔离,让容器作为一个独立的个体存在

[root@server1 ~]# docker run -it --name vm1 busyboxplus
/ # [root@server1 ~]# docker ps -a
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
92842335e0c1        busyboxplus         "/bin/sh"           10 seconds ago      Up 8 seconds                            vm1
[root@server1 ~]# docker inspect ^C
[root@server1 ~]# docker inspect vm1 | grep Pid
            "Pid": 5044,
            "PidMode": "",
            "PidsLimit": null,
[root@server1 ~]# ps ax | grep 5044
 5044 pts/0    Ss+    0:00 /bin/sh
 5211 pts/0    S+     0:00 grep --color=auto 5044
[root@server1 ~]# cd /proc/5044/ns/  ## 这是5044的命名空间namespace
[root@server1 ns]# ls
ipc  mnt  net  pid  user  uts

缺点: 在 linux 内核中,有些资源和对象不能被 namespace 化,如:时间,这样就 不能保证完全隔离了

控制组资源控制安全

docker run 启动一个容器时,后台会为容器创建一个独立的控制组策略集合

[root@server1 ~]# mount -t cgroup
cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/systemd/systemd-cgroups-agent,name=systemd)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,net_prio,net_cls)
cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)
cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)
cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
cgroup on /sys/fs/cgroup/pids type cgroup (rw,nosuid,nodev,noexec,relatime,pids)
cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb)
cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpuacct,cpu)
cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices)
[root@server1 ~]# cd /sys/fs/cgroup/
[root@server1 cgroup]# ls
blkio  cpu  cpuacct  cpu,cpuacct  cpuset  devices  freezer  hugetlb  memory  net_cls  net_cls,net_prio  net_prio  perf_event  pids  systemd   
[root@server1 cgroup]# cd cpu/docker/
[root@server1 docker]# ls
92842335e0c16565d469d3fd1b1441c2b6958cde8c44fd1f7e9274c21fb8b828  cgroup.event_control  cpuacct.stat   cpuacct.usage_percpu  cpu.cfs_quota_us  cpu.rt_runtime_us  cpu.stat           tasks
cgroup.clone_children                                             cgroup.procs          cpuacct.usage  cpu.cfs_period_us     cpu.rt_period_us  cpu.shares         notify_on_release
[root@server1 docker]# cd 92842335e0c16565d469d3fd1b1441c2b6958cde8c44fd1f7e9274c21fb8b828/
[root@server1 92842335e0c16565d469d3fd1b1441c2b6958cde8c44fd1f7e9274c21fb8b828]# ls
cgroup.clone_children  cgroup.procs  cpuacct.usage         cpu.cfs_period_us  cpu.rt_period_us   cpu.shares  notify_on_release
cgroup.event_control   cpuacct.stat  cpuacct.usage_percpu  cpu.cfs_quota_us   cpu.rt_runtime_us  cpu.stat    tasks

linux cgroup 保证了不会因为某个容器占用资源过多而影响到其他容器

内核能力机制

linux 内核的一个强大特性,可提供细粒度的权限访问控制
大部分情况下,容器并不需要真正的 root 权限,只要少数能力即可

[root@server1 ~]# docker attach vm1
/ # id
uid=0(root) gid=0(root) groups=10(wheel)
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
6: eth0@if7: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
/ # ip link set down eth0
ip: SIOCSIFFLAGS: Operation not permitted

即使是root 用户也不能关闭网卡

docker 服务端的防护

确保只有可信的用户才能访问到 docker 服务;将容器的 root 用户映射到本地主机的非 root 用户,减轻容器和主机之间因权限提升而引起的安全问题;允许docker 服务端在非 root 权限下运行,利用安全可靠的子进程来代理执行需要特权的操作(子进程只允许在特定范围内操作)

其他安全特性

使用有增强安全特性的容器模板;用户可以定义更加严格的访问控制机制等
(比如文件系统挂载到容器内部时,设置只读)

容器资源控制

操作系统层面控制
yum install libcgroup-tools.x86_64 -y ### 安装cgroup控制工具

启动一个dd进程 只消耗cpu

dd if=/dev/zero of=/dev/null &

在这里插入图片描述
在/sys/fs/cgroup/cpu新建目录a1

[root@server1 a1]# pwd
/sys/fs/cgroup/cpu/a1
[root@server1 a1]# echo 20000 > cpu.cfs_quota_us

让进程id和tasks关联 (3686为dd进程Pid)

[root@server1 a1]# echo 3686 > tasks

在这里插入图片描述

容器层面控制

限制容器使用内存:
docker run --help

-m,   --memory bytes                   Memory limit
      --memory-reservation bytes       Memory soft limit
      --memory-swap bytes              Swap limit equal to memory plus swap: '-1' to enable unlimited swap
      --memory-swappiness int          Tune container memory swappiness (0 to 100) (default -1)

[root@server1 ~]# docker run -it --name test --memory 50M --memory-swap 50M busybox
/ # cd /dev/shm/
/dev/shm # touch bigfile
/dev/shm # free -m
              total        used        free      shared  buff/cache   available
Mem:            990         195         428           0         367         654
Swap:          2047           0        2047
/dev/shm # dd if=/dev/zero of=bigfile bs=1M count=50
Killed
/dev/shm # dd if=/dev/zero of=bigfile bs=1M count=40
40+0 records in
40+0 records out
41943040 bytes (40.0MB) copied, 0.100185 seconds, 399.3MB/s

当超出设定容器限额内存时 直接被kill
启动一个内存限制为50M的nginx

docker run -d --name web --memory 50M --memory-swap 50M nginx

在这里插入图片描述
在这里插入图片描述
实际上docker run 加的参数 也是利用cgroup实现的 在运行一个容器后 会在cgroup生产对应的限制目录 并将tasks和Pid相关联
docker run 启动一个容器时,后台会为容器创建一个独立的控制组策略集合

docker安全加固

在对容器做内存限制时 虽然实际上只能使用50M 但是看到的总内存和容器外一样,没有做到完全的隔离,需要进行安全加固。

[root@server1 ~]# docker run -it --rm --memory 50M --memory-swap 50M busybox 
/ # free -m
              total        used        free      shared  buff/cache   available
Mem:            990         195         507           0         288         654
Swap:          2047           0        2047
/ #
lxcfs
  • 安装
yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm

启动lxcfs

[root@server1 ~]# lxcfs /var/lib/lxcfs/ &
[1] 4349
[root@server1 ~]# hierarchies:
  0: fd:   5: cpuset
  1: fd:   6: memory
  2: fd:   7: blkio
  3: fd:   8: pids
  4: fd:   9: devices
  5: fd:  10: net_prio,net_cls
  6: fd:  11: freezer
  7: fd:  12: perf_event
  8: fd:  13: hugetlb
  9: fd:  14: cpuacct,cpu
 10: fd:  15: name=systemd

[root@server1 ~]# cd /var/lib/lxcfs/
[root@server1 lxcfs]# ls
cgroup  proc
[root@server1 lxcfs]# cd proc/
[root@server1 proc]# ls
cpuinfo  diskstats  meminfo  stat  swaps  uptime

不再使用宿主机的proc而是用/var/lib/lxcfs/proc代替

[root@server1 ~]# docker run -it --rm --memory 200M \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> ubuntu
root@24f409e6a98b:/# free -m
              total        used        free      shared  buff/cache   available
Mem:            200           8         191           6           0         191
Swap:           200           0         200
设置特权级运行的容器
 --privileged=true 

[root@server1 ~]# docker run -it --rm busyboxplus 
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
10: eth0@if11: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
/ # ip addr add 172.17.0.3/16 dev eth0
ip: RTNETLINK answers: Operation not permitted
/ # [root@server1 ~]# 
[root@server1 ~]# docker run -it --rm --privileged=true busyboxplus 
/ # ip addr add 172.17.0.3/16 dev eth0
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
12: eth0@if13: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.17.0.3/16 scope global secondary eth0
       valid_lft forever preferred_lft forever

默认情况下这个权限比较大,基本上接近宿主机的权限,为了防止用户的权限滥用, 需要增加机制,只提供给容器必要的权限,相当于做 sudo的用户权力下放

容器白名单
http://man7.org/linux/man-pages/man7/capabilities.7.html

在这里插入图片描述

[root@server1 ~]# docker run -it --rm --cap-add 
ALL              DAC_READ_SEARCH  LEASE            MAC_OVERRIDE     SYS_ADMIN        SYS_MODULE       SYS_PTRACE       SYS_TIME         
AUDIT_CONTROL    IPC_LOCK         LINUX_IMMUTABLE  NET_ADMIN        SYS_BOOT         SYS_NICE         SYS_RAWIO        SYS_TTY_CONFIG   
BLOCK_SUSPEND    IPC_OWNER        MAC_ADMIN        NET_BROADCAST    SYSLOG           SYS_PACCT        SYS_RESOURCE     WAKE_ALARM 

[root@server1 ~]# docker run -it --rm --cap-add=NET_ADMIN  busyboxplus 
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
14: eth0@if15: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
/ # ip addr add 172.17.0.4/16 dev eth0
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
14: eth0@if15: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.17.0.4/16 scope global secondary eth0
       valid_lft forever preferred_lft forever
Docker安全加固思路
镜像安全
  • 使用安全的基础镜像(比如看不到构建历史的不用)
  • 删除镜像中的 setuid 和 setgid 权限(suid、sgid)
  • 启用 docker 内容信任(证书认证);最小安装原则
  • 对镜像进行安全漏洞扫描,镜像安全扫描 器(Clair)
  • 容器使用非 root 运行
容器安全
  • 对 docker 宿主机进行安全加固
  • 限制容器之间的网络流量(某个容器流量升高,会对其他容器或主机有影响)
  • 配置 docker 守护程序的 TLS 身份验证
  • 启用用户命名空间支持(userns-remap )
  • 限制容器内存使用量;
  • 适当设置容器 CPU 优先级
w1n0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker如何限制容器可用的内存
09-30
Docker中,限制容器可用的内存是管理资源的关键步骤,以确保系统的稳定性和高效运行。容器技术使得应用程序能够在轻量级的隔离环境中运行,但这也意味着如果不加以约束,单个容器可能会消耗大量主机资源,可能导致...
30个4GB内存Rackspace云服务器45分钟内可运行1万个Docker容器
02-26
当然,对于像PROD这种生产环境(正式环境),你可能还是倾向于分配足够的CPU和内存来满足工作所需--但是在DEV/TEST环境中,通常这些环境大多数需要计算机资源的消耗,因此优化服务器的利用率可以有效地进行成本节约
企业运维容器docker 安全
weixin_54720351的博客
05-31 464
企业运维容器docker 安全 1. Docker 安全2. 容器资源控制 1. Docker 安全 Docker 容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux 内核的命名空间机制提供的容器隔离安全Linux 控制组机制对容器资源控制能力安全Linux 内核的能力机制所带来的操作权限安全Docker程序(特别是服务端)本身的抗攻击性; 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全docker run
「快学DockerDocker容器安全性探析
热门推荐
wml_JavaKill的博客
08-25 3万+
Docker容器安全性是容器化部署中至关重要的一环。通过遵循最佳实践,定期更新镜像,实施隔离和监控,以及限制权限和加强网络安全性,可以有效降低容器部署所带来的安全风险。然而,安全性是一个持续的过程,需要不断关注和改进,以保障整个系统的稳定性和可靠性。
2024年最全Docker安全
2401_84301227的博客
05-02 39
cpu_period 和 cpu_quota 这两个参数需要组合使用,用来限制进程在长度为 cpu_period 的一段时间内,只能被分配到总量为 cpu_quota 的 CPU 时间,以下设置表示20%的cpu时间。有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。退出刚才第二次启用的交互,下面我们可以加一个限制cpu的参数,重新进去,再次查看top中cpu占用情况。是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。
docker安全:理解docker安全容器资源控制docker安全加固
weixin_43384009的博客
04-16 306
这里写自定义目录标题一、理解docker安全二、容器资源控制cpu控制内存控制io控制三、docker安全加固 一、理解docker安全 Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源控制能力安全Linux内核的能力机制所带来的操作权限安全 ...
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1318
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
Docker(八)---Docker安全相关设定
Gong_yz的博客
03-06 1226
本节总结:理解docker安全;cgroup如何进行容器资源控制设置;通过lxcfs,做docker安全加固;以白名单的形式,实现容器相关特权;
Docker 限制容器可用的CPU的方式
09-30
Docker提供了多种方式来控制容器对CPU的使用,确保资源分配的合理性和系统的稳定性。 首先,Docker从1.13版本开始引入了`--cpus`选项,这使得限制容器可使用的CPU个数变得非常直观。通过`--cpus`参数,你可以直接...
docker配置使用的概要介绍与分析
最新发布
06-17
Docker作为当下最流行的容器化技术平台,极大地简化了应用的部署、管理和扩展过程。无论是开发环境的标准化,还是持续集成/持续部署(CI/CD)流程的优化Docker都展现出其独特的优势。以下是关于Docker配置与使用的...
Django5+Vue3+Docker打造企业OA系统教程2024
05-31
Docker是一个开源的应用容器引擎,可以将应用程序及其依赖打包为一个可移植的容器,然后发布到任何支持Docker的环境中。Docker的优势在于它提供了一种轻量级、可移植、自包含的部署方式,使得应用程序的部署和运行...
Docker安全以及https协议
Ybaocheng的博客
01-31 1405
尽量不用 --privileged 运行容器(授权容器root用户拥有宿主机的root权限)尽量不用 --network host 运行容器(使用host网络模式共享宿主机的网络命名空间)尽量不在容器中运行 ssh 服务尽量不把宿主机系统的关键敏感目录挂载到容器中。
docker安全
qq_52825616的博客
07-05 1297
目录 一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、docker自身的漏洞2、docker源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器最小化1、Docker remote api 访问控制2、限制流量流向3、镜像安全4、关于密钥、签名及数据的完整性虚拟机
Docker安全
qq_53058639的博客
02-19 995
文件描述符是一个重要的系统资源,理论上系统内存多大就应该可以打开多少个文件描述符,但是实际情况是,内核会有系统级限制,以及用户级限制,不让某一个应用程序进程消耗掉所有的文件资源,可以使用ulimit。Docker本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起攻击。通过在服务端上创建tls密钥证书,再下发给客户端,客户端通过私钥访问容器,这样就保证的docker通讯的安全性。
Docker 生产环境之安全性 - 概述
kikajack的博客
03-17 2830
原文地址 在审查 Docker 安全性时,需要考虑四个主要方面: 内核固有的安全性及其支持的 namespace 及 cgroup Docker 守护进程本身的攻击面(attack surface) 容器默认的或用户自定义的配置中的漏洞 内核的“强化”安全功能以及它们如何与容器交互 1. 内核命名空间 namespace Docker 容器跟 LXC 容器类似,并且它们具有相似的安全特...
Docker容器------安装+镜像加速
qq_57377057的博客
10-12 1508
本质就是宿主机的一个进程,docker是通过namespace(命名空间)实现资源隔离,通过cgroup实现资源限制,通过写时复制技术(copy-on-write)实现了高效的文件操作(类似虚拟机的磁盘比如分配500g并不是实际占用物理磁盘500g)。
Docker容器安装及优化
z20021111的博客
10-14 428
Docker是一个开源的应用容器引擎,基于go语言开发并遵循了apache2.0协议开源Docker是在Linux容器里运行应用的开源工具,是一种轻量级的"虚拟机"Docker容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器Docker的Logo设计为蓝色鲸鱼,拖着许多集装箱。鲸鱼可看作为宿主机,集装箱可理解为相互隔离的容器,每个集装箱中都包含自己的应用程序(沙箱)。
docker中无法使用sudo命令,提示没有root权限或者文件系统挂载没有nosuid选项
xinwenfei的专栏
04-14 2538
docker中无法使用sudo命令,提示没有root权限或者文件系统挂载没有nosuid选项
关于UNIX和Linux系统下SUID、SGID的解析
ckomuo086028的博客
05-15 1166
如果你对SUID、SGID仍有迷惑可以好好参考一下! Copyright by kevintz. [@more@]由于用户在UNIX下经常会遇到SUID、SGID的概念,而且SUID和SGID涉及到系统安全,所以用户也比较关...
Docker容器安全性解决方案.pdf
11-27
为了应对这些挑战,文章提出了Docker容器安全机制和解决方案,包括强化容器镜像的安全管理、优化容器虚拟化安全实践以及实施有效的容器网络安全策略。最后,作者总结了容器安全的重要性,指出在享受容器技术带来的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值