2025,每天10分钟,跟我学K8S(三十七)- RBAC

最新推荐文章于 2025-05-02 18:51:47 发布
最新推荐文章于 2025-05-02 18:51:47 发布
阅读量1.1k 收藏 29
点赞数 45
分类专栏: K8S教程 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/x3858116/article/details/146946107
版权

        我们在前面的章节,讲解了许多K8S中的对象,例如Pods、ConfigMaps、Deployments、Nodes、Secrets、Namespaces等,那如何对他们进行权限管理呢?

        假设我们有一个名为 zhangsan 的用户,想相对这些资源拥有权限,首先想到的就是针对每个资源针对用户进行赋权,例如create、get、delete、list、update、edit、watch、exec各种权限,那这时候又来了一个 lisi 的用户,需要想同的权限,那上述操作是不是需要再重复一次。有没有更简单的方法?当然有,首先创建一个用户 zhangsan(User), 然后创建一个角色(Role),最后将它们2个绑定到一次(RoleBinding)。这样后面想创建 lisi 的角色,也只需要创建完用户后,继续绑定到这个角色上即可。

一、RBAC 核心概念与架构

        RBAC 是 Kubernetes 中实现细粒度权限管理的核心机制,通过 ​角色(Role/ClusterRole)​ 和 ​绑定(RoleBinding/ClusterRoleBinding)​ 控制用户、服务账户等主体对集群资源的访问权限,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数--authorization-mode=RBAC,如果使用的kubeadm安装的集群,目前版本都默认开启了RBAC,可以通过查看 Master 节点上 kube-apiserver.yaml查看是否启用:

cat /etc/kubernetes/manifests/kube-apiserver.yaml

资源列表:

  • Pods
  • ConfigMaps
  • Deployments
  • Nodes
  • Secrets
  • Namespaces

操作权限:

  • create
  • get
  • delete
  • list
  • update
  • edit
  • watch
  • exec

角色讲解:

1.角色(Role)​

  • 作用范围:限定在单个命名空间内,定义对特定资源的操作权限(如 Pod 的增删改查)。
  • 示例配置
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # 核心 API 组(如 Pod、Node 等)
  resources: ["pods"] 
  verbs: ["get", "list", "watch"]  # 允许的操作类型

    ​2.角色绑定(RoleBinding)​


    将 ​Role 或 ​ClusterRole 绑定到主体(如用户、服务账户),限定在特定命名空间内生效。

    • 示例:将 pod-reader 角色绑定至服务账户 cicd-sa
    apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: cicd-pod-access
  namespace: default
subjects:
- kind: ServiceAccount
  name: cicd-sa
roleRef:
  kind: Role
  name: pod-reader

    3.集群角色(ClusterRole)​

    1. 作用范围:全局生效,适用于跨命名空间或集群级资源(如节点、存储卷)。
    2. 典型场景:授予跨命名空间的 Deployment 只读权限。
    3. 示例配置
    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-pod-reader
rules:
- apiGroups: [""]  # 核心 API 组(如 Pod、Node 等)
  resources: ["pods", "nodes"]
  verbs: ["get", "list", "watch"]  # 允许的操作类型

    4.​集群角色绑定(ClusterRoleBinding)​

    赋予主体集群级权限(如管理所有命名空间的 Secrets)。

    示例:将 cluster-pod-reader 角色绑定至服务账户 dev-team

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cluster-pod-reader-binding
subjects:
- kind: Group
  name: dev-team  # 用户组名称(需与认证系统集成)
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-pod-reader  # 引用的 ClusterRole 名称
  apiGroup: rbac.authorization.k8s.io

            通过上面的觉得讲解可以看出来,有两种类型的角色和绑定,一种是Role&RoleBinding,一种是c&ClsterRoleBinding,这两者有什么区别?

            其实从字面就可以看出来,前者是角色,后者是集群角色,那后者权限一定是大于前者的。我们将在后面进行讲解。

    二、RBAC 应用场景与最佳实践

    1.普通用户dev-team,赋予指定权限

    场景:企业中存在开发、测试和运维团队,需确保各团队仅能访问其所属命名空间内的资源。这里创建一个dev-team的用户,规定只能访问名为dev的namespace下的pods和services,并且权限只有"get", "list", "create", "delete"
    实现方案

    1.创建普通用户:dev-team

    •  生成用户私钥与证书签名请求(CSR)
    # 生成私钥(2048位RSA密钥)
openssl genrsa -out dev-team.key 2048

# 创建证书签名请求(CN为用户标识,O为用户组)
openssl req -new -key dev-team.key -out dev-team.csr -subj "/CN=dev-team/O=dev-group"
    • 使用集群 CA 签发用户证书
    # 使用 Kubernetes 集群 CA 签发证书(有效期 365 天)
openssl x509 -req -in dev-team.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out dev-team.crt -days 365
    • 生成 kubeconfig 文件
    # 设置集群信息
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=https://<API-Server-IP>:6443 \
  --kubeconfig=dev-team.kubeconfig

# 添加用户凭证
kubectl config set-credentials dev-team \
  --client-certificate=dev-team.crt \
  --client-key=dev-team.key \
  --embed-certs=true \
  --kubeconfig=dev-team.kubeconfig

# 创建上下文并设为默认
kubectl config set-context dev-team-context \
  --cluster=kubernetes \
  --user=dev-team \
  --kubeconfig=dev-team.kubeconfig
kubectl config use-context dev-team-context --kubeconfig=dev-team.kubeconfig

    2.创建Role:dev-team-role

    apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: dev
  name: dev-team-role
rules:
- apiGroups: [""]
  resources: ["pods", "services"]  # 允许访问 Pod 和 Service
  verbs: ["get", "list", "watch"]  # 仅授予只读权限

    3.创建RoleBinging:dev-team-binding

    apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: dev-team-binding
  namespace: dev
subjects:
- kind: User
  name: dev-team      # 绑定对应的用户名
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: dev-team-role   #绑定对应的role名称
  apiGroup: rbac.authorization.k8s.io

    4. 应用配置

    kubectl apply -f dev-team-role.yaml
kubectl apply -f dev-team-binding.yaml

    5.权限验证

    1. 验证权限范围
    # 检查 dev 命名空间 Pod/Service 访问权限
kubectl auth can-i get pods --namespace=dev --kubeconfig=dev-team.kubeconfig    # 预期返回 yes
kubectl auth can-i create pods --namespace=dev --kubeconfig=dev-team.kubeconfig # 预期返回 no

# 检查其他命名空间权限
kubectl auth can-i get pods --namespace=prod --kubeconfig=dev-team.kubeconfig  # 预期返回 no
    2. 实际操作测试
    # 查看 dev 命名空间的 Pod 和 Service(成功)
kubectl get pods,svc -n dev --kubeconfig=dev-team.kubeconfig

# 尝试删除 Pod(失败)
kubectl delete pod  -n dev nginx-6b9f9cd485-456jb --kubeconfig=dev-team.kubeconfig
Error from server (Forbidden): pods "nginx-6b9f9cd485-456jb" is forbidden: User "dev-team" cannot delete resource "pods" in API group "" in the namespace "dev"

    2.超级账号Boss用户,赋予最大权限

    场景:老板看大伙办事不力,准备亲自下场,现在要求给他创建一个最大权限的的账号。

    1. ​生成用户Boss

    # 生成私钥(RSA 2048位)
openssl genrsa -out boss.key 2048

# 创建证书签名请求(CN 必须与用户名一致)
openssl req -new -key boss.key -out boss.csr -subj "/CN=boss/O=admin-group"

# 使用集群 CA 签发证书(有效期 365 天)
openssl x509 -req -in boss.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out boss.crt -days 365

# 生成 kubeconfig 文件
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=https://172.21.176.3:6443 \
  --kubeconfig=boss.kubeconfig

kubectl config set-credentials boss \
  --client-certificate=boss.crt \
  --client-key=boss.key \
  --embed-certs=true \
  --kubeconfig=boss.kubeconfig

kubectl config set-context boss-context \
  --cluster=kubernetes \
  --user=boss \
  --kubeconfig=boss.kubeconfig
kubectl config use-context boss-context --kubeconfig=boss.kubeconfig

    2、创建ClusterRole和ClusterRoleClusterRoleBinging

    这里可以有两种方式来操作,两种方式任选一种即可

    1.创建一个新的new-cluster-admin集群角色,并且手动赋予最大权限

    2.选择Kubernetes 默认提供 cluster-admin 集群角色,拥有对所有资源的完全控制权。

    2.1 手动创建:

    1、创建一个名为new-cluster-admin的最大权限

    # cat new-cluster-admin.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: new-cluster-admin
rules:
- apiGroups: ["*"]            # 覆盖所有 API 组(包括核心组、apps、networking 等)
  resources: ["*"]            # 所有资源类型(如 pods、nodes、secrets、services 等)
  verbs: ["*"]                # 允许所有操作(get、list、create、delete、patch 等)
- nonResourceURLs: ["*"]      # 非资源端点(如 /healthz、/metrics、/api 等)
  verbs: ["*"]                # 允许访问所有非资源 URL

    2、绑定new-cluster-admin

    # cluster-admin-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: boss-cluster-admin
subjects:
- kind: User
  name: boss
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: new-cluster-admin  # 预置超级管理员角色
  apiGroup: rbac.authorization.k8s.io

    3、绑定

    # kubectl apply -f new-cluster-admin.yaml
clusterrole.rbac.authorization.k8s.io/new-cluster-admin unchanged
# kubectl apply -f  new-cluster-admin-binding.yaml
clusterrolebinding.rbac.authorization.k8s.io/boss-cluster-admin created
    2.2 绑定内置ClusterRole,通过 ​ClusterRoleBinding 直接关联用户:

    1、直接绑定 cluster-admin-binding

    # cluster-admin-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: boss-cluster-admin
subjects:
- kind: User
  name: boss
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin  # 预置超级管理员角色
  apiGroup: rbac.authorization.k8s.io

    2、绑定cluster-admin-binding

    kubectl apply -f cluster-admin-binding.yaml

    3、权限验证

    3.1. ​基础权限检查
    # 验证集群级权限
kubectl auth can-i '*' '*' --kubeconfig=boss.kubeconfig  # 预期返回 yes

# 验证跨命名空间操作
kubectl auth can-i delete pods -n kube-system --kubeconfig=boss.kubeconfig  # 预期返回 yes
    3.2. ​实际操作测试
    # 创建/删除集群级资源(如 Node 查看)
kubectl get nodes --kubeconfig=boss.kubeconfig

# 操作敏感资源(如 Secrets)
kubectl get secrets -n kube-system --kubeconfig=boss.kubeconfig
kubectl delete pod <pod-name> -n kube-system --kubeconfig=boss.kubeconfig

    3.两者的区别:

    Role:

    作用范围:Role 的作用范围限定在特定的命名空间内,例如 dev 或 prod,仅能控制该命名空间内的资源(如 Pod、Service)的访问权限

    可授权的资源类型:授权同一命名空间内的资源操作,例如在 dev 命名空间中管理 Pod 的增删改查

    绑定方式与权限复用: RoleBinding 引用 ClusterRole:如网页所述,ClusterRole 可以通过 RoleBinding 绑定到特定命名空间,此时其权限仅在该命名空间生效(例如将集群级角色限制在 prod 命名空间使用)

    典型应用场景:授权 dev 命名空间的 ServiceAccount 管理 Deployment(仅限该命名空间)

    ClusterRole:

    作用范围:ClusterRole 的权限覆盖整个集群,包括所有命名空间、集群级资源(如 Node、PersistentVolume)和非资源端点(如 /healthz

    可授权的资源类型:可授权集群级资源(如 Node、ClusterRole)和跨命名空间资源(如所有 Secrets),同时支持对非 RESTful API 端点的访问

    绑定方式与权限复用: 直接赋予全局权限,例如授权用户查看所有命名空间的 Pod(kubectl get pods --all-namespaces

    典型应用场景:予全局 Secret 读取权限,或跨命名空间 Pod 监控权限

    总结:

    • Role:适用于单一命名空间内的细粒度权限控制,例如开发团队的资源隔离。
    • ClusterRole:用于全局或跨命名空间的权限需求,如集群管理员、监控工具或跨团队资源共享。
    • 选择原则:优先使用 Role 满足最小权限原则,仅在需要跨命名空间或集群级操作时使用 ClusterRole

    二、RBAC 工作原理与授权流程

    1. 权限校验流程

      • 请求接收:用户或服务账户通过 kubectl 或 API 发起操作请求。
      • 鉴权匹配:API Server 根据 RBAC 规则验证主体是否具备执行操作的权限。
      • 权限决策:若权限匹配则放行,否则拒绝并记录审计日志。

    2. 规则定义逻辑

      • 资源与操作:通过 apiGroupsresourcesverbs 字段精确控制可访问的 API 资源及操作类型。
      • 例外控制:通过 resourceNames 限制对特定资源实例的操作(如禁止删除 critical-config ConfigMap)。

    三、RBAC 应用场景与最佳实践

    1. 典型应用场景

      • CI/CD 流水线权限:授予服务账户管理 Pod 的 get/list/watch 权限,支持自动化部署。
      • 多团队协作:通过命名空间隔离不同团队的资源访问权限。
      • 安全合规:限制运维人员仅能查看日志,禁止修改生产环境资源。

    2. 最佳实践

      • 最小权限原则:避免使用 verbs: ["*"],明确列出所需操作。
      • 使用内置角色:优先选择 view(只读)、edit(编辑)等预定义角色。
      • 定期审计:通过 kubectl auth can-i 检查权限有效性。
      • 服务账户管理:为每个微服务创建独立服务账户,避免共享默认 default 账户。
    跟我学K8S】45天入门到熟练详细学习计划
    Coder加油站的专栏
    07-06 4572
    本专栏假定你是一个对计算机运维技术有一定的了解的初级运维开发人员,我将花45天时间带大家完成从K8S入门到熟练使用。我们需要将K8S的学习内容分解到每天的学习任务中,这个计划假设你每天能够投入大约3-4小时进行学习和实践。请根据个人情况灵活调整
    2025每天10分钟跟我学K8S(四十一)- Dashboard
    devopser6的专栏
    04-09 866
    Kubernetes Dashboard 是 Kubernetes 官方提供的可视化 Web 界面,用于简化集群资源管理和监控操作。简单来说,就是我们之前的所有操作,都是通过 kubectl 命令来完成的,为了简便操作,官方提供了一个web控制台,很多操作可以通过控制台来完成。例如通过 Dashboard 部署容器化的应用、监控应用的状态、执行故障排查任务以及管理 Kubernetes 各种资源。
    2025每天10分钟跟我学K8S(三十四)- 对象属性 - Volume - Longhorn
    devopser6的专栏
    03-31 619
    在安装了longhorn之后,我们就不需要关心底层实现是什么和实现的过程,只需要创建pvc+pod开箱即用,大大方便我们再k8s中使用存储。1.​抽象层级PV 是具体的存储资源实体,属于静态资源;StorageClass 是动态资源模板;Longhorn 是底层存储系统的实现。三者关系:StorageClass 动态生成 PV → PVC 绑定 PV → Longhorn 提供底层存储支持。2.运维复杂度PV 需手动维护,适合固定规模场景;StorageClass 通过自动化降低运维成本;
    2025每天10分钟跟我学K8S(二十一)- 对象属性 - namespace
    devopser6的专栏
    03-25 635
    在 ‌Kubernetes‌ 中,‌Namespace(命名空间)‌ 是一种将集群资源划分为多个逻辑组的机制。它主要用于在同一个 Kubernetes 集群中隔离不同项目、团队或环境(如开发、测试、生产)的资源,避免命名冲突,并简化权限和资源的管理。通过Namespace,可以将集群中的资源(如Pod、Service、Volume等)进行逻辑上的隔离,避免命名冲突和资源干扰。
    2025每天10分钟跟我学K8S(四十七)- Prometheus(四)自动发现
    devopser6的专栏
    04-15 1005
    不管是自动发现pod还是service,大概步骤分为以下几步1.在prometheus-additional.yaml针对不同对象新增的job_name2.将additional-configs的secret删除并重新生成# 删除secret# 重新生成secret3. 编辑prometheus-prometheus.yaml,将刚才生成的secret挂载进去,并重新apply (只用一次)4. 出现权限报错,重新创建rbac,赋予权限 (只用一次)
    2025每天10分钟跟我学K8S(四十九)- 日志收集
    devopser6的专栏
    04-22 642
    在日常k8s的使用中,由于应用都是运行在pod中的,所以日志文件也一般都会存储在pod中,那如何收集这一块的日志内容?K8S官方给了以下三种方案。三种收集方案的优缺点:三种方案各有自己的优缺点,但是综合比较下来,一般都是建议使用第二种方案,也是官方推荐的一种。在同一个pod中运行2个容器,第一个容器运行业务程序,第二个容器运行日志收集程序,两个容器共享一个日志目录,当第一个业务程序将日志写入到日志目录后,日志收集程序将共享目录中的日志源文件进行收集并上传。
    2025每天10分钟跟我学K8S(三十三)- 对象属性 - Volume - StorageClass
    devopser6的专栏
    03-28 821
    上一章节学习了K8S中PV/PVC,这种创建卷的方式给我们带来了不少好处,例如持久化,共享卷等,但是最大的问题就是它是静态的。什么意思?就是我们每次想使用一个卷的时候,先要创建pv,然后声明pvc,最后才能在pod里面去使用这个卷。少的情况下还好,万一生产环境里面有成1000个pod都需要用到卷存储,那岂不是要先创建1000个PV?删除pod后不是还要删除1000次PV?能不能省略掉创建和删除的步骤?这种情况下我们就需要用到动态 PV,也就是我们今天要讲解的 StorageClass。
    k8s基础(14)RBAC角色权限控制
    qq_23435961的博客
    09-21 1216
    k8s基础()RBAC角色权限控制 RBAC是基于角色的访问控制 (Role-Based Access Control)RBAC中,权限与角色相关联。Kubernetes 基于角色的访问控制使用rbac.authorization.k8s.io API组来实现权限控制,RBAC允许管理员通过Kubernetes API动态的配置权限策略。如果需要开启RBAC授权需要在apiserver组件中指定--authorization-mode=Node,RBACKubernetes中所有的API对象都保存
    2025每天10分钟跟我学K8S(四十四)- Prometheus(二)安装Kube-Prometheus
    devopser6的专栏
    04-11 819
    在上一章内容,我们了解了Prometheus 的基础知识点,这一章开始,开始正式学习Prometheus 的安装搭建。考虑到并不是所有环境都有安装helm,所以安装的版本就选择kube-prometheus。Kube-Prometheus 是基于 Operator 的标准化监控堆栈,适合快速部署。
    跟我学 K8S--运维: helm 安装 ceph 到 kubernetes 集群
    weixin_34348111的博客
    07-29 225
    参考 ceph 官方文档进行操作: http://docs.ceph.com/docs/mas... 本文假设kubernetes 环境正常运行,并且 host 已经安装 helm client。 通过 helm 来部署 ceph 用到了社区的 ceph-helm 项目( https://github.com/ceph/ceph-... ...
    一步步学习k8s()
    中國颜值半壁江山的博客
    03-15 704
    1、目前使用docker的情况 使用docker的缺点: 使用Docker容器化封装应用程序的缺点(坏处) 单机使用,无法有效集群 随着容器数量的上升,管理成本攀升 没有有效的容灾/自愈机制 没有预设编排模板,无法实现快速、大规模容器调度 没有统一的配置管理中心工具 没有容器生命周期的管理工具 没有图形化运维管理工具 使用Docker容器化封装应用程序的意义(好处) Docker引擎统一了基础设施环境-docker环境 硬件的配置 操作系统的版本 运行时环境的异构 Docker引擎统一了程序打包
    【实战加详解】二进制部署k8s高可用集群系列教程八 - 部署 kube-controller
    JohnYang's 优快云 Home
    10-12 654
    实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
    ()超详细纯手工搭建kubernetes(k8s)集群 - 认证授权和服务发现
    devopser的博客
    04-15 2942
    1. 理解认证授权1.1 为什么要认证想理解认证,我们得从认证解决什么问题、防止什么问题的发生入手。防止什么问题呢?是防止有人入侵你的集群,root你的机器后让我们集群依然安全吗?不是吧,root都到手了,那就为所欲为,防不胜防了。其实网络安全本身就是为了解决在某些假设成立的条件下如何防范的问题。比如一个非常重要的假设就是两个节点或者ip之间的通讯网络是不可信任的,可能会被第三方窃取,也可能会被第...
    k8s快速部署,附带脚本
    haodayizhizhuzhu的博客
    02-17 2603
    将yml文件放在文章中是不想遇到下载不下来的情况,可跳过yml文件内容,文章本身内容不多。本章内容可供学习及简单了解k8s集群部署及使用。参考文档里有些地方是有坑的。使用本章整理内容可完整部署出两个版本。[k8s1.18.8集群][metrics server][kuboard] [k8s1.26.1集群][metrics server][kuboard v3]
    K8S - 命名空间实战 - 从资源隔离到多环境管理
    weixin_46619605的博客
    04-30 1070
    K8S - 命名空间实战 - 从资源隔离到多环境管理
    K8S - HPA + 探针实战 - 实现弹性扩缩与自愈
    weixin_46619605的博客
    04-30 781
    K8S - HPA + 探针实战 - 实现弹性扩缩与自愈
    从此,K8S入门0门槛!
    最新发布
    skyhhjmk的博客
    05-02 871
    当你想要入门K8S的时候,往往会被各种概念搞的晕乎乎的,什么API Server,Scheduler,Controller manager,Etcd,Pod,Kubelet,kube-proxy,deployment……哪怕你使用了各种图形化面板,例如我之前使用的kuboard,还有目前使用的KubeSphere,都没法真正的做到屏蔽底层概念,让用户把重心放在应用上,这时候你可能会把Sealos搬出来,可是你看它的价格计算器啊这个价格够我买个4C8G的服务器了,我还不如去用服务器。
    Kubernetesk8s)的API Server 组件原理与结合生产实战教程
    qq_43394776的博客
    05-01 692
    k8s的API Server 组件介绍与实战教程
    K8S - 从单机到集群 - 核心对象与实战解析
    weixin_46619605的博客
    04-30 854
    K8S - 从单机到集群 - 核心对象与实战解析
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值