高考报名时间2022年11月1日还剩 距离2023年6月7日高考还有
栏目分类:
子分类:
返回
名师互学网用户登录
名师互学网
快速导航关闭
当前搜索
当前分类
前沿技术 软件开发 系统运维 产品运营 生活办公 面试经验 考试题库
子分类
人工智能 大数据 云计算 区块链 物联网 深度学习 机器学习 NLP 计算机视觉 语音识别 其他 大数据系统 数据可视化 数据挖掘与分析 其他 Docker/k8s 虚拟化 云平台 其他 基本原理 数字货币 智能合约 EOS应用 其他 通讯技术 嵌入式开发 单片机 物联网应用 HarmonyOS 其他 后端开发 Web开发 移动开发 游戏开发 Python Java 架构设计 C/C++/C# PHP .Net Go语言 R语言
实用工具
学习工具 小学数学练习 字帖生成 在线画板 函数绘制 拼音字母表 在线词典 黄历查询 亲戚关系计算 安全期计算 中国历史 Excel函数 模拟请求 json格式化 浏览器指纹
热门搜索
路由器设置 木托盘 宝塔面板 儿童python教程 心情低落 朋友圈 vim 双一流学科 专升本 我的学校 日记学校 西点培训学校 汽修学校 情书 化妆学校 塔沟武校 异形模板 西南大学排名 最精辟人生短句 6步教你追回被骗的钱 南昌大学排名 清朝十二帝 北京印刷学院排名 北方工业大学排名 北京航空航天大学排名 首都经济贸易大学排名 中国传媒大学排名 首都师范大学排名 中国地质大学(北京)排名 北京信息科技大学排名
名师互学网 > IT > 前沿技术 > 云计算

使用 Kube-Mgmt 将 OPA 集成到 Kubernetes 集群中

云计算 更新时间: 发布时间: IT归档 最新发布 模块sitemap 名妆网 法律咨询 聚返吧 英语巴士网 伯小乐 网商动力


使用 Kube-Mgmt 将 OPA 集成到 Kubernetes 集群中

Open Policy Agent 简称 OPA,是一种开源的通用策略代理引擎,是 CNCF 毕业的项目。OPA 提供了一种高级声明式语言 Rego,简化了策略规则的定义,以减轻程序中策略的决策负担。在微服务、Kubernetes、CI/CD、API 网关等场景中均可以使用 OPA 来定义策略。


使用 Kube-Mgmt 将 OPA 集成到 Kubernetes 集群中

我们这里主要讲解在 Kubernetes 中如何集成 OPA,在 Kubernetes 中 OPA 是通过 Admission Controllers 来实现安全策略的。事实上使用 Pod 安全策略(要废弃了)来执行我们的安全策略并没有什么问题,然而,根据定义,PSP 只能应用于 pods。它们不能处理其他 Kubernetes 资源,如 Ingresses、Deployments、Services 等,OPA 的强大之处在于它可以应用于任何 Kubernetes 资源。OPA 作为一个准入控制器部署到 Kubernetes,它拦截发送到 APIServer 的 API 调用,并验证和/或修改它们。你可以有一个统一的 OPA 策略,适用于系统的不同组件,而不仅仅是 pods,例如,有一种策略,强制用户在其服务中使用公司的域,并确保用户只从公司的镜像仓库中拉取镜像。

概述

OPA 将策略决策与策略执行分离,当应用需要做出策略决策时,它会查询 OPA 并提供结构化数据(例如 JSON)作为输入,OPA 接受任意结构化数据作为输入。

OPA 通过评估查询输入策略和数据来生成策略决策,你可以在你的策略中描述几乎任何的不变因素,例如:

  • 哪些用户可以访问哪些资源。
  • 哪些子网的出口流量被允许。
  • 工作负载必须部署到哪些集群。
  • 二进制文件可以从哪里下载。
  • 容器可以用哪些操作系统的能力来执行。
  • 系统在一天中的哪些时间可以被访问。

    策略决定不限于简单的是/否或允许/拒绝,与查询输入一样,你的策略可以生成任意结构化数据作为输出。让我们看一个例子。OPA 的策略是用一种叫做 Rego 的高级声明性语言来声明的,Rego 是专门为表达复杂的分层数据结构的策略而设计的。

    在 Kubernetes 中,准入控制器在创建、更新和删除操作期间对对象实施策略。准入控制是 Kubernetes 中策略执行的基础。通过将 OPA 部署为准入控制器,可以:

  • 要求在所有资源上使用特定标签。
  • 要求容器镜像来自企业镜像仓库。
  • 要求所有 Pod 指定资源请求和限制。
  • 防止创建冲突的 Ingress 对象。
  • ......

    Kubernetes APIServer 配置为在创建、更新或删除对象时查询 OPA 以获取准入控制策略。APIServer 将 webhook 请求中的整个对象发送给 OPA,OPA 使用准入审查作为输入来评估它已加载的策略。这个其实和我们自己去实现一个准入控制器是类似的,只是不需要我们去编写代码,只需要编写策略规则,OPA 就可以根据我们的规则去对输入的对象进行验证。

    部署

    接下来我们介绍下如何在 Kubernetes 集群中集成 OPA,由于 Kubernetes 中是通过准入控制器来集成 OPA 的,所以我们必须在集群中启用 ValidatingAdmissionWebhook 这个准入控制器。


    使用 Kube-Mgmt 将 OPA 集成到 Kubernetes 集群中

    首先创建一个名为 opa 的命名空间,可以让 OPA 从该命名空间中的 ConfigMap 去加载策略:

    ➜ kubectl create namespace opa

    并将上下文更改为 opa 命名空间:

    ➜ kubectl config current-context
    kubernetes-admin@kubernetes
    ➜ content kubectl config set-context kubernetes-admin@kubernetes --namespace=opa
    Context "kubernetes-admin@kubernetes" modified.
    ➜ kubectl get pods
    No resources found in opa namespace.

    为了保护 APIServer 和 OPA 之间的通信,我们需要配置 TLS 证书。

    创建证书颁发机构和密钥:

    ➜ openssl genrsa -out ca.key 2048
    ➜ openssl req -x509 -new -nodes -key ca.key -days 100000 -out ca.crt -subj "/CN=admission_ca"

    为 OPA 生成密钥和证书:

    cat >server.conf <[req]
    req_extensions = v3_req
    distinguished_name = req_distinguished_name
    [req_distinguished_name]
    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment
    extendedKeyUsage = clientAuth, serverAuth
    subjectAltName = @alt_names
    [ alt_names ]
    DNS.1 = opa.opa.svc
    EOF
    ➜ openssl genrsa -out server.key 2048
    ➜ openssl req -new -key server.key -out server.csr -subj "/CN=opa.opa.svc" -config server.conf
    ➜ openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 100000 -extensions v3_req -extfile server.conf

    创建一个 Kubernetes TLS Secret 来存储我们的 OPA 凭证:

    ➜ kubectl create secret tls opa-server --cert=server.crt --key=server.key

    证书准备好后就可以部署准入控制器了,对应的资源清单文件如下所示:

    # opa-admission-controller.yaml
    # Grant OPA/kube-mgmt read-only access to resources. This lets kube-mgmt
    # replicate resources into OPA so they can be used in policies.
    kind: ClusterRoleBinding
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      name: opa-viewer
    roleRef:
      kind: ClusterRole
      name: view
      apiGroup: rbac.authorization.k8s.io
    subjects:
    - kind: Group
      name: system:serviceaccounts:opa
      apiGroup: rbac.authorization.k8s.io
    ---
    # Define role for OPA/kube-mgmt to update configmaps with policy status.
    kind: Role
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      namespace: opa
      name: configmap-modifier
    rules:
    - apiGroups: [""]
      resources: ["configmaps"]
      verbs: ["update", "patch"]
    ---
    # Grant OPA/kube-mgmt role defined above.
    kind: RoleBinding
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      namespace: opa
      name: opa-configmap-modifier
    roleRef:
      kind: Role
      name: configmap-modifier
      apiGroup: rbac.authorization.k8s.io
    subjects:
    - kind: Group
      name: system:serviceaccounts:opa
      apiGroup: rbac.authorization.k8s.io
    ---
    kind: Service
    apiVersion: v1
    metadata:
      name: opa
      namespace: opa
    spec:
      selector:
        app: opa
      ports:
      - name: https
        port: 443
        targetPort: 443
    ---
    kind: ClusterRoleBinding
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      name: opa-viewer
    roleRef:
      kind: ClusterRole
      name: view
      apiGroup: rbac.authorization.k8s.io
    subjects:
    - kind: Group
      name: system:serviceaccounts:opa
      apiGroup: rbac.authorization.k8s.io
    ---
    # Define role for OPA/kube-mgmt to update configmaps with policy status.
    kind: Role
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      namespace: opa
      name: configmap-modifier
    rules:
    - apiGroups: [""]
      resources: ["configmaps"]
      verbs: ["update", "patch"]
    ---
    # Grant OPA/kube-mgmt role defined above.
    kind: RoleBinding
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      namespace: opa
      name: opa-configmap-modifier
    roleRef:
      kind: Role
      name: configmap-modifier
      apiGroup: rbac.authorization.k8s.io
    subjects:
    - kind: Group
      name: system:serviceaccounts:opa
      apiGroup: rbac.authorization.k8s.io
    ---
    kind: Service
    apiVersion: v1
    metadata:
      name: opa
      namespace: opa
    spec:
      selector:
        app: opa
      ports:
      - name: https
        protocol: TCP
        port: 443
        targetPort: 443
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: opa
      namespace: opa
    spec:
      selector:
        matchLabels:
          app: opa
      template:
        metadata:
          labels:
            app: opa
        spec:
          containers:
            - name: opa
              image: openpolicyagent/opa:latest
              args:
                - "run"
                - "--server"
                - "--tls-cert-file=/certs/tls.crt"
                - "--tls-private-key-file=/certs/tls.key"
                - "--addr=0.0.0.0:443"
                - "--addr=http://127.0.0.1:8181"
                - "--log-level=debug"
                - "--log-format=json-pretty"
              volumeMounts:
                - readOnly: true
                  mountPath: /certs
                  name: opa-server
              readinessProbe:
                httpGet:
                  path: /health
                  scheme: HTTPS
                  port: 443
                initialDelaySeconds: 5
                periodSeconds: 10
              livenessProbe:
                httpGet:
                  path: /health
                  scheme: HTTPS
                  port: 443
                initialDelaySeconds: 10
                periodSeconds: 15
            - name: kube-mgmt
              image: openpolicyagent/kube-mgmt:4.0.0
              args:
                - --replicate-cluster=v1/namespaces
                - --replicate=networking.k8s.io/v1/ingresses
                - --opa-url=http://127.0.0.1:8181/v1
                - --enable-data=true
                - --enable-policies=true
                - --policies=opa
                - --require-policy-label=true
          volumes:
            - name: opa-server
              secret:
                secretName: opa-server
    ---
    kind: ConfigMap
    apiVersion: v1
    metadata:
      name: opa-default-system-main
      namespace: opa
      labels:
        openpolicyagent.org/policy: rego
    data:
      main: |
        package system
        import data.kubernetes.admission
        main = {
          "apiVersion": "admission.k8s.io/v1",
          "kind": "AdmissionReview",
          "response": response,
        }
        default uid = ""
        uid = input.request.uid
        response = {
            "allowed": false,
            "uid": uid,
            "status": {
                "message": reason,
            },
        } {
            reason = concat(", ", admission.deny)
            reason != ""
        }
        else = {"allowed": true, "uid": uid}

    上面的资源清单中我们添加了一个 kube-mgmt 的 Sidecar 容器,该容器可以将 ConfigMap 对象中的策略动态加载到 OPA 中,kube-mgmt 容器还可以将任何其他 Kubernetes 对象作为 JSON 数据加载到 OPA 中。


    使用 Kube-Mgmt 将 OPA 集成到 Kubernetes 集群中

    使用 Kube-Mgmt 将 OPA 集成到 Kubernetes 集群中

    另外需要注意的是 Service 的名称(opa)必须与我们证书配置的 CN 匹配,否则 TLS 通信会失败。在 kube-mgmt 容器中还指定了以下命令行参数:

  • --replicate-cluster=v1/namespaces。
  • --replicate=networking.k8s.io/v1/ingresses。
  • --enable-policies=true。
  • --policies=opa。
  • --require-policy-label=true。

    前两个参数允许 sidecar 容器复制命名空间、Ingress 对象,并将它们加载到 OPA 引擎中,enable-policies=true 表示会通过 Configmap 加载 OPA 策略,下面的 --policies=opa 表示从 opa 命名空间中的 Configmap 来加载策略,如果还配置了 --require-policy-label=true 参数,则需要 Configmap 中带有 openpolicyagent.org/policy=rego 这个标签才会被自动加载。

    现在直接应用上面的资源清单即可:

    ➜ kubectl apply -f opa-admission-controller.yaml
    ➜ kubectl get pods
    NAME                  READY   STATUS    RESTARTS   AGE
    opa-6cd68f74f-s9zcv   2/2     Running   0          5m28s

    为了让准入控制器工作,我们还需要一个准入 webhook 来接收准入 HTTP 回调并执行它们,创建如下所示的 webhook 配置文件:

    ➜ cat > webhook-configuration.yaml <kind: ValidatingWebhookConfiguration
    apiVersion: admissionregistration.k8s.io/v1
    metadata:
      name: opa-validating-webhook
    webhooks:
      - name: validating-webhook.openpolicyagent.org
        admissionReviewVersions: ["v1", "v1beta1"]
        namespaceSelector:
          matchexpressions:
          - key: openpolicyagent.org/webhook
            operator: NotIn
            values:
            - ignore
        failurePolicy: Ignore
        rules:
          - apiGroups:
            - '*'
            apiVersions:
            - '*'
            operations:
            - '*'
            resources:
            - '*'
        sideEffects: None
        clientConfig:
          caBundle: $(cat ca.crt | base64 | tr -d 'n')
          service:
            namespace: opa
            name: opa
    EOF

    上面的 webhook 中配置了以下属性:

  • 不会监听来自带有 openpolicyagent.org/webhook=ignore 标签的命名空间的操作。
  • 会监听所有资源的操作。
  • 它使用我们之前创建的 CA 证书,以便能够与 OPA 通信。

    现在,在使用配置之前,我们标记 kube-system 和 opa 命名空间,使它们不在 webhook 范围内:

    ➜ kubectl label ns kube-system openpolicyagent.org/webhook=ignore
    ➜ kubectl label ns opa openpolicyagent.org/webhook=ignore

    然后应用上面的配置对象将 OPA 注册为准入控制器:

    ➜ kubectl apply -f webhook-configuration.yaml
    ➜ kubectl get pods
    NAME                  READY   STATUS    RESTARTS   AGE
    opa-6cd68f74f-s9zcv   2/2     Running   0          72m
    ➜ kubectl get validatingwebhookconfiguration
    NAME                                      WEBHOOKS   AGE
    opa-validating-webhook                    1          2m14s

    策略示例

    OPA 使用 Rego 语言来描述策略,这里我们使用官方文档中提到的示例来进行说明,创建一个限制 Ingress 可以使用的主机名策略,只允许匹配指定正则表达式的主机名。

    创建如下所示名为 ingress-allowlist.rego 的策略文件:

    package kubernetes.admission
    operations = {"CREATE", "UPDATE"}
    deny[msg] {
      input.request.kind.kind == "Ingress"
      operations[input.request.operation]
      host := input.request.object.spec.rules[_].host
      not fqdn_matches_any(host, valid_ingress_hosts)
      msg := sprintf("invalid ingress host %q", [host])
    }
    valid_ingress_hosts = {host |
      allowlist := namespaces[input.request.namespace].metadata.annotations["ingress-allowlist"]
      hosts := split(allowlist, ",")
      host := hosts[_]
    }
    fqdn_matches_any(str, patterns) {
      fqdn_matches(str, patterns[_])
    }
    fqdn_matches(str, pattern) {
      pattern_parts := split(pattern, ".")
      pattern_parts[0] == "*"
      str_parts := split(str, ".")
      n_pattern_parts := count(pattern_parts)
      n_str_parts := count(str_parts)
      n_pattern_parts == n_str_parts
      suffix := trim(pattern, "*.")
      endswith(str, suffix)
    }
    fqdn_matches(str, pattern) {
        not contains(pattern, "*")
        str == pattern
    }

    如果你是 Rego 新手,上面的代码看上去可能有点陌生,但 Rego 让定义策略变得非常容易,我们来分析下这个策略是如何使用白名单中的 Ingress 命名空间强制执行的:

    第1行:package 的使用方式与在其他语言中的使用方式是一样的。

    第5行:我们定义一个包含两项操作的数据集:CREATE 和 UPDATE。

    第7行:这是策略的核心部分,以 deny 开头,然后是策略正文。如果正文中的语句组合评估为真,则违反策略,便会阻止操作,并将消息返回给用户,说明操作被阻止的原因。

    第8行:指定输入对象,发送到 OPA 的任何 JSON 消息都是从输入对象的根部开始的,我们遍历 JSON 对象,直到找到有问题的资源,并且它必须是 Ingress 才能应用该策略。

    第9行:我们需要应用策略来创建或更新资源,在 Rego 中,我们可以通过使用 operations[input.requset.operations] 来实现,方括号内的代码会提取请求中指定的操作,如果它与第5行的操作集中定义的元素相匹配,则该语句为真。

    第10行:为了提取 Ingress 对象的 host 信息,我们需要迭代 JSON 对象的 rules 数组,同样 Rego 提供了 _ 字符来循环浏览数组,并将所有元素返回到 host 变量中。

    第11行:现在我们有了 host 变量,我们需要确保它不是列入白名单的主机,要记住,只有在评估为 true 时才会违反该策略,为了检查主机是否有效,我们使用第21行中定义的 fqdn_matches_any 函数。

    第12行:定义应返回给用户的消息,说明无法创建 Ingress 对象的原因。

    第15-19行:这部分从 Ingress 命名空间的 annotations 中提取列入白名单的主机名,主机名添加在逗号分隔的列表中,使用 split 内置函数用于将其转换为列表。最后,_ 用于遍历所有提取的主机列表,将结果通过 | 管道传送给 host 变量(这与 Python 中的列表推导非常类似)。

    第21行:该函数只接受一个字符串,并在一个 patterns 列表中搜索它,这是第二个参数。实际上是调用的下方的 fqdn_matches 函数来实现的。在 Rego 中,可以定义具有多个相同名称的函数,只要它们都产生相同的输出,当调用多次定义的函数时,将调用该函数的所有实例。

    第25-33行:第一个 fqdn_matches 函数的定义。

  • 首先它通过点 . 将 pattern 进行拆分,比如 *.example.com 会分割成 *、example 和 com。
  • 接下来确保 pattern 的第一个标记是星号,同样对输入的字符串按照 . 进行拆分。
  • 删除 pattern 中的 *.。
  • 最后评估输入字符串是否以后缀结尾,比如如果允许的模式字符串是 *.mydomain.com,被评估的字符串是 www.example.com,则违反了该策略,因为该字符串不是 mydomain.com 的一部分。

    第35-38行:第二个验证函数,该函数用于验证不使用通配符的模式,例如,当模式写为 mycompany.mydomain.com 的时候。

  • 首先,需要确保提供的模式不包含通配符,否则,该语句将评估为 false 并且函数将不会继续。
  • 如果模式指的是特定的域名,那么我们只需要确保 fqdn 与该模式匹配。换句话说,如果模式是mycompany.mydomain.com,那么主机的 fqdn 也必须是 mycompany.mydomain.com。

    我们之所以有两个具有相同名称的函数,是因为 Rego 语言的一个限制,它会阻止函数产生一个以上的输出结果,所以,要想在同一时间用不同的逻辑进行多个验证,必须使用多个同名的函数。

    在生产环境中,在将 Rego 代码应用到集群之前一定要进行全方位测试,比如可以添加单元测试,同时也可以使用 Rego Playground 来对代码进行验证。

    要将该策略应用于集群,我们需要将上面的 Rego 文件以 Configmap 的形式应用到 opa 命名空间中:

    ➜ kubectl create configmap ingress-allowlist --from-file=ingress-allowlist.rego
    ➜ kubectl label  configmap ingress-allowlist openpolicyagent.org/policy=rego

    由于我们开启了 --require-policy-label 参数,所以还需要带上对应的标签。创建完成后最好检查下我们的策略是否被 OPA 获取了,并且没有语法错误,可以通过检查 ConfigMap 的状态来判断:

    ➜ kubectl get cm ingress-allowlist  -o json | jq '.metadata.annotations'
    {
      "openpolicyagent.org/policy-status": "{"status":"ok"}"
    }

    接下来,让我们创建两个命名空间,一个用于 QA 环境,另一个用于生产环境。要注意它们都包含 ingress-allowlist 注解,其中包含 Ingress 主机名应该匹配的模式。

    # qa-namespace.yaml
    apiVersion: v1
    kind: Namespace
    metadata:
      annotations:
        ingress-allowlist: "*.qa.qikqiak.com,*.internal.qikqiak.com"
      name: qa
    ---
    # production-namespace.yaml
    apiVersion: v1
    kind: Namespace
    metadata:
      annotations:
        ingress-allowlist: "*.qikqiak.com"
      name: production

    直接应用上面的两个资源清单文件即可:

    ➜ kubectl apply -f qa-namespace.yaml -f production-namespace.yaml

    接下来让我们创建一个被策略允许的 Ingress 对象:

    ➜ kubectl apply -f - <apiVersion: networking.k8s.io/v1
    kind: Ingress
    metadata:
      name: ingress-ok
      namespace: production
    spec:
      ingressClassName: nginx
      rules:
      - host: prod.qikqiak.com
        http:
          paths:
          - backend:
              service:
                name: nginx
                port:
                  number: 80
            path: /
            pathType: Prefix
    EOT

    正常上面的资源对象可以创建:

    ➜ kubectl get ing -n production
    NAME         CLASS   HOSTS              ADDRESS   PORTS   AGE
    ingress-ok   nginx   prod.qikqiak.com             80      17s

    接着我们创建一个不符合策略的 Ingress 对象:

    ➜ kubectl apply -f - <apiVersion: networking.k8s.io/v1
    kind: Ingress
    metadata:
      name: ingress-bad
      namespace: qa
    spec:
      ingressClassName: nginx
      rules:
      - host: opa.k8s.local
        http:
          paths:
          - backend:
              service:
                name: nginx
                port:
                  number: 80
            path: /
            pathType: Prefix
    EOT
    Error from server: error when creating "test.yaml": admission webhook "validating-webhook.openpolicyagent.org" denied the request: invalid ingress host "opa.k8s.local"

    从输出中可以看出,APIServer 拒绝创建 Ingress 对象,因为上面的对象违反了我们的 OPA 策略规则。

    到这里我们就完成了理由 OPA 在 Kubernetes 集群中实施准入控制策略,而无需修改或重新编译任何 Kubernetes 组件。此外,还可以通过 OPA 的 Bundle 功能策略,可以定期从远程服务器下载以满足不断变化的操作要求,关于 OPA 的更多高级功能请看后续文章介绍。

    • 转载请注明:文章转载自 www.mshxw.com
    本文地址:https://www.mshxw.com/it/797046.html

    云计算相关栏目本月热门文章

    热门相关搜索
    路由器设置 木托盘 宝塔面板 儿童python教程 心情低落 朋友圈 vim 双一流学科 专升本 我的学校 日记学校 西点培训学校 汽修学校 情书 化妆学校 塔沟武校 异形模板 西南大学排名 最精辟人生短句 6步教你追回被骗的钱 南昌大学排名 清朝十二帝 北京印刷学院排名 北方工业大学排名 北京航空航天大学排名 首都经济贸易大学排名 中国传媒大学排名 首都师范大学排名 中国地质大学(北京)排名 北京信息科技大学排名 中央民族大学排名 北京舞蹈学院排名 北京电影学院排名 中国戏曲学院排名 河北政法职业学院排名 河北经贸大学排名 天津中德应用技术大学排名 天津医学高等专科学校排名 天津美术学院排名 天津音乐学院排名 天津工业大学排名 北京工业大学耿丹学院排名 北京警察学院排名 天津科技大学排名 北京邮电大学(宏福校区)排名 北京网络职业学院排名 北京大学医学部排名 河北科技大学排名 河北地质大学排名 河北体育学院排名
    学习工具
    代数计算器
    三角函数
    解析几何
    立体几何
    知识解答
    教育知识
    百科知识
    生活知识
    常识知识
    写作必备
    作文大全
    作文素材
    句子大全
    实用范文
    关于我们
    关于我们
    联系我们
    网站地图
    交流群

    名师互学网交流群

    名师互学网客服

    名师互学网客服

    名师互学网 版权所有 (c)2021-2022 ICP备案号:晋ICP备2021003244-6号

    我们一直用心在做
    关于我们 文章归档 网站地图 联系我们

    版权所有 (c)2021-2022 MSHXW.COM

    ICP备案号:晋ICP备2021003244-6号