精品欧美一区二区三区在线观看 _久久久久国色av免费观看性色_国产精品久久在线观看_亚洲第一综合网站_91精品又粗又猛又爽_小泽玛利亚一区二区免费_91亚洲精品国偷拍自产在线观看 _久久精品视频在线播放_美女精品久久久_欧美日韩国产成人在线

如何優雅的給 Kubernetes Pod 啟用安全策略

作者:Waynerv
系統 Linux
最近有客戶反饋在開啟了安全策略的集群中部署產品失敗,因此研究了一下 Kubernetes 提供的 pod 安全策略。

文中的演示和示例均在 v1.18.17 集群中通過驗證。

Pod Security Policies

Pod Security Policies (下文簡稱 psp 或 pod 安全策略)是一種集群級別的全局資源,能夠對 pod 的創建和更新進行細粒度的授權控制。具體來說,一個 psp 對象定義了一組安全性條件,一個 pod 的 spec 字段必須滿足這些條件以及適用相關字段的默認值,其創建或更新請求才會被 apiserver 所接受。

具體的 pod 字段和安全條件可見文檔 what-is-a-pod-security-policy[1] 。

啟用 Pod Security Policies

Kubernetes 默認不開啟 pod 安全策略功能,在集群中啟用 pod 安全策略的步驟大體上分為三步:

  • 授予用戶訪問安全策略資源的權限,通常會授權給整個命名空間的 service account。
  • 在集群中創建指定的安全策略資源。
  • 啟用 apiserver 的 admission-controller 插件。

注意步驟 1、2 的順序不重要,因為它們不會產生實際影響。

但步驟 3 推薦在最后一步執行,否則一旦啟用 admission-controller 插件,如果集群中沒有可用的 pod 安全策略或者未對安全策略資源預先授權,所有 pod 的創建都會被拒絕,包括 kube-system 命名空間下的系統管理組件如 apiserver(但由于是受 kubelet 管理的靜態 pod 實際上容器依然會運行)。

RBAC 身份認證

  1. 創建可訪問所有安全策略資源的 ClusterRole:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
 name: all-psp
rules:
- apiGroups: ['policy']
 resources: ['podsecuritypolicies']
 verbs:     ['use']
  1. 通過 ClusterRoleBinding 將創建的角色綁定到指定命名空間下的所有 service account(也可以授權給指定的 sa 或者用戶):
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
 name: cluster-psp-bind
roleRef:
 kind: ClusterRole
 name: all-psp
 apiGroup: rbac.authorization.k8s.io
subjects:
# 授權給指定命名空間下的所有 service account(推薦做法):
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:nodes
 namespace: kube-system
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:serviceaccounts:kube-system
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:serviceaccounts:security-test
# 也可授權給指定的 service account 或者用戶(不推薦):
- kind: ServiceAccount
 name: <authorized service account name>
 namespace: <authorized pod namespace>
- kind: User
 apiGroup: rbac.authorization.k8s.io
 name: <authorized user name>
# 授權給所有的 service accounts:
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:serviceaccounts
# 授權給所有已認證的用戶:
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:authenticated

創建安全策略資源

  1. 在集群中創建一個 PodSecurityPolicy 資源。寬松權限版本:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
 name: privileged
 annotations:
   seccomp.security.alpha.kubernetes.io/allowedProfileNames: '*'
spec:
 privileged: true
 allowPrivilegeEscalation: true
 allowedCapabilities:
 - '*'
 volumes:
 - '*'
 hostNetwork: true
 hostPorts:
 - min: 0
   max: 65535
 hostIPC: true
 hostPID: true
 runAsUser:
   rule: 'RunAsAny'
 seLinux:
   rule: 'RunAsAny'
 supplementalGroups:
   rule: 'RunAsAny'
 fsGroup:
   rule: 'RunAsAny'
  1. 嚴格權限版本:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
 name: restricted
 annotations:
   seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default,runtime/default'
   apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
   apparmor.security.beta.kubernetes.io/defaultProfileName:  'runtime/default'
spec:
 privileged: false
 # Required to prevent escalations to root.
 allowPrivilegeEscalation: false
 requiredDropCapabilities:
   - ALL
 # Allow core volume types.
 volumes:
   - 'configMap'
   - 'emptyDir'
   - 'projected'
   - 'secret'
   - 'downwardAPI'
   # Assume that ephemeral CSI drivers & persistentVolumes set up by the cluster admin are safe to use.
   - 'csi'
   - 'persistentVolumeClaim'
   - 'ephemeral'
 hostNetwork: false
 hostIPC: false
 hostPID: false
 runAsUser:
   # Require the container to run without root privileges.
   rule: 'MustRunAsNonRoot'
 seLinux:
   # This policy assumes the nodes are using AppArmor rather than SELinux.
   rule: 'RunAsAny'
 supplementalGroups:
   rule: 'MustRunAs'
   ranges:
     # Forbid adding the root group.
     - min: 1
       max: 65535
 fsGroup:
   rule: 'MustRunAs'
   ranges:
     # Forbid adding the root group.
     - min: 1
       max: 65535
 readOnlyRootFilesystem: false

啟用 admission controller 插件

啟用 admission controller 的 psp 插件有兩種方式:

  1. 在已存在的集群中通過修改 apiserver 的靜態 manifest 文件,為 apiserver 增加啟動參數 enable-admission-plugins=PodSecurityPolicy。kubelet 會自動檢測到變更并重啟 apiserver。下面的示例使用 sed 對原有參數進行了替換:
$ sed -i 's/enable-admission-plugins=NodeRestriction/enable-admission-plugins=NodeRestriction,PodSecurityPolicy/' /etc/kubernetes/manifests/kube-apiserver.yaml
  1. 或者在初始化集群時,在 kubeadm 配置文件中添加額外參數。
apiVersion: kubeadm.k8s.io/v1beta2
kind: ClusterConfiguration
apiServer:
extraArgs:
enable-admission-plugins: "PodSecurityPolicy"

驗證 psp 的安全限制

我們在上文授權過的 security-test 命名空間進行測試,驗證 psp 對 pod 的限制條件。

首先確保在集群中應用了嚴格版本的 psp 資源,然后嘗試通過 deployment 創建一個需要使用 hostNetwork 的 pod:

apiVersion: apps/v1
kind: Deployment
metadata:
 name: nginx-hostnetwork
spec:
 selector:
   matchLabels:
     run: nginx
 template:
   metadata:
     labels:
       run: nginx
   spec:
     hostNetwork: true
     containers:
     - image: nginx
       imagePullPolicy: Always
       name: nginx-privileged

創建并查看結果:

$ kubectl create -f hostnetwork-pod.yaml -n security-test
deployment.apps/nginx-hostnetwork created
$ kubectl get deploy -n security-test nginx-hostnetwork
NAME                READY   UP-TO-DATE   AVAILABLE   AGE
nginx-hostnetwork   0/1     0            0           17s
$ kubectl -n security-test get event | grep "pod security policy"
103s        Warning   FailedCreate             deployment/nginx-hostnetwork                                Error creating: pods "nginx-hostnetwork-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used]

局限性

如果有 pod 違反了安全策略,解決方案是要么調整 pod 的規格,要么修改 pod 安全策略資源。psp 資源是全局生效的,不能針對不同的命名空間設置不同的安全策略級別,這是一個很明顯的局限性。

另外對 psp 的授權機制也比較復雜。如果沒有授權或者未創建安全策略,結果是所有 pod 被拒絕,這也導致在集群中默認開啟該功能的操作難度很大。

從 Kubernetes v1.21 開始,Pod Security Policy 將被棄用,并將在 v1.25 中刪除。Kubernetes 引入了 Pod Security Admission 作為其替代者,我們將在下文中詳細解析。

Pod Security Admission

為什么要替換 psp

KEP-2579[2] 詳細闡述了使用 Pod Security Admission 替代 Pod Security Policy 的三點主要理由:

  1. 將策略與用戶或 service account 綁定的模型削弱了安全性。
  2. 功能無法流暢切換,在沒有安全策略的情況下無法關閉。
  3. API 不一致且缺乏靈活性。

新的 Pod Security Admission 機制在易用性和靈活性上都有了很大提升,從使用角度有以下四點顯著不同:

  1. 可以在集群中默認開啟,只要不添加約束條件就不會觸發對 pod 的校驗。
  2. 只在命名空間級別生效,可以為不同命名空間通過添加標簽的方式設置不同的安全限制。
  3. 可以為特定的用戶、命名空間或者運行時設置豁免規則。
  4. 根據實踐預設了三種安全等級,不需要由用戶單獨去設置每一個安全條件。

工作方式

Pod Security Admission 將原來 Pod Security Policy 的安全條件劃分成三種預設的安全等級:

  • privileged: 不受限,向 pod 提供所有可用的權限。
  • baseline:最低限度的限制策略,防止已知的特權升級。
  • restricted:嚴格限制策略,遵循當前 Pod 加固的最佳實踐。

三種等級從寬松到嚴格遞增,各自包含了不同限度的安全條件[3],適用于不同的 pod 工作場景。此外還可以將安全等級設置為固定的 Kubernetes 版本,這樣即使集群升級到了新的版本且新版本的安全等級定義發生變化,依然可以按舊版本的安全條件對 pod 進行約束。

當 pod 與安全等級沖突時,我們可通過三種模式來選擇不同的處理方式:

  • enforce:只允許符合安全等級要求的 pod,拒絕與安全等級沖突的 pod。
  • audit:只將安全等級沖突記錄在集群 event 中,不會拒絕 pod。
  • warn:與安全等級沖突時會向用戶返回一個警告信息,但不會拒絕 pod。

audit 和 warn 模式是獨立的,如果同時需要兩者的功能必須分別設置兩種模式。

應用安全策略不再需要創建單獨的集群資源,只需要為命名空間設置控制標簽:

pod-security.kubernetes.io/<mode>: <level>
pod-security.kubernetes.io/<mode>-version: <version>

下文會有更完整的示例。

在舊版本啟用 psa

雖然 Pod Security Admission 是一個在 Kubernetes v1.22 引入的功能,但舊版本可以通過安裝 PodSecurity admission webhook 來啟用該功能,具體步驟如下:

$ git clone https://github.com/kubernetes/pod-security-admission.git
$ cd pod-security-admission/webhook
$ make certs
$ kubectl apply -k .

以上來自官方文檔的步驟在 v1.18.17 會有兩個兼容性問題,具體問題和解決方案如下:

  1. kubectl 內置的 kustomize 版本不支持 "replacements" 字段:
$ kubectl apply -k .
   error: json: unknown field "replacements"

 解決方案:安裝最新版本的 kusomize 然后在同一目錄執行

$ kustomize build . | kubectl apply -f -
  1. manifest/50-deployment.yaml 文件中定義的 Deployment.spec.template.spec.containers[0].securityContext 字段在 v1.19 版本才開始引入,因此 v1.18 需要將該字段修改為對應的 annotation 版本,詳見 Seccomp[4]:
error: error validating "STDIN": error validating data: ValidationError(Deployment.spec.template.spec.containers[0].securityContext): unknown field "seccompProfile" in io.k8s.api.core.v1.SecurityContext; if you choose to ignore these errors, turn validation off with --validate=false

驗證 psa 的安全限制

首先創建一個新的命名空間 psa-test 用于測試,并將其定義強制應用 baseline 安全等級,并對 restricted 等級進行警告和審計:

apiVersion: v1
kind: Namespace
metadata:
 name: psa-test
 labels:
   pod-security.kubernetes.io/enforce: baseline
   pod-security.kubernetes.io/enforce-version: v1.18
   # We are setting these to our _desired_ `enforce` level.
   pod-security.kubernetes.io/audit: restricted
   pod-security.kubernetes.io/audit-version: v1.18
   pod-security.kubernetes.io/warn: restricted
   pod-security.kubernetes.io/warn-version: v1.18

接著在該命名空間中創建上文示例中用過的 deployment:

$ kubectl create -f hostnetwork-pod.yaml -n psa-test
deployment.apps/nginx-hostnetwork created
$ kubectl get deploy -n psa-test nginx-hostnetwork
NAME                READY   UP-TO-DATE   AVAILABLE   AGE
nginx-hostnetwork   0/1     0            0           17s
$ kubectl -n psa-test get event | grep PodSecurity
104s        Warning   FailedCreate        replicaset/nginx-hostnetwork-644cdd6598   Error creating:

參考鏈接

責任編輯:龐桂玉 來源: 奇妙的Linux世界
KubernetespodLinux
相關推薦

2023-10-19 19:42:25

IstioPodkubernetes

2017-02-07 09:28:29

云安全策略云計算

2012-01-13 10:32:40

ibmdw

2014-08-05 09:50:20

2012-11-09 10:55:44

2011-03-23 10:58:52

2009-08-05 10:49:50

信息安全策略安全管理

2013-09-17 11:07:22

2015-09-02 10:21:55

2014-04-21 10:24:06

2020-02-02 09:23:44

軟件安全滲透測試信息安全

2011-01-24 13:51:46

信息安全策略安全管理

2019-07-22 13:11:39

網絡安全信息安全網絡威脅

2013-12-10 13:26:51

移動安全MDM

2011-10-13 12:42:18

2009-10-22 09:49:44

IT安全安全策略網絡安全

2010-05-05 15:38:31

Oracle安全策略

2012-01-11 13:15:32

移動設備安全策略

2022-05-10 10:09:12

KubernetesPod網絡抓包

2023-06-05 08:23:51

點贊
收藏

51CTO技術棧公眾號

国产精品永久久久久久久久久| 性少妇bbw张开| 怡红院在线播放| av在线播放成人| 国产精品69久久| 日本不卡一二区| 国内视频在线精品| 日本精品免费观看高清观看| 在线综合视频网站| 色呦呦视频在线| 另类综合日韩欧美亚洲| 欧美激情精品久久久久久| 国产男男chinese网站| 香蕉成人在线| 欧美午夜视频在线观看| 宅男一区二区三区| 深夜福利视频一区| 国产精品一区二区三区乱码| 456亚洲影院| 一区二区视频免费看| 九九亚洲视频| 亚洲国产精品美女| 99精品视频国产| 丝袜美腿一区| 性感美女久久精品| 一道本在线观看视频| 欧洲亚洲在线| 东方aⅴ免费观看久久av| 国产精品视频导航| 国产精品久久久久久人| 亚洲国产导航| 欧美成人一二三| 免费精品在线视频| jlzzjlzz亚洲女人| 日韩的一区二区| 四虎永久免费观看| 久久久久九九精品影院| 欧美日韩情趣电影| 美女黄色片视频| 中文字幕在线视频久| 亚洲va国产va欧美va观看| 26uuu成人| jyzzz在线观看视频| 久久综合av免费| 久久国产一区| 午夜小视频免费| 成人精品一区二区三区中文字幕| 91欧美视频网站| 在线观看黄色国产| 免费看精品久久片| 国产精品视频最多的网站| 日韩黄色一级视频| 日本不卡一区二区三区高清视频| 茄子视频成人在线| www.欧美色| 日韩在线播放一区二区| 国产999在线观看| jizz国产在线观看| 日韩不卡一区二区| 国产精品入口免费视| 亚洲天堂视频网| 久久66热re国产| 亚洲一区二区三区久久| 国产高清免费av| 成人一区二区三区| 国产视频一区二区三区四区| 三级小视频在线观看| 成人精品视频.| 久久精品aaaaaa毛片| 每日更新在线观看av| 国产欧美日韩精品在线| 亚洲开发第一视频在线播放| 成人亚洲综合天堂| 综合在线观看色| 欧美一区二区视频在线播放| av福利在线导航| 色综合久久99| 免费成年人高清视频| 天堂va在线高清一区| 日韩少妇高潮抽搐| 久久av日韩| 666欧美在线视频| 国产大学生av| 欧美美女黄色| 综合国产在线观看| 青娱乐在线视频免费观看| 国产精品hd| 国产91|九色| 自拍偷拍第八页| 国产成人在线看| 欧美不卡福利| www红色一片_亚洲成a人片在线观看_| 亚洲在线观看免费| 超碰在线97免费| 亚洲精品午夜| 国产一区二区三区丝袜| 欧美日韩三级在线观看| 久久这里有精品15一区二区三区| 国产一区二区丝袜| 天天干视频在线观看| 国产精品色呦呦| 欧美图片激情小说| 不卡亚洲精品| 亚洲国产精彩中文乱码av| 国产三级aaa| 亚洲精选国产| 91网站免费看| 好男人免费精品视频| 亚洲主播在线观看| 91 在线视频观看| 香蕉一区二区| 欧美国产日本高清在线 | av无码精品一区二区三区| 欧美91在线|欧美| 日韩av一区在线| 精国产品一区二区三区a片| 性色一区二区三区| 国产chinese精品一区二区| 电影在线高清| 岛国av在线不卡| 国产裸体视频网站| 成人中文视频| 日韩美女在线播放| 日本波多野结衣在线| 亚洲精品高清在线| 911福利视频| 欧美天天综合| 国产97在线视频| 亚洲区小说区图片区| 一区二区三区免费在线观看| 中文字幕av不卡在线| 国产精品午夜一区二区三区| 欧美激情奇米色| 国产免费av观看| 国产精品日日摸夜夜摸av| 日韩中文字幕三区| 欧美毛片免费观看| 午夜精品美女自拍福到在线| 成人福利小视频| 亚洲精品午夜久久久| 奇米影视四色在线| 欧美精品一区二区三区中文字幕| 欧美在线视频导航| 熟妇高潮一区二区高潮| 亚洲国产欧美在线| 亚洲av无码专区在线播放中文| 一本一道久久综合狠狠老| 成人av番号网| 欧美一级二级三级区| 欧美日韩中文字幕精品| 女同久久另类69精品国产| 免费在线观看视频一区| 亚洲精品国产一区| 欧美少妇激情| 日韩专区在线观看| aaa国产视频| 亚洲激情五月婷婷| 国产精品亚洲一区二区无码| 99热精品在线观看| 欧美lavv| 国产成人精品一区二区三区在线 | 亚洲影视综合| 久久伦理网站| 日韩av福利| 在线日韩日本国产亚洲| 亚洲字幕av一区二区三区四区| 国产精品国产三级国产aⅴ中文| 午夜久久久精品| 一区二区不卡| 精品国产一二| 亚洲成av在线| 久久精品国产欧美亚洲人人爽| av手机免费看| 午夜精品久久久久久久99樱桃| 黄色国产在线观看| 青青草精品视频| www.-级毛片线天内射视视| 一区二区在线免费播放| 69av在线视频| 日本黄色片在线观看| 日韩丝袜美女视频| 一区二区三区视频免费看| 久久精品在这里| 加勒比av中文字幕| 伊人久久婷婷| 色999五月色| 日韩高清在线观看一区二区| 91av免费观看91av精品在线| 一区二区三区视频在线观看视频| 欧美成人女星排行榜| 国产suv精品一区二区33| 亚洲视频一区在线| aaaa黄色片| 久久精品二区亚洲w码| 国产青草视频在线观看| 欧美老女人另类| 国产传媒欧美日韩| 日本综合视频| 97国产精品视频| 麻豆av在线免费看| 日韩精品在线看| 精品二区在线观看| 日本丶国产丶欧美色综合| 麻豆91精品91久久久| 欧美国产日本韩| 亚洲精品理论片| 国产成人高清视频| 亚洲污视频在线观看| 亚洲国产精品第一区二区| 亚洲欧美日韩国产yyy | 亚洲国产欧美一区| 国产一区二区小视频| 欧美日韩国产影院| 欧美成欧美va| 国产精品久久久久一区二区三区| 国产精品一区二区无码对白| 看片网站欧美日韩| 国产精品视频一区二区三区四区五区| 亚洲精品成人| 亚洲一区3d动漫同人无遮挡| 日韩中文av| 国产精品v欧美精品∨日韩| 欧美一级免费| 日本成人黄色片| 精品人人视频| 久久露脸国产精品| 性欧美videoshd高清| 色狠狠久久aa北条麻妃| 欧美 日韩 国产 精品| 日韩一卡二卡三卡国产欧美| 一级黄色小视频| 欧美视频在线不卡| 亚洲s码欧洲m码国产av| 午夜不卡在线视频| 久久精品一区二区三| 亚洲视频中文字幕| 久久成人小视频| 18涩涩午夜精品.www| 国产喷水在线观看| 国产精品高潮呻吟| 男女男精品视频网站| 国产欧美日韩精品在线| 精品人妻中文无码av在线| 久久久www成人免费毛片麻豆| www.自拍偷拍| 久久―日本道色综合久久| 水蜜桃av无码| 久久综合视频网| 国精产品一区二区三区| 久久伊99综合婷婷久久伊| 性色av蜜臀av色欲av| 99精品视频在线观看免费| 黄色污在线观看| 久久亚洲精精品中文字幕早川悠里 | 日韩电影在线看| 美女网站视频黄色| 男人的天堂亚洲一区| 中文字幕 日韩 欧美| 六月婷婷色综合| 人妻精品久久久久中文字幕69| 国产精品影视网| 黄色污在线观看| 久久久久久久久久久久久女国产乱| 波多野结衣办公室33分钟| 久久精品日产第一区二区三区高清版| 男女黄床上色视频| 中文字幕精品综合| 精品无码久久久久成人漫画 | 日本三级理论片| 欧美午夜视频在线观看| 欧美brazzers| 91精品久久久久久久91蜜桃| 精品人妻一区二区三区浪潮在线| 日韩精品一区二区三区视频在线观看 | 玖玖玖国产精品| 自拍偷拍 国产| 韩国一区二区三区| 黑人玩弄人妻一区二区三区| 久久综合九色综合欧美亚洲| 免费黄色在线网址| 亚洲女人的天堂| wwwxxx亚洲| 欧美日韩一区二区在线视频| 国产乱码精品一区二区| 亚洲福利在线观看| 黄色小视频在线免费观看| xxxxx成人.com| 白浆视频在线观看| 国产原创欧美精品| 久久中文资源| 欧美亚洲视频一区| 日韩一级免费| 一级淫片在线观看| ww久久中文字幕| 日本a级片视频| 91久久国产综合久久| www.香蕉视频| 国产一区二区三区日韩欧美| 欧美1234区| 国产精品偷伦一区二区| 福利片一区二区| 一区二区三区我不卡| 午夜在线a亚洲v天堂网2018| 8x8x成人免费视频| 国产午夜精品理论片a级大结局 | 婷婷亚洲五月色综合| 春日野结衣av| 国产成人精品免费在线| 女人黄色一级片| 精品日韩美女的视频高清| 97超碰人人模人人人爽人人爱| 精品一区二区三区三区| 在线网址91| 国产美女主播一区| 亚州精品视频| av日韩一区二区三区| 狠狠色综合播放一区二区| 魔女鞋交玉足榨精调教| 亚洲午夜免费视频| 97精品人妻一区二区三区在线 | 亚洲激情一区| 九九九久久久久久久| 国产精品久久久久久久久果冻传媒 | 图片区亚洲欧美小说区| 黄色aaa级片| 26uuu另类欧美| 日韩精品人妻中文字幕| 日韩三级在线观看| a级网站在线播放| 成人激情在线播放| 日韩中字在线| xxx国产在线观看| 国产视频在线观看一区二区三区| 97超碰人人干| 亚洲国产成人久久综合| 91av久久| 精品91免费| 亚洲国产电影| av黄色一级片| 午夜成人免费视频| 秋霞网一区二区| 欧美精品久久久久| 99国产精品免费网站| 免费的一级黄色片| 成人午夜av影视| 日韩av在线播| 日韩电影中文字幕在线| 中文字幕人成乱码在线观看| 欧美人与性禽动交精品| 久久亚洲视频| 婷婷综合在线视频| 欧美精品123区| 伊人精品影院| 国产伦精品一区二区三区免费视频 | 日韩中文字幕在线精品| 电影中文字幕一区二区| 制服国产精品| 国产精品香蕉一区二区三区| 青娱乐在线视频免费观看| 欧美videossexotv100| 波多一区二区| 久精品国产欧美| 日韩精品乱码免费| 99精品中文字幕| 日韩欧美国产一区在线观看| 国产盗摄一区二区| 欧美lavv| 九九国产精品视频| 超碰手机在线观看| 亚洲精品短视频| www.26天天久久天堂| 成人午夜视频免费观看| 不卡av电影在线播放| 亚洲男人天堂网址| 久久久成人av| 欧美男男freegayvideosroom| www.99在线| 一区二区在线观看视频| 天天色综合久久| 国产免费成人av| 亚洲黄色大片| 99久久99久久精品免费看小说. | 午夜在线视频免费| 国产99久久精品一区二区 夜夜躁日日躁| 成人情趣视频| 午夜不卡久久精品无码免费| 色综合久久久久网| 亚洲丝袜一区| 欧美国产视频在线观看| 国产专区欧美精品| 黄色大片网站在线观看| 久久韩剧网电视剧| 首页亚洲中字| 久久久久久久久久毛片| 精品日本高清在线播放 | 国产欧美日韩在线观看视频| 中文字幕在线视频精品| 精品日韩美女的视频高清| 黄色网址在线免费观看| 免费试看一区|