精品欧美一区二区三区在线观看 _久久久久国色av免费观看性色_国产精品久久在线观看_亚洲第一综合网站_91精品又粗又猛又爽_小泽玛利亚一区二区免费_91亚洲精品国偷拍自产在线观看 _久久精品视频在线播放_美女精品久久久_欧美日韩国产成人在线

如何優雅的給 Kubernetes Pod 啟用安全策略

作者:Waynerv
系統 Linux
最近有客戶反饋在開啟了安全策略的集群中部署產品失敗,因此研究了一下 Kubernetes 提供的 pod 安全策略。

文中的演示和示例均在 v1.18.17 集群中通過驗證。

Pod Security Policies

Pod Security Policies (下文簡稱 psp 或 pod 安全策略)是一種集群級別的全局資源,能夠對 pod 的創建和更新進行細粒度的授權控制。具體來說,一個 psp 對象定義了一組安全性條件,一個 pod 的 spec 字段必須滿足這些條件以及適用相關字段的默認值,其創建或更新請求才會被 apiserver 所接受。

具體的 pod 字段和安全條件可見文檔 what-is-a-pod-security-policy[1] 。

啟用 Pod Security Policies

Kubernetes 默認不開啟 pod 安全策略功能,在集群中啟用 pod 安全策略的步驟大體上分為三步:

  • 授予用戶訪問安全策略資源的權限,通常會授權給整個命名空間的 service account。
  • 在集群中創建指定的安全策略資源。
  • 啟用 apiserver 的 admission-controller 插件。

注意步驟 1、2 的順序不重要,因為它們不會產生實際影響。

但步驟 3 推薦在最后一步執行,否則一旦啟用 admission-controller 插件,如果集群中沒有可用的 pod 安全策略或者未對安全策略資源預先授權,所有 pod 的創建都會被拒絕,包括 kube-system 命名空間下的系統管理組件如 apiserver(但由于是受 kubelet 管理的靜態 pod 實際上容器依然會運行)。

RBAC 身份認證

  1. 創建可訪問所有安全策略資源的 ClusterRole:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
 name: all-psp
rules:
- apiGroups: ['policy']
 resources: ['podsecuritypolicies']
 verbs:     ['use']
  1. 通過 ClusterRoleBinding 將創建的角色綁定到指定命名空間下的所有 service account(也可以授權給指定的 sa 或者用戶):
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
 name: cluster-psp-bind
roleRef:
 kind: ClusterRole
 name: all-psp
 apiGroup: rbac.authorization.k8s.io
subjects:
# 授權給指定命名空間下的所有 service account(推薦做法):
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:nodes
 namespace: kube-system
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:serviceaccounts:kube-system
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:serviceaccounts:security-test
# 也可授權給指定的 service account 或者用戶(不推薦):
- kind: ServiceAccount
 name: <authorized service account name>
 namespace: <authorized pod namespace>
- kind: User
 apiGroup: rbac.authorization.k8s.io
 name: <authorized user name>
# 授權給所有的 service accounts:
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:serviceaccounts
# 授權給所有已認證的用戶:
- kind: Group
 apiGroup: rbac.authorization.k8s.io
 name: system:authenticated

創建安全策略資源

  1. 在集群中創建一個 PodSecurityPolicy 資源。寬松權限版本:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
 name: privileged
 annotations:
   seccomp.security.alpha.kubernetes.io/allowedProfileNames: '*'
spec:
 privileged: true
 allowPrivilegeEscalation: true
 allowedCapabilities:
 - '*'
 volumes:
 - '*'
 hostNetwork: true
 hostPorts:
 - min: 0
   max: 65535
 hostIPC: true
 hostPID: true
 runAsUser:
   rule: 'RunAsAny'
 seLinux:
   rule: 'RunAsAny'
 supplementalGroups:
   rule: 'RunAsAny'
 fsGroup:
   rule: 'RunAsAny'
  1. 嚴格權限版本:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
 name: restricted
 annotations:
   seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default,runtime/default'
   apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
   apparmor.security.beta.kubernetes.io/defaultProfileName:  'runtime/default'
spec:
 privileged: false
 # Required to prevent escalations to root.
 allowPrivilegeEscalation: false
 requiredDropCapabilities:
   - ALL
 # Allow core volume types.
 volumes:
   - 'configMap'
   - 'emptyDir'
   - 'projected'
   - 'secret'
   - 'downwardAPI'
   # Assume that ephemeral CSI drivers & persistentVolumes set up by the cluster admin are safe to use.
   - 'csi'
   - 'persistentVolumeClaim'
   - 'ephemeral'
 hostNetwork: false
 hostIPC: false
 hostPID: false
 runAsUser:
   # Require the container to run without root privileges.
   rule: 'MustRunAsNonRoot'
 seLinux:
   # This policy assumes the nodes are using AppArmor rather than SELinux.
   rule: 'RunAsAny'
 supplementalGroups:
   rule: 'MustRunAs'
   ranges:
     # Forbid adding the root group.
     - min: 1
       max: 65535
 fsGroup:
   rule: 'MustRunAs'
   ranges:
     # Forbid adding the root group.
     - min: 1
       max: 65535
 readOnlyRootFilesystem: false

啟用 admission controller 插件

啟用 admission controller 的 psp 插件有兩種方式:

  1. 在已存在的集群中通過修改 apiserver 的靜態 manifest 文件,為 apiserver 增加啟動參數 enable-admission-plugins=PodSecurityPolicy。kubelet 會自動檢測到變更并重啟 apiserver。下面的示例使用 sed 對原有參數進行了替換:
$ sed -i 's/enable-admission-plugins=NodeRestriction/enable-admission-plugins=NodeRestriction,PodSecurityPolicy/' /etc/kubernetes/manifests/kube-apiserver.yaml
  1. 或者在初始化集群時,在 kubeadm 配置文件中添加額外參數。
apiVersion: kubeadm.k8s.io/v1beta2
kind: ClusterConfiguration
apiServer:
extraArgs:
enable-admission-plugins: "PodSecurityPolicy"

驗證 psp 的安全限制

我們在上文授權過的 security-test 命名空間進行測試,驗證 psp 對 pod 的限制條件。

首先確保在集群中應用了嚴格版本的 psp 資源,然后嘗試通過 deployment 創建一個需要使用 hostNetwork 的 pod:

apiVersion: apps/v1
kind: Deployment
metadata:
 name: nginx-hostnetwork
spec:
 selector:
   matchLabels:
     run: nginx
 template:
   metadata:
     labels:
       run: nginx
   spec:
     hostNetwork: true
     containers:
     - image: nginx
       imagePullPolicy: Always
       name: nginx-privileged

創建并查看結果:

$ kubectl create -f hostnetwork-pod.yaml -n security-test
deployment.apps/nginx-hostnetwork created
$ kubectl get deploy -n security-test nginx-hostnetwork
NAME                READY   UP-TO-DATE   AVAILABLE   AGE
nginx-hostnetwork   0/1     0            0           17s
$ kubectl -n security-test get event | grep "pod security policy"
103s        Warning   FailedCreate             deployment/nginx-hostnetwork                                Error creating: pods "nginx-hostnetwork-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used]

局限性

如果有 pod 違反了安全策略,解決方案是要么調整 pod 的規格,要么修改 pod 安全策略資源。psp 資源是全局生效的,不能針對不同的命名空間設置不同的安全策略級別,這是一個很明顯的局限性。

另外對 psp 的授權機制也比較復雜。如果沒有授權或者未創建安全策略,結果是所有 pod 被拒絕,這也導致在集群中默認開啟該功能的操作難度很大。

從 Kubernetes v1.21 開始,Pod Security Policy 將被棄用,并將在 v1.25 中刪除。Kubernetes 引入了 Pod Security Admission 作為其替代者,我們將在下文中詳細解析。

Pod Security Admission

為什么要替換 psp

KEP-2579[2] 詳細闡述了使用 Pod Security Admission 替代 Pod Security Policy 的三點主要理由:

  1. 將策略與用戶或 service account 綁定的模型削弱了安全性。
  2. 功能無法流暢切換,在沒有安全策略的情況下無法關閉。
  3. API 不一致且缺乏靈活性。

新的 Pod Security Admission 機制在易用性和靈活性上都有了很大提升,從使用角度有以下四點顯著不同:

  1. 可以在集群中默認開啟,只要不添加約束條件就不會觸發對 pod 的校驗。
  2. 只在命名空間級別生效,可以為不同命名空間通過添加標簽的方式設置不同的安全限制。
  3. 可以為特定的用戶、命名空間或者運行時設置豁免規則。
  4. 根據實踐預設了三種安全等級,不需要由用戶單獨去設置每一個安全條件。

工作方式

Pod Security Admission 將原來 Pod Security Policy 的安全條件劃分成三種預設的安全等級:

  • privileged: 不受限,向 pod 提供所有可用的權限。
  • baseline:最低限度的限制策略,防止已知的特權升級。
  • restricted:嚴格限制策略,遵循當前 Pod 加固的最佳實踐。

三種等級從寬松到嚴格遞增,各自包含了不同限度的安全條件[3],適用于不同的 pod 工作場景。此外還可以將安全等級設置為固定的 Kubernetes 版本,這樣即使集群升級到了新的版本且新版本的安全等級定義發生變化,依然可以按舊版本的安全條件對 pod 進行約束。

當 pod 與安全等級沖突時,我們可通過三種模式來選擇不同的處理方式:

  • enforce:只允許符合安全等級要求的 pod,拒絕與安全等級沖突的 pod。
  • audit:只將安全等級沖突記錄在集群 event 中,不會拒絕 pod。
  • warn:與安全等級沖突時會向用戶返回一個警告信息,但不會拒絕 pod。

audit 和 warn 模式是獨立的,如果同時需要兩者的功能必須分別設置兩種模式。

應用安全策略不再需要創建單獨的集群資源,只需要為命名空間設置控制標簽:

pod-security.kubernetes.io/<mode>: <level>
pod-security.kubernetes.io/<mode>-version: <version>

下文會有更完整的示例。

在舊版本啟用 psa

雖然 Pod Security Admission 是一個在 Kubernetes v1.22 引入的功能,但舊版本可以通過安裝 PodSecurity admission webhook 來啟用該功能,具體步驟如下:

$ git clone https://github.com/kubernetes/pod-security-admission.git
$ cd pod-security-admission/webhook
$ make certs
$ kubectl apply -k .

以上來自官方文檔的步驟在 v1.18.17 會有兩個兼容性問題,具體問題和解決方案如下:

  1. kubectl 內置的 kustomize 版本不支持 "replacements" 字段:
$ kubectl apply -k .
   error: json: unknown field "replacements"

 解決方案:安裝最新版本的 kusomize 然后在同一目錄執行

$ kustomize build . | kubectl apply -f -
  1. manifest/50-deployment.yaml 文件中定義的 Deployment.spec.template.spec.containers[0].securityContext 字段在 v1.19 版本才開始引入,因此 v1.18 需要將該字段修改為對應的 annotation 版本,詳見 Seccomp[4]:
error: error validating "STDIN": error validating data: ValidationError(Deployment.spec.template.spec.containers[0].securityContext): unknown field "seccompProfile" in io.k8s.api.core.v1.SecurityContext; if you choose to ignore these errors, turn validation off with --validate=false

驗證 psa 的安全限制

首先創建一個新的命名空間 psa-test 用于測試,并將其定義強制應用 baseline 安全等級,并對 restricted 等級進行警告和審計:

apiVersion: v1
kind: Namespace
metadata:
 name: psa-test
 labels:
   pod-security.kubernetes.io/enforce: baseline
   pod-security.kubernetes.io/enforce-version: v1.18
   # We are setting these to our _desired_ `enforce` level.
   pod-security.kubernetes.io/audit: restricted
   pod-security.kubernetes.io/audit-version: v1.18
   pod-security.kubernetes.io/warn: restricted
   pod-security.kubernetes.io/warn-version: v1.18

接著在該命名空間中創建上文示例中用過的 deployment:

$ kubectl create -f hostnetwork-pod.yaml -n psa-test
deployment.apps/nginx-hostnetwork created
$ kubectl get deploy -n psa-test nginx-hostnetwork
NAME                READY   UP-TO-DATE   AVAILABLE   AGE
nginx-hostnetwork   0/1     0            0           17s
$ kubectl -n psa-test get event | grep PodSecurity
104s        Warning   FailedCreate        replicaset/nginx-hostnetwork-644cdd6598   Error creating:

參考鏈接

責任編輯:龐桂玉 來源: 奇妙的Linux世界
KubernetespodLinux
相關推薦

2023-10-19 19:42:25

IstioPodkubernetes

2017-02-07 09:28:29

云安全策略云計算

2012-01-13 10:32:40

ibmdw

2014-08-05 09:50:20

2012-11-09 10:55:44

2011-03-23 10:58:52

2009-08-05 10:49:50

信息安全策略安全管理

2013-09-17 11:07:22

2015-09-02 10:21:55

2014-04-21 10:24:06

2020-02-02 09:23:44

軟件安全滲透測試信息安全

2011-01-24 13:51:46

信息安全策略安全管理

2019-07-22 13:11:39

網絡安全信息安全網絡威脅

2013-12-10 13:26:51

移動安全MDM

2011-10-13 12:42:18

2009-10-22 09:49:44

IT安全安全策略網絡安全

2010-05-05 15:38:31

Oracle安全策略

2012-01-11 13:15:32

移動設備安全策略

2022-05-10 10:09:12

KubernetesPod網絡抓包

2023-06-05 08:23:51

點贊
收藏

51CTO技術棧公眾號

日韩免费一级片| 亚洲精品在线免费看| 久久久久久久极品内射| 久久夜色电影| 色悠悠久久综合| 日韩电影免费观看高清完整| 国产一区二区三区在线观看| 亚洲激情婷婷| 最新国产精品拍自在线播放| 精人妻一区二区三区| 伊人网在线播放| 国产精品高潮呻吟| 国产欧美日韩亚洲| 一级片免费网站| 亚洲欧美网站| 欧美大胆a视频| 公肉吊粗大爽色翁浪妇视频| 日韩欧美中文字幕一区二区三区| 日本韩国精品在线| 男女裸体影院高潮| 自拍视频在线网| 大陆成人av片| 成人黄色片在线| 亚洲图片在线视频| 欧美日一区二区在线观看| 亚洲片在线观看| 国产精品一区二区无码对白| 日日狠狠久久| 色欧美片视频在线观看| 日韩精品一区二区免费| 蜜芽在线免费观看| 久久久精品影视| 国产伦精品一区二区三区免 | 精品久久久久久一区二区里番| 日本在线播放视频| 欧美成人精品| 在线观看免费高清视频97| 日本久久久久久久久久| 99tv成人影院| 欧美三级三级三级爽爽爽| 无码播放一区二区三区| 国产理论电影在线| 亚洲欧美日韩电影| 中国一区二区三区| 在线激情网站| 国产精品久久久久婷婷| 天天综合狠狠精品| 九一在线视频| 国产亚洲欧美色| 欧美在线播放一区二区| 免费在线观看一级毛片| 久久综合久久久久88| 久久波多野结衣| 亚洲日本国产精品| 不卡一区在线观看| 九九九九精品九九九九| 手机看片国产1024| aaa欧美色吧激情视频| 国产一区二区三区色淫影院| 日本wwwxxxx| 91在线观看地址| 就去色蜜桃综合| 蜜芽tv福利在线视频| 国产亚洲欧美一区在线观看| 神马影院我不卡午夜| av在线之家电影网站| 国产精品乱码一区二三区小蝌蚪| 亚洲无玛一区| 免费网站免费进入在线| 亚洲男同1069视频| 成人免费性视频| 欧美办公室脚交xxxx| 欧美午夜影院在线视频| 三级在线视频观看| 亚洲我射av| 精品美女被调教视频大全网站| 欧美xxxxx少妇| 亚洲素人在线| 中文字幕日韩av| 波多野结衣家庭教师| 极品日韩av| 日韩av片电影专区| 91福利在线观看视频| 国产成人午夜精品5599| 精品国产_亚洲人成在线| 免费a在线观看| 亚洲蜜臀av乱码久久精品| 黄色成人在线看| 电影天堂国产精品| 日韩午夜在线播放| 亚洲人人夜夜澡人人爽| 日韩视频在线观看| 高清欧美性猛交| 亚洲精品91天天久久人人| 九九九久久久精品| 精品国产一区二区三区麻豆小说 | 亚洲欧美一区二区在线观看| 免费看黄在线看| 欧美一级二级视频| 日韩精品一区二区三区视频在线观看| 亚洲一区二区乱码| 天堂美国久久| 奇米4444一区二区三区| 97超碰资源站| 久久综合九色欧美综合狠狠| 亚洲第一综合网站| 深夜av在线| 日韩一级免费观看| 欧洲美熟女乱又伦| 精品91在线| 成人av在线网址| 男人av在线| 亚洲动漫第一页| 一级黄色片国产| 久久99视频| 国产+人+亚洲| 国产999久久久| 中文字幕av一区二区三区免费看| 日韩国产一级片| 久久影院一区二区三区| 中文字幕成人精品久久不卡| 欧美三日本三级少妇99| 国产成人精品影视| 最新不卡av| 国产一区一一区高清不卡| 亚洲精品国产精品自产a区红杏吧| 欧美视频一区二区在线| 日韩av一二三| 欧洲高清一区二区| 小视频免费在线观看| 亚洲电影免费观看高清完整版在线观看 | 亚洲成人一级片| 国产精品白丝在线| 男女无套免费视频网站动漫| 影视先锋久久| 欧美一区二区三区……| 日韩中文字幕免费观看| 一个色在线综合| 古装做爰无遮挡三级聊斋艳谭| 日韩精品久久久久久久电影99爱| 日产精品99久久久久久| 日韩一区av| 欧美日韩精品在线| www.日本高清| 亚洲伦理精品| 九九九九久久久久| 亚洲优女在线| 亚洲欧美中文日韩在线v日本| 偷偷操不一样的久久| 成人av片在线观看| 人妻无码久久一区二区三区免费| 国产精品45p| 国产最新精品视频| 偷拍自拍在线视频| 日韩欧美一区二区三区久久| 美女100%无挡| 日韩影院免费视频| 亚洲一区不卡在线| 欧洲亚洲精品| 欧美成人免费网| 动漫av一区二区三区| 亚洲不卡av一区二区三区| 2一3sex性hd| 亚久久调教视频| 日本一区二区久久精品| 免费成人黄色网| 免费成人高清视频| 丰满人妻一区二区三区无码av| 一区二区三区精品视频在线| 中文字幕a在线观看| 欧美一级播放| 亚洲精品成人a8198a| 中文字幕日韩亚洲| 欧美精品第一页在线播放| 午夜一区在线观看| 在线精品国精品国产尤物884a| 免费看的黄色录像| 国产成人精品一区二区三区网站观看| 日韩av三级在线| 欧美日韩伦理| 亚洲影院色无极综合| 蜜桃视频在线观看免费视频| 伊人久久久久久久久久久| 国产精品久久久久久69| 午夜精品一区二区三区免费视频| 91视频在线网站| 激情六月婷婷久久| heyzo亚洲| 大胆日韩av| 国产福利久久| 99只有精品| 国内精品久久久久久中文字幕| 久久伊伊香蕉| 欧美v亚洲v综合ⅴ国产v| 亚洲日本视频在线观看| 亚洲私人影院在线观看| 在线观看国产免费视频| 麻豆国产一区二区| 免费看国产曰批40分钟| 91一区二区| 免费一区二区三区在在线视频| 在线观看亚洲精品福利片| 欧美中文字幕视频在线观看| 久草中文在线观看| 亚洲图片制服诱惑| 亚洲经典一区二区三区| 欧美三级在线视频| 日本在线小视频| 综合久久国产九一剧情麻豆| aaaaa一级片| 国产成人啪午夜精品网站男同| 国内自拍视频一区| 日韩一级不卡| 国产内射老熟女aaaa| 精品久久一区| 久久久久久国产精品mv| 亚洲精品v亚洲精品v日韩精品| 国产精品久久久久久久7电影| 爱情岛亚洲播放路线| 久久五月情影视| av网站无病毒在线| 精品视频www| 欧美在线 | 亚洲| 日韩三级电影网址| 一区二区三区亚洲视频| 在线亚洲免费视频| 黄色在线观看国产| 午夜国产不卡在线观看视频| 国产高清在线免费观看| 自拍偷拍欧美精品| 波多野结衣家庭教师在线观看| 91亚洲精品久久久蜜桃网站| 人妻 丝袜美腿 中文字幕| 国产一区999| 久久久久久久久久一区二区| 丝袜脚交一区二区| 男人舔女人下面高潮视频| 国产欧美高清| 霍思燕三级露全乳照| 影音先锋久久| 国产自产在线视频| 激情久久一区| r级无码视频在线观看| 狠狠入ady亚洲精品| 4444亚洲人成无码网在线观看| 在线国产一区| 成人午夜视频免费观看| 欧美在线看片| 亚洲熟妇无码av在线播放| 欧美日本亚洲韩国国产| www.国产在线视频| 激情一区二区| 免费看一级大黄情大片| 亚洲欧美清纯在线制服| 激情网站五月天| 免费看欧美女人艹b| 中文字幕永久有效| 国产精品原创巨作av| 亚洲精品无码久久久久久久| 国产成人自拍高清视频在线免费播放| 色综合久久久无码中文字幕波多| 国产成人免费视频一区| 亚洲天堂2024| 91老师片黄在线观看| 一色道久久88加勒比一| 国产精品情趣视频| 男女做暖暖视频| 亚洲第一搞黄网站| www.国产一区二区| 欧美日韩精品三区| 亚洲精品网站在线| 日韩精品免费一线在线观看| 国产小视频福利在线| www.日韩视频| ****av在线网毛片| 国产成人精品久久久| 先锋影音一区二区| 成人在线视频网址| 蜜桃一区二区三区| 欧美h视频在线观看| 亚洲二区在线| 国产aaaaa毛片| 高清在线成人网| 一区二区精品免费| 亚洲美女淫视频| www.中文字幕在线观看| 欧美精品亚洲二区| 污污视频在线观看网站| 中文国产亚洲喷潮| 不卡av免费观看| 国产精品视频永久免费播放| 亚洲精品一二三**| 日本不卡二区| 国内久久视频| 中文字幕网av| av一区二区不卡| 人人澡人人澡人人看| 婷婷综合在线观看| 一级特黄aaa大片| 亚洲精品美女久久久久| 麻豆av在线免费看| 日本免费在线精品| 2020国产精品极品色在线观看| 日韩福利视频| 99精品国产在热久久下载| 香蕉视频999| 久久在线免费观看| 久久亚洲AV无码| 欧美一a一片一级一片| 天天综合天天综合| 欧美成人激情在线| 国产黄色精品| 欧美午夜精品理论片a级大开眼界| 在线看片不卡| 中文字幕亚洲乱码| 久久新电视剧免费观看| 伊人365影院| 欧美一级久久久| 欧美日韩视频在线播放| 国产成人综合av| 日韩大片在线免费观看| 台湾无码一区二区| 国产美女一区二区| 2017亚洲天堂| 在线观看日韩电影| 欧美偷拍视频| 欧洲精品毛片网站| 极品国产人妖chinesets亚洲人妖| 潘金莲一级淫片aaaaa免费看| 日韩在线a电影| 亚洲综合欧美综合| 色88888久久久久久影院按摩| 色网站在线免费观看| 久久久久久久久国产精品| 天堂av一区| 蜜桃网站在线观看| 国产麻豆一精品一av一免费| 国产第一页浮力| 欧美美女网站色| 好吊日视频在线观看| 亚洲va欧美va在线观看| 婷婷亚洲最大| 亚洲在线观看网站| 亚洲日本护士毛茸茸| av老司机久久| 欧美黄网免费在线观看| 高清一区二区三区| 777av视频| 91女神在线视频| 台湾佬中文在线| 一区二区亚洲精品国产| 成人国产一区| 日日噜噜噜夜夜爽爽| 国内久久婷婷综合| 久久人人爽人人爽人人| 亚洲成人精品久久| 男人av在线播放| 欧美大香线蕉线伊人久久| 久久婷婷激情| 亚洲精品国产精品国自| 欧美剧在线免费观看网站 | 久久久久xxxx| 一区二区三区欧美亚洲| 日韩一卡二卡在线| 2019av中文字幕| 成人精品天堂一区二区三区| xxxx在线免费观看| 一区二区成人在线视频| 污视频在线免费观看| 国产精品视频久久久久| 亚洲国产精品久久久天堂| 亚洲色偷偷色噜噜狠狠99网| 日韩欧美国产一区二区| 免费**毛片在线| 国产精品久久久对白| 视频一区二区国产| 婷婷社区五月天| 日韩av影视在线| 国产精品美女午夜爽爽| 大荫蒂性生交片| 久久久久国色av免费看影院| 国产精品国产一区二区三区四区 | 四虎成人精品一区二区免费网站| 不卡中文字幕在线| 91美女精品福利| 一级成人免费视频| 午夜精品www| 色喇叭免费久久综合| 国产精品久久久久久在线观看| 91成人免费在线视频| 麻豆av在线播放| 色姑娘综合av| 成人v精品蜜桃久久一区| 国产一级片免费视频| 色综合视频一区中文字幕| 精品毛片免费观看| 精品人妻在线视频| 欧美揉bbbbb揉bbbbb| 51av在线| 男女h黄动漫啪啪无遮挡软件|