版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
云原生安全基础与最佳实践云原生安全概览1.云原生技术简介云原生技术(CloudNativeTechnology)是一种构建和运行应用程序的方法,它充分利用了云计算的弹性、可扩展性和多租户特性。云原生的核心技术包括容器、微服务、不可变基础设施和声明式API。这些技术共同推动了敏捷开发、持续集成和持续部署(CI/CD)的实践,使得开发团队能够快速迭代和部署应用。1.1容器容器技术,如Docker,提供了轻量级的虚拟化,允许应用及其依赖项被打包在一起,形成一个可移植的单元。这不仅简化了部署过程,还确保了应用在任何环境中都能一致地运行。#示例:构建一个Docker镜像
dockerbuild-tmy-app:latest.
#运行Docker容器
dockerrun-d-p8080:80my-app:latest1.2微服务微服务架构将应用分解为一组小的、独立的服务,每个服务运行在自己的进程中,并通过轻量级通信机制(通常是HTTP/REST或消息队列)进行交互。这种架构提高了应用的可维护性和可扩展性,但也增加了安全和管理的复杂性。1.3不可变基础设施不可变基础设施意味着一旦部署,基础设施(如服务器、虚拟机或容器)就不会被更改。任何更改都通过创建新的基础设施实例来实现,这有助于减少配置漂移和提高安全性。1.4声明式API声明式API允许开发者描述他们想要的系统状态,而不是如何达到该状态。Kubernetes就是一个典型的例子,它通过YAML或JSON文件描述集群的状态,然后自动调整集群以达到该状态。#示例:KubernetesDeployment配置
apiVersion:apps/v1
kind:Deployment
metadata:
name:my-app
spec:
replicas:3
selector:
matchLabels:
app:my-app
template:
metadata:
labels:
app:my-app
spec:
containers:
-name:my-app
image:my-app:latest
ports:
-containerPort:802.云原生安全挑战云原生环境的动态性和分布式特性带来了独特的安全挑战。以下是一些主要的安全问题:2.1身份和访问管理在云原生环境中,服务、容器和微服务之间的身份验证和授权变得复杂。使用如OAuth2、OpenIDConnect和JWT等标准协议来管理身份和访问是常见的做法。2.2网络安全由于微服务架构的广泛使用,内部服务之间的通信安全变得至关重要。网络策略(NetworkPolicies)和服务网格(ServiceMesh)技术,如Istio,可以帮助控制和保护服务间的通信。#示例:KubernetesNetworkPolicy配置
apiVersion:networking.k8s.io/v1
kind:NetworkPolicy
metadata:
name:allow-traffic-to-web
spec:
podSelector:
matchLabels:
app:web
policyTypes:
-Ingress
ingress:
-from:
-podSelector:
matchLabels:
app:db
ports:
-protocol:TCP
port:802.3数据安全数据在云原生环境中可能存储在多个位置,包括数据库、缓存和日志。加密、访问控制和数据生命周期管理是保护数据的关键策略。2.4安全性和合规性云原生应用需要遵守各种安全标准和合规要求,如PCI-DSS、HIPAA和GDPR。这要求在设计和部署应用时考虑到数据保护、隐私和审计。3.云原生安全原则为了应对上述挑战,云原生安全遵循以下原则:3.1最小权限原则每个服务、容器或用户都应仅具有完成其任务所需的最小权限。这减少了潜在的安全风险和攻击面。3.2安全左移将安全测试和策略集成到开发流程的早期阶段,确保安全是开发过程的一部分,而不是事后考虑。3.3自动化和标准化使用自动化工具和标准化的配置来管理安全策略,减少人为错误和提高一致性。3.4可观测性和审计确保应用和基础设施的可观测性,以便能够监控安全事件并进行审计。日志、监控和警报是实现这一目标的关键工具。3.5持续集成和持续部署中的安全在CI/CD流程中集成安全测试和策略,确保每次部署都是安全的。这包括代码扫描、依赖项检查和配置合规性测试。通过遵循这些原则,组织可以构建和维护安全的云原生应用,同时保持敏捷性和创新速度。容器安全基础4.容器安全概览容器技术,如Docker,提供了轻量级、可移植的环境,使得应用可以在任何地方运行,从开发者的笔记本电脑到生产环境的服务器。然而,容器的广泛使用也带来了新的安全挑战。容器安全基础涵盖了从镜像构建、存储、运行到网络和存储的多个方面,确保容器环境的安全性。4.1容器安全的关键点镜像安全:确保容器镜像没有已知的漏洞或恶意软件。运行时安全:在容器运行时实施安全策略,防止未授权访问和恶意活动。网络隔离:通过网络策略限制容器之间的通信,减少攻击面。存储安全:保护容器使用的存储资源,防止数据泄露。5.镜像安全与扫描5.1镜像构建安全在构建容器镜像时,应遵循最小化原则,只包含运行应用所必需的组件,避免不必要的软件包,减少潜在的攻击面。使用官方的基础镜像,并定期更新以获取最新的安全补丁。示例:Dockerfile构建安全镜像#使用官方基础镜像
FROMpython:3.8-slim
#设置工作目录
WORKDIR/app
#复制应用代码
COPY..
#安装必要的软件包
RUNapt-getupdate&&apt-getinstall-y\
build-essential\
libssl-dev\
libffi-dev\
python3-dev
#清理缓存
RUNapt-getclean&&rm-rf/var/lib/apt/lists/*
#设置环境变量
ENVPYTHONUNBUFFERED=1
#定义运行命令
CMD["python","app.py"]5.2镜像扫描使用镜像扫描工具,如Clair、Trivy或DockerHub的自动扫描功能,定期检查容器镜像中的漏洞。这有助于识别并修复镜像中的已知安全问题。示例:使用Trivy扫描Docker镜像#安装Trivy
curl-L/aquasecurity/trivy/releases/download/v0.31.0/trivy_0.31.0_Linux-64bit.tar.gz|tarxz-C/usr/local/bintrivy
#扫描Docker镜像
trivyimagemy-image:latest6.运行时安全策略6.1安全上下文在运行容器时,可以使用安全上下文(SecurityContext)来限制容器的权限,例如,禁用root用户运行、限制文件系统访问等。示例:Docker运行时安全上下文#使用非root用户运行容器
dockerrun-u1000:1000my-image:latest
#限制容器的文件系统访问
dockerrun--read-onlymy-image:latest6.2网络策略通过定义网络策略,可以控制容器之间的网络通信,限制容器只能与特定的服务或端口通信,增强网络隔离。示例:Kubernetes网络策略apiVersion:networking.k8s.io/v1
kind:NetworkPolicy
metadata:
name:allow-internal-traffic
spec:
podSelector:{}
policyTypes:
-Ingress
-Egress
ingress:
-from:
-podSelector:{}
ports:
-protocol:TCP
port:806.3存储策略确保容器使用的存储卷是安全的,避免敏感数据直接暴露在容器中。使用加密的存储卷和访问控制策略。示例:Kubernetes存储卷安全apiVersion:v1
kind:Pod
metadata:
name:my-pod
spec:
containers:
-name:my-container
image:my-image:latest
volumeMounts:
-mountPath:"/data"
name:my-volume
volumes:
-name:my-volume
persistentVolumeClaim:
claimName:my-pvc6.4安全工具使用安全工具,如Falco、SysdigSecure等,监控容器运行时的行为,检测异常活动并及时响应。示例:Falco配置文件-rule:Suspiciousexecincontainer
desc:Detectssuspiciousexeccallsincontainers
condition:execve(event.argv[0]=="/bin/sh")
output:"Suspiciousexecincontainer:%%%proc.cmdline%"
priority:NOTICE7.总结容器安全是云原生架构中不可或缺的一部分,通过镜像安全、运行时安全策略、网络隔离和存储安全的综合应用,可以有效提升容器环境的安全性。遵循最佳实践,使用安全工具,定期进行安全审计,是维护容器安全的关键。Kubernetes安全基础与最佳实践8.Kubernetes安全基础Kubernetes作为容器编排的主流平台,其安全性是构建云原生应用的关键。Kubernetes的安全机制覆盖了多个层面,包括网络、身份验证、授权等,确保了应用在云环境中的安全运行。8.1网络安全Kubernetes通过网络策略(NetworkPolicies)来控制Pod之间的网络访问,实现网络隔离。网络策略定义了Pod可以接收哪些来源的流量,以及Pod可以向哪些目的地发送流量。示例:定义网络策略apiVersion:networking.k8s.io/v1
kind:NetworkPolicy
metadata:
name:allow-internal
spec:
podSelector:
matchLabels:
app:myapp
policyTypes:
-Ingress
-Egress
ingress:
-from:
-podSelector:
matchLabels:
app:myapp-db
ports:
-protocol:TCP
port:3306
egress:
-to:
-podSelector:
matchLabels:
app:myapp-cache
ports:
-protocol:TCP
port:6379此示例中,allow-internal策略允许标记为myapp的Pod接收来自标记为myapp-db的Pod的3306端口的TCP流量,并允许myapp的Pod向标记为myapp-cache的Pod发送6379端口的TCP流量。8.2身份验证与授权Kubernetes提供了多种身份验证和授权机制,确保只有授权的用户和系统组件可以访问集群资源。身份验证Kubernetes支持多种身份验证方式,包括基于证书的认证、基于token的认证、基于用户名/密码的认证等。授权Kubernetes的授权机制基于角色(Role)和角色绑定(RoleBinding)。通过定义角色和角色绑定,可以控制用户或服务账户对特定资源的访问权限。示例:定义角色和角色绑定#定义角色
apiVersion:rbac.authorization.k8s.io/v1
kind:Role
metadata:
namespace:default
name:pod-reader
rules:
-apiGroups:[""]#""indicatesthecoreAPIgroup
resources:["pods"]
verbs:["get","watch","list"]
#定义角色绑定
apiVersion:rbac.authorization.k8s.io/v1
kind:RoleBinding
metadata:
name:pod-reader-binding
subjects:
-kind:ServiceAccount
name:default
apiGroup:""
roleRef:
kind:Role
name:pod-reader
apiGroup:rbac.authorization.k8s.io在上述示例中,pod-reader角色允许对pods资源进行get、watch和list操作,而pod-reader-binding则将此角色绑定到默认的服务账户,使得该服务账户具有读取Pod的权限。9.网络策略与隔离网络策略是Kubernetes中用于控制网络流量的重要工具,通过定义网络策略,可以实现Pod级别的网络隔离,增强应用的安全性。9.1网络策略的实现网络策略的实现依赖于底层的网络插件,如Calico、Flannel等,这些插件提供了对网络策略的支持,使得Pod之间的网络访问控制得以实现。9.2示例:使用Calico实现网络隔离apiVersion:/v3
kind:NetworkPolicy
metadata:
name:allow-internal
spec:
selector:app=='myapp'
types:
-Ingress
-Egress
ingress:
-source:
selector:app=='myapp-db'
protocol:TCP
ports:
-3306
egress:
-destination:
selector:app=='myapp-cache'
protocol:TCP
ports:
-6379此示例使用Calico网络策略,与Kubernetes原生网络策略类似,但提供了更细粒度的控制和更丰富的功能。10.身份验证与授权Kubernetes的身份验证和授权机制是确保集群安全的关键。通过正确的配置,可以防止未授权的访问和操作。10.1身份验证的配置身份验证的配置通常在Kubernetes的APIServer中进行,可以通过修改apiserver的配置文件来添加或修改身份验证方式。10.2授权的配置授权的配置则通过定义角色和角色绑定来实现,可以针对不同的用户或服务账户定义不同的访问权限。10.3示例:使用RBAC进行授权#创建服务账户
kubectlcreateserviceaccountmyapp-sa
#将角色绑定到服务账户
kubectlcreaterolebindingmyapp-sa-binding--clusterrole=pod-reader--serviceaccount=default:myapp-sa在本示例中,首先创建了一个名为myapp-sa的服务账户,然后通过rolebinding将pod-reader角色绑定到该服务账户,使得myapp-sa具有读取Pod的权限。通过上述示例和讲解,我们了解了Kubernetes中网络策略、身份验证和授权的基本原理和配置方法,这对于构建安全的云原生应用至关重要。微服务安全11.微服务架构安全微服务架构通过将应用程序分解为一组小型、独立的服务,每个服务执行特定的业务功能,从而提高了系统的可扩展性和灵活性。然而,这种架构也引入了新的安全挑战,包括服务间通信的安全、数据保护、身份验证和授权、以及API的安全性。为了确保微服务架构的安全,以下是一些关键的实践:服务边界清晰化:每个微服务应该有明确的边界,只暴露必要的API,并且这些API应该受到保护,防止未经授权的访问。使用API网关:API网关作为微服务架构的入口点,可以集中处理安全策略,如身份验证、授权和加密。服务间通信安全:微服务之间的通信应该加密,使用如TLS/SSL来保护数据在传输过程中的安全。持续集成与持续部署(CI/CD)中的安全测试:在开发流程中集成安全测试,确保每个微服务在部署前都经过安全检查。11.1示例:使用OAuth2进行身份验证假设我们有一个微服务架构,其中包含用户服务和订单服务。用户服务负责处理用户登录和身份验证,而订单服务则处理与订单相关的操作。为了确保订单服务只接受经过身份验证的请求,我们可以使用OAuth2协议。#用户服务代码示例
fromflaskimportFlask,request
fromflask_viderimportOAuth2Provider
app=Flask(__name__)
oauth=OAuth2Provider(app)
#假设这是我们的用户数据库
users={
"alice":{"password":"wonderland","scopes":["order"]},
"bob":{"password":"builder","scopes":["user"]}
}
#OAuth2授权处理
@oauth.token_handler
defaccess_token(token_request):
username=token_request.username
password=token_request.password
ifusernameinusersandusers[username]["password"]==password:
return{"access_token":"123456","expires_in":3600,"scope":users[username]["scopes"]}
returnNone
#订单服务代码示例
fromflaskimportFlask
fromflask_httpauthimportHTTPBasicAuth,HTTPTokenAuth
app=Flask(__name__)
basic_auth=HTTPBasicAuth()
token_auth=HTTPTokenAuth()
#使用OAuth2令牌进行身份验证
@token_auth.verify_token
defverify_token(token):
#假设这是从用户服务获取的验证逻辑
iftoken=="123456":
return"alice"
returnNone
@app.route('/orders')
@token_auth.login_required
defget_orders():
return"Ordersforuser:%s"%token_auth.current_user()在这个例子中,用户服务使用OAuth2协议生成访问令牌,而订单服务则使用这些令牌来验证请求的来源。这确保了只有经过身份验证的用户才能访问订单服务。12.API网关与安全API网关是微服务架构中的一个关键组件,它作为所有客户端请求的单一入口点。API网关不仅可以路由请求到正确的微服务,还可以执行安全策略,如身份验证、授权和请求过滤。通过将安全逻辑集中到API网关,可以减少每个微服务的安全负担,简化安全策略的管理和实施。12.1示例:使用API网关进行请求过滤假设我们使用Kong作为API网关,它可以配置插件来过滤请求。例如,我们可以配置一个插件来阻止包含敏感词汇的请求。#Kong插件配置示例
plugins:
-name:request-size-limiting
config:
max_body_size:1024
max_header_size:1024
-name:key-auth
config:
hide_credentials:true
-name:rate-limiting
config:
second:100
minute:1000
hour:10000
policy:local
identifier:"$remote_addr"
-name:cors
config:
origins:"*"
methods:GET,HEAD,POST,PUT,PATCH,DELETE
headers:Origin,X-Requested-With,Content-Type,Accept
credentials:true
max_age:86400
allow_headers:X-Auth-Token,X-Other-Header
expose_headers:X-Pagination在这个配置中,request-size-limiting插件限制了请求的大小,key-auth插件要求客户端使用API密钥进行身份验证,rate-limiting插件限制了客户端的请求速率,而cors插件则处理跨域资源共享。13.服务间通信安全在微服务架构中,服务间通信的安全性至关重要。数据在服务之间传输时,可能会被截获或篡改。为了保护服务间通信,可以采用以下策略:使用TLS/SSL加密:确保所有服务间通信都通过加密通道进行,防止数据在传输过程中被窃听。服务间身份验证:使用如JWT(JSONWebTokens)或OAuth2等机制,确保服务之间的请求是来自可信的来源。API版本控制:通过版本控制API,可以确保服务间通信的兼容性和安全性,避免因API更新而导致的安全漏洞。13.1示例:使用TLS/SSL加密服务间通信在微服务之间使用TLS/SSL加密通信,可以确保数据的安全传输。以下是一个使用Nginx作为反向代理,配置TLS/SSL的示例。#Nginx配置示例
server{
listen443ssl;
server_name;
ssl_certificate/etc/nginx/ssl/example.crt;
ssl_certificate_key/etc/nginx/ssl/example.key;
location/{
proxy_passhttps://microservice1:8080;
proxy_ssl_server_nameon;
proxy_ssl_verifyon;
proxy_ssl_trusted_certificate/etc/nginx/ssl/ca.crt;
}
}在这个配置中,Nginx监听443端口,并使用TLS/SSL证书进行加密。所有请求都被代理到microservice1,并且使用TLS/SSL进行服务间通信,确保了数据的安全传输。通过遵循这些实践,可以构建一个安全的微服务架构,保护数据和应用程序免受潜在的威胁。云原生安全最佳实践14.持续集成与持续部署的安全14.1原理与内容持续集成(ContinuousIntegration,CI)和持续部署(ContinuousDeployment,CD)是现代软件开发流程中的关键组成部分,旨在频繁地将代码集成到共享的主干中,并自动进行构建、测试和部署。在云原生环境中,CI/CD的安全性尤为重要,因为云环境的动态性和开放性增加了安全风险。以下是一些关键的安全实践:代码审查与扫描:在代码提交到主干之前,进行代码审查和安全扫描,以检测潜在的安全漏洞。使用静态代码分析工具,如SonarQube或Snyk,可以在早期阶段发现并修复问题。环境隔离:确保开发、测试和生产环境相互隔离,避免开发或测试环境中的问题影响生产环境。使用Kubernetes的命名空间或AWS的VPCs可以实现环境的隔离。最小权限原则:为CI/CD系统中的服务账户和用户分配最小必要的权限,以减少潜在的安全风险。例如,在Kubernetes中,可以使用RBAC(Role-BasedAccessControl)来限制访问。加密敏感信息:在CI/CD流程中,敏感信息如数据库密码、API密钥等应加密存储,避免在代码或配置文件中明文出现。使用如Vault或KubernetesSecrets等工具来管理敏感信息。安全测试:集成安全测试到CI/CD流程中,包括单元测试、集成测试和端到端测试,确保应用在不同阶段的安全性。监控与审计:持续监控CI/CD流程中的活动,记录所有操作,以便于审计和问题追踪。使用Prometheus和Grafana等工具进行监控,以及使用AuditLogs进行审计。14.2示例:使用GitHubActions进行安全扫描#.github/workflows/security-scan.yml
name:SecurityScan
on:
push:
branches:[main]
pull_request:
branches:[main]
jobs:
security-scan:
runs-on:ubuntu-latest
steps:
-uses:actions/checkout@v2
-name:RunSnyktocheckforvulnerabilities
uses:snyk/actions/setup@master
with:
command:test
env:
SNYK_TOKEN:${{secrets.SNYK_TOKEN}}在这个GitHubActions的工作流程中,每当代码被推送到main分支或有新的pullrequest时,Snyk工具将自动运行,检查代码库中的依赖项是否存在已知的安全漏洞。SNYK_TOKEN是一个存储在GitHubSecrets中的敏感信息,用于Snyk的认证。15.基础设施即代码的安全15.1原理与内容基础设施即代码(InfrastructureasCode,IaC)是一种实践,通过代码来定义和管理基础设施,如网络、服务器、存储等。这使得基础设施可以像软件一样进行版本控制、自动化测试和部署。在云原生环境中,IaC的安全实践包括:使用版本控制:将IaC代码存储在版本控制系统中,如Git,以便于追踪变更和协作。代码审查:对IaC代码进行代码审查,确保其符合安全标准和最佳实践。自动化测试:编写测试用例,自动化测试IaC代码,确保其正确性和安全性。使用如Terraform的terraformplan命令来预览变更,避免意外的配置修改。合规性检查:使用工具如InSpec或ChefCompliance来检查IaC代码是否符合安全合规性要求,如PCI-DSS或HIPAA。最小化资源暴露:在IaC代码中,避免不必要的资源暴露,如公开的端口或存储桶。使用安全的默认设置,如限制访问权限。动态配置:敏感信息如数据库连接字符串或API密钥,应通过环境变量或配置管理工具动态注入,而不是硬编码在IaC代码中。15.2示例:使用Terraform进行安全合规性检查#main.tf
provider"aws"{
region="us-west-2"
}
resource"aws_security_group""example"{
name="example"
description="AllowonlyHTTPStraffic"
ingress{
from_port=443
to_port=443
protocol="tcp"
cidr_blocks=["/0"]
}
}在这个Terraform示例中,我们定义了一个AWS安全组,只允许HTTPS流量通过。然而,cidr_blocks=["/0"]意味着任何IP地址都可以访问,这可能不符合安全最佳实践。为了确保安全,我们可以修改为:#main.tf
resource"aws_security_group""example"{
name="example"
description="AllowonlyHTTPStrafficfromspecificIPranges"
ingress{
from_port=443
to_port=443
protocol="tcp"
cidr_blocks=["/24","/16"]
}
}在这个修改后的示例中,我们限制了安全组的访问,只允许特定的IP范围通过HTTPS端口,从而提高了安全性。16.零信任安全模型16.1原理与内容零信任(ZeroTrust)安全模型是一种安全架构,其核心理念是“永不信任,始终验证”。在云原生环境中,零信任模型通过以下方式实现:身份验证与授权:对所有用户和设备进行严格的身份验证和授权,无论其位于企业网络内部还是外部。微分段:将网络和应用分割成更小的、隔离的区域,限制横向移动的可能性。持续监控:持续监控所有网络活动和用户行为,以检测异常并及时响应。最小权限原则:为用户和应用分配最小必要的权限,以减少潜在的攻击面。加密通信:确保所有数据通信都经过加密,即使在内部网络中也是如此。动态访问控制:基于实时的风险评估和上下文信息,动态调整访问控制策略。16.2示例:使用Istio实现微分段apiVersion:networking.istio.io/v1alpha3
kind:DestinationRule
metadata:
name:example-destination
spec:
host:example-service.example.svc.cluster.local
trafficPolicy:
tls:
mode:ISTIO_MUTUAL
---
apiVersion:networking.istio.io/v1alpha3
kind:VirtualService
metadata:
name:example-virtual-service
spec:
hosts:
-example-service.example.svc.cluster.local
gateways:
-example-gateway
http:
-match:
-sourceLabels:
team:"finance"
route:
-destination:
host:example-service.example.svc.cluster.local
subset:"finance"在这个Istio示例中,我们定义了一个DestinationRule,它指定了与example-service通信时的TLS策略,确保所有通信都经过加密。同时,我们使用VirtualService来实现基于团队的访问控制,只有finance团队的请求才能路由到finance子集的服务实例,从而实现了微分段和最小权限原则。通过这些云原生安全的最佳实践,可以显著提高应用和服务的安全性,减少潜在的安全风险。云原生安全工具与框架17.安全工具概览在云原生环境中,安全工具扮演着至关重要的角色,它们帮助我们检测、预防和响应安全威胁。以
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024销售公司劳动合同
- 2024煤矿承包合同,煤矿工程承包合同范本
- 促进班级文化建设的方案计划
- 股票配售合同三篇
- 2024年秋季学期新教科版物理八年级上册课件 第5章 物态变化 3 汽化和液化
- 2024年秋季学期新冀教版物理八年级上册课件 第二章 几何图形的初步认识 2.4 线段的和与差
- 中小学教材供应合同
- 河南省南阳市宛城区九年级下2023-2024学年中考数学适应性模拟试题含解析
- 运输合同范文运输合同范本2024年
- 建设工程施工合同示例2024年
- 2024二十届三中全会知识竞赛题库及答案
- 2024~2025学年中考数学重难创新题 与三角形有关的证明与计算含答案
- 8队淘汰赛-对阵表
- 《初级会计》考试试题及答案
- JT-T-617.7-2018危险货物道路运输规则第7部分:运输条件及作业要求
- 第十课《让心情好起来》(教案)华师大版心理健康四年级下册
- 2024公安校园欺凌课件
- 中国高端医疗保险行业市场运行态势、市场规模及发展趋势研究报告
- 2024年全国高中数学联赛试题(及答案)
- 水墨风阅读古典小说水浒传课程PPT专题课件
- 班级卫生管理心得4篇
评论
0/150
提交评论