默认排除项（ KSPM

csi-azuredisk-node

DaemonSet

kube-system

全部

此排除规则适用于Azure Kubernetes Service (AKS)中 kube-system 命名空间的核心DaemonSet，例如CSI驱动、 kube-proxy 以及监控代理如 omsagent 。这些组件对平台的存储、网络和遥测功能至关重要。

csi-azurefile-node

DaemonSet

kube-system

全部

csi-azurefile-node-win

DaemonSet

kube-system

全部

kube-proxy

DaemonSet

kube-system

全部

omsagent

DaemonSet

kube-system

全部

omsagent-win

DaemonSet

kube-system

全部

coredns

部署

kube-system

全部

此排除项涵盖AKS中 kube-system 命名空间内的关键系统部署和守护进程集，例如 coredns , metrics-server 以及云平台特定代理。这些组件对于DNS解析、指标收集和节点管理等核心集群功能至关重要。

coredns-autoscaler

部署

kube-system

全部

konnectivity-agent

部署

kube-system

全部

metrics-server

部署

kube-system

全部

csi-azuredisk-node-win

守护进程集

kube-system

全部

azure-ip-masq-agent

守护进程集

kube-system

全部

cloud-node-manager

DaemonSet

kube-system

全部

cloud-node-manager-windows

DaemonSet

kube-system

全部

omsagent-rs

Deployment

kube-system

全部

azure-ip-masq-agent-[A-Za-z0-9]+

Pod

kube-system

全部

此排除规则适用于 kube-system 命名空间中动态命名的系统Pod，涵盖DNS、存储驱动、遥测代理和网络服务等核心组件。这些Pod由平台管理，通常使用自动生成的名称。该排除机制确保安全态势检查不会干扰集群稳定安全运行所需的关键基础设施工作负载。

cloud-node-manager-[A-Za-z0-9]+

Pod

kube-system

全部

coredns-autoscaler--[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

全部

csi-azuredisk-node-[A-Za-z0-9]+

Pod

kube-system

All

csi-azurefile-node-[A-Za-z0-9]+

Pod

kube-system

All

konnectivity-agent-[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

All

omsagent-[A-Za-z0-9]+

Pod

kube-system

All

omsagent-rs-[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

All

coredns-autoscaler-[A-Za-z0-9]+

ReplicaSet

kube-system

All

该排除项针对AKS中 kube-system 命名空间下自动创建的ReplicaSet，这些资源用于支持DNS、指标和遥测等基础服务。这些系统管理的组件通常具有动态名称，并与平台核心功能紧密耦合。

coredns-[A-Za-z0-9]+

ReplicaSet

kube-system

All

konnectivity-agent-[A-Za-z0-9]+

副本集

kube-system

全部

metrics-server-[A-Za-z0-9]+

副本集

kube-system

全部

omsagent-rs-[A-Za-z0-9]+

副本集

kube-system

全部

azure-cloud-provider

服务账户

kube-system

全部

此排除项包含各类系统服务账户、配置映射、Webhook配置及身份主体，这些对AKS核心功能和控制平面操作至关重要。这些组件或由平台托管，或为安全通信、节点配置及集群自动化所必需。

cloud-node-manager

服务账户

kube-system

全部

coredns-autoscaler

服务账户

kube-system

全部

csi-azuredisk-node-sa

服务账户

kube-system

全部

csi-azurefile-node-sa

服务账户

kube-system

全部

omsagent

服务账户

kube-system

全部

kube-root-ca.crt

配置映射

default

全部

kube-root-ca.crt

配置映射

kube-node-lease

全部

kube-root-ca.crt

配置映射

kube-public

全部

azure-ip-masq-agent-config-reconciled

配置映射

kube-system

全部

cluster-autoscaler-status

配置映射

kube-system

全部

container-azm-ms-aks-k8scluster

配置映射

kube-system

全部

coredns

配置映射

kube-system

全部

coredns自动扩缩器

配置映射

kube-system

全部

coredns自定义

配置映射

kube-system

全部

扩展API服务器认证

配置映射

kube-system

全部

kube根CA证书

配置映射

kube-system

全部

omsagent-rs配置

配置映射

kube-system

全部

覆盖升级数据

配置映射

kube-system

全部

aks-webhook准入控制器

MutatingWebhookConfiguration

不适用

全部

aks-node-mutating-webhook

MutatingWebhookConfiguration

不适用

全部

aks-node-validating-webhook

ValidatingWebhookConfiguration

不适用

全部

system:nodes

组

不适用

全部

clusterAdmin

用户

不适用

全部

kube-dns

服务

kube-system

全部

此排除规则适用于 kube-system 命名空间中的核心系统服务，例如 kube-dns 和 metrics-server 。这些服务提供集群内DNS解析和资源监控等核心功能。

metrics-server

服务

kube-system

全部

kubescape

ConfigMap

default

全部

此排除范围涵盖 default 命名空间中的关键资源，例如 default 服务账户、 default 命名空间对象以及Kubescape使用的ConfigMap。这些是常用于初始工作负载、测试或系统默认设置的基础元素。该排除有助于避免对大多数集群中普遍存在的基线或实用资源产生不必要的警报。

default

命名空间

不适用

全部

default

服务账户

default

全部

aws-node-[A-Za-z0-9]+

Pod

kube-system

全部

此排除适用于Amazon Elastic Kubernetes Service (EKS)集群中广泛的默认和系统管理资源。它包括对网络至关重要的Pod、Deployment、DaemonSet、服务账户和身份绑定（ aws-node ）、存储（ ebs-csi )、监控（ metrics-server ）以及集群管理。这些组件由AWS管理，构成了EKS集群功能的核心基础。此项排除确保安全态势检查不会对可信赖的平台集成服务产生不必要的告警。

kube-proxy-[A-Za-z0-9]+

Pod

kube-system

全部

metrics-server-[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

全部

aws-node

DaemonSet

kube-system

全部

eventrouter

Deployment

kube-system

全部

ebs-csi-controller

Deployment

kube-system

全部

ebs-csi-node

DaemonSet

kube-system

全部

ebs-csi-node-windows

DaemonSet

kube-system

全部

metrics-server

部署

kube-system

全部

coredns-[A-Za-z0-9]+

副本集

kube-system

全部

metrics-server-[A-Za-z0-9]+

副本集

kube-system

全部

kube-dns

服务

kube-system

全部

aws-cloud-provider

服务账户

kube-system

全部

aws-node

服务账户

kube-system

全部

eks-admin

服务账户

kube-system

全部

eks-vpc资源控制器

服务账户

kube-system

全部

指标服务器

服务账户

kube-system

全部

标签控制器

服务账户

kube-system

全部

vpc资源控制器

服务账户

kube-system

全部

事件路由器

服务账户

kube-system

全部

ebs-csi控制器服务账户

服务账户

kube-system

全部

ebs-csi节点服务账户

服务账户

kube-system

全部

eks:fargate管理器

用户

不适用

所有

eks:addon-manager

用户

不适用

所有

eks:certificate-controller

用户

不适用

所有

eks:node-manager

用户

不适用

所有

system:masters

组

不适用

所有

default

服务账户

kube-node-lease

所有

此项排除适用于 default 服务账户，位于 kube-node-lease 命名空间（Google Kubernetes Engine (GKE)中）。Kubernetes使用此命名空间管理节点心跳租约。排除此资源可避免对支持节点健康跟踪和集群稳定性的系统托管身份产生不必要的告警。

default

服务账户

kube-public

全部

此排除项针对 默认 服务账户在 kube-public GKE命名空间中。该命名空间用于存储可公开访问的集群信息。排除此资源可避免对默认系统管理身份（不涉及敏感操作）触发不必要的告警。

coredns-[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

全部

此排除涵盖 kube-system 命名空间内大量GKE系统管理资源，包括Pod、DaemonSet、Deployment、Service和CronJob。这些组件对集群内网络、DNS、日志记录、GPU支持、自动扩缩容及内部通信至关重要。排除它们可确保安全态势检查不会干扰由平台预置和维护的默认GKE操作，从而保障集群性能的可靠与安全。

kube-proxy-[A-Za-z0-9-]+

Pod

kube-system

全部

etcd-.*

Pod

kube-system

全部

metadata-proxy-v[0-9.]+

DaemonSet

kube-system

全部

node-local-dns

DaemonSet

kube-system

全部

gke-metrics-agent.*

守护进程集

kube-system

全部

pdcsi-node-windows

守护进程集

kube-system

全部

anetd

守护进程集

kube-system

全部

netd

守护进程集

kube-system

全部

fluentbit-gke-big

守护进程集

kube-system

全部

fluentbit-gke-small

守护进程集

kube-system

全部

fluentbit-gke-max

守护进程集

kube-system

全部

fluentbit-gke.*

守护进程集

kube-system

全部

nccl-fastsocket-installer

守护进程集

kube-system

全部

filestore-node

守护进程集

kube-system

全部

pdcsi-node

守护进程集

kube-system

全部

ip-masq-agent

守护进程集

kube-system

全部

anetd-win

守护进程集

kube-system

全部

gke-metadata-server

守护进程集

kube-system

全部

gke-metrics-agent-windows

守护进程集

kube-system

全部

kube-proxy

守护进程集

kube-system

全部

nvidia-gpu设备插件

守护进程集

kube-system

全部

nvidia-gpu设备插件-大型

守护进程集

kube-system

全部

nvidia-gpu设备插件-中型

守护进程集

kube-system

全部

镜像包提取器

守护进程集

kube-system

全部

镜像包提取器清理

定时任务

kube-system

全部

nvidia-gpu设备插件-小型

守护进程集

kube-system

全部

指标服务器

服务

kube-system

全部

kube-dns

部署

kube-system

全部

出口NAT控制器

部署

kube-system

全部

GKE事件导出器

部署

kube-system

全部

antrea控制器

部署

kube-system

全部

antrea控制器水平自动扩缩器

部署

kube-system

全部

kube-dns自动扩缩器

部署

kube-system

全部

metrics-server-v[0-9.]+

部署

kube-system

全部

konnectivity代理自动扩缩器

部署

kube-system

全部

fluentd-elasticsearch

守护进程集

kube-system

全部

konnectivity-agent

部署

kube-system

全部

l7-default-backend

部署

kube-system

全部

ks-sa

服务账户

kubescape

此排除项适用于 ks-sa 服务账户，位于 kubescape 命名空间中，该账户被Kubescape用于运行安全态势扫描、收集集群配置数据及报告合规性结果。

default

服务账户

kubescape

此排除项针对 默认 服务账户，该账户位于 kubescape 命名空间中，可能被Kubescape组件在初始化或辅助操作期间使用。允许此服务账户在仅告警模式下运行，可确保与命名空间相关的后台任务或默认行为不会触发安全态势违规。这支持Kubescape系统更顺畅地运行，同时不影响可见性。

节点代理

DaemonSet

kubescape

此排除项允许 节点代理 DaemonSet在 kubescape 命名空间中以无限制的网络访问和提升的权限运行。作为负责跨节点收集运行时和主机级数据的核心组件，此DaemonSet需要广泛的权限和连接性以执行深度检查并发送结果。

kubescape

Deployment

kubescape

此例外允许关键Kubescape组件（如 kubescape , operator , gateway , kubevuln 及 kollector ）以不受限制的网络流量运行。这些组件需要双向网络连接以执行数据收集、漏洞扫描、同步及与外部服务通信等任务。该例外确保其功能不受网络流量限制影响。

operator

Deployment

kubescape

gateway

Deployment

kubescape

kubevuln

Deployment

kubescape

kollector

StatefulSet

kubescape

kubescape

部署

kubescape

此排除适用于关键Kubescape组件，包括诸如 kubescape , operator , gateway , synchronizer , kubevuln 以及 otel-collector ，还有 kollector StatefulSet和 node-agent DaemonSet。此项排除允许这些组件在运行时不受安全上下文策略控制的阻断。这些工作负载可能需要提升权限或非标准配置以执行扫描、遥测、同步和存储等关键任务。

operator

Deployment

kubescape

网关

部署

kubescape

同步器

部署

kubescape

kubevuln

部署

kubescape

kollector

StatefulSet

kubescape

存储

部署

kubescape

otel收集器

部署

kubescape

节点代理

守护进程集

kubescape

主机扫描器

守护进程集

kubescape主机扫描器

全部

此例外允许 host-scanner DaemonSet在 kubescape 和 kubescape-host-scanner 命名空间中运行而不受安全态势控制的阻碍。主机扫描器需要提升权限来检查节点级配置和漏洞。排除它可确保Kubescape的深度主机级扫描能按预期执行。

host-scanner

DaemonSet

kubescape

All

otel-collector

Deployment

kubescape

此例外适用于 otel-collector 部署，以确保用于收集和导出遥测数据（跟踪、指标和日志）的关键可观测性组件OpenTelemetry（OTel）保持正常运行。这对于维护系统行为的可见性至关重要。

kubescape

Deployment

kubescape-prometheus

出入站策略强制执行

此例外允许 kubescape 部署在 kubescape-prometheus 命名空间以不受限制的出站网络访问权限运行。由于该部署处理Prometheus集成，可能需要与外部通信以进行指标抓取或遥测目的。此排除项确保监控功能不受网络限制影响而保持可用。

kubescape

部署

kubescape-prometheus

此排除允许 kubescape 部署在 kubescape-prometheus 命名空间以较低限制的安全上下文运行。由于该部署支持Prometheus集成，可能需要不完全符合严格强化标准的权限或配置。

kubescape-sa

服务账户

kubescape

此排除允许 kubescape-sa 命名空间中的服务账户 kubescape 以提升或广泛的权限进行操作。该服务账户被需要访问集群资源以进行扫描和分析的Kubescape组件所使用。

ks-sa

服务账户

kubescape

此例外允许Kubescape组件使用的多个服务账户，例如 节点代理 , 存储 , 同步器 和 kubevuln ，以更广泛的访问和配置灵活性进行操作。这些服务账户支持跨集群的扫描、数据收集、存储和协调任务。此例外确保这些功能不受严格身份或访问限制的阻碍，使Kubescape能够执行全面的安全评估。

存储

服务账户

kubescape

kubescape-sa

服务账户

kubescape

节点代理

服务账户

kubescape

kubevuln

服务账户

kubescape

存储服务账户

服务账户

kubescape

同步器

服务账户

kubescape

节点代理服务账户

服务账户

kubescape

konnectivity-agent-cpha

服务账户

kube-system

全部

此排除适用于 kube-system 命名空间中的大量默认Kubernetes控制器服务账户。这些服务账户由核心控制器和系统进程使用，用于管理工作负载、资源和集群状态，例如部署控制器、节点管理器、DNS、垃圾回收和卷配置。

metrics-server

服务账户

kube-system

全部

endpointslicemirroring-controller

服务账户

kube-system

全部

副本集控制器

服务账户

kube-system

全部

端点切片控制器

服务账户

kube-system

全部

服务账户控制器

服务账户

kube-system

全部

命名空间控制器

服务账户

kube-system

全部

集群角色聚合控制器

服务账户

kube-system

全部

通用垃圾收集器

服务账户

kube-system

全部

证书控制器

服务账户

kube-system

全部

守护进程集控制器

服务账户

kube-system

全部

云提供商

服务账户

kube-system

全部

临时卷控制器

服务账户

kube-system

全部

根CA证书发布器

服务账户

kube-system

全部

引导签名器

服务账户

kube-system

全部

扩展控制器

服务账户

kube-system

全部

中断控制器

服务账户

kube-system

全部

任务完成后TTL控制器

服务账户

kube-system

全部

任务控制器

服务账户

kube-system

全部

PV保护控制器

服务账户

kube-system

全部

持久卷绑定器

服务账户

kube-system

全部

PVC保护控制器

服务账户

kube-system

全部

有状态集控制器

服务账户

kube-system

全部

部署控制器

服务账户

kube-system

全部

节点控制器

服务账户

kube-system

全部

定时任务控制器

服务账户

kube-system

全部

资源配额控制器

服务账户

kube-system

全部

端点控制器

服务账户

kube-system

全部

Pod垃圾收集器

服务账户

kube-system

全部

TTL控制器

服务账户

kube-system

全部

令牌清理器

服务账户

kube-system

全部

kube-dns

服务账户

kube-system

全部

挂载卸载控制器

服务账户

kube-system

全部

kube-proxy

服务账户

kube-system

全部

konnectivity-agent

服务账户

kube-system

全部

副本控制器

服务账户

kube-system

全部

默认

服务账户

kube-system

全部

服务控制器

服务账户

kube-system

全部

kube-dns自动扩缩器

服务账户

kube-system

全部

netd

服务账户

kube-system

全部

元数据代理

服务账户

kube-system

全部

antrea-controller

服务账户

kube-system

全部

cilium

服务账户

kube-system

全部

node-local-dns

服务账户

kube-system

全部

gke-metrics-agent

服务账户

kube-system

全部

egress-nat-controller

服务账户

kube-system

全部

antrea-agent

服务账户

kube-system

全部

event-exporter-sa

服务账户

kube-system

全部

antrea-cpha

服务账户

kube-system

全部

fluentbit-gke

服务账户

kube-system

全部

pdcsi-node-sa

服务账户

kube-system

全部

ip-masq-agent

服务账户

kube-system

全部

filestorecsi-node-sa

服务账户

kube-system

全部

gke-metadata-server

服务账户

kube-system

全部

coredns

服务账户

kube-system

全部

horizontal-pod-autoscaler

服务账户

kube-system

全部

storage-provisioner

服务账户

kube-system

全部

system:vpa-recommender

用户

kube-system

全部

此排除规则适用于 kube-system 命名空间内的Kubernetes内部用户，例如 system:vpa-recommender 和 system:anet-operator 。这些用户与负责资源推荐和网络管理的自动化系统组件相关联。

system:anet-operator

用户

kube-system

全部

kube-node-lease

命名空间

不适用

全部

此排除规则适用于Minikube环境中的 kube-node-lease 命名空间。Kubernetes使用此命名空间跟踪节点心跳并确保节点可用性。

kube-public

命名空间

不适用

全部

此排除规则适用于 kube-public Minikube环境中的命名空间。该命名空间用于存储跨用户和组件共享的公开可读集群信息。

kube-proxy-.*

Pod

kube-system

全部

此排除规则适用于 kube-system Minikube环境中的系统托管资源，包括DNS、调度器、控制器管理器、代理、存储配置器以及GPU/TPU插件等核心组件。这些资源对Minikube本地集群功能至关重要，且为自动配置。

coredns

Deployment

kube-system

全部

sealed-secrets-controller

Deployment

kube-system

全部

tpu-device-plugin

DaemonSet

kube-system

全部

runsc-metric-server

DaemonSet

kube-system

全部

nvidia-gpu-.*

守护进程集

kube-system

全部

kube-system

命名空间

不适用

全部

存储供应器

容器组

kube-system

全部

kube-scheduler-.*

容器组

kube-system

全部

kube-controller-manager-.*

容器组

kube-system

全部

kubescape

命名空间

不适用

全部

此项排除适用于 kubescape 命名空间，该空间托管Kubescape自有组件及服务。

otel-collector

部署

kubescape

服务账户令牌自动挂载

此排除项适用于 otel-collector 在 kubescape 命名空间中的部署。OpenTelemetry Collector负责收集和导出可观测性数据，如指标、日志和跟踪。

kube-apiserver-.*

Pod

kube-system

此排除项适用于 kube-apiserver 在 kube-system 命名空间中的Pod。它考虑了API服务器管理和协调集群活动所需的特定配置和提升权限。这些设置可能与严格的策略检查不符，但对API服务器的预期功能至关重要。

kubevuln-schedule-.*

CronJob

kubescape

此排除适用于 kubescape 命名空间中的多个CronJob，这些任务负责调度漏洞和注册表扫描。这些作业需要特定的配置、权限和运行时行为。

kubescape-registry-scan-.*

CronJob

kubescape

kubevuln调度器

定时任务

kubescape工具

kubescape调度器

定时任务

kubescape

操作员

服务账户

kubescape

此排除范围涵盖 kube-system , gmp-system 及 gmp-public 命名空间中的各类服务账户与系统组件。这些账户和工作负载支撑着Kubernetes核心操作、路由转发、指标采集、告警及策略实施。

kubescape

服务账户

kubescape

kollector

服务账户

kubescape

storage-aggregated-apiserver-sa

服务账户

kubescape

存储

服务账户

kubescape

服务账户令牌的自动挂载

节点代理

服务账户

kubescape

服务账户令牌的自动挂载

kube-controller-manager

服务账户

kube-system

全部

kube-scheduler

服务账户

kube-system

全部

路由控制器

服务账户

kube-system

全部

超级管理员

服务账户

kube-system

全部

pkgextract-service

服务账户

kube-system

全部

默认

服务账户

gmp-system

全部

收集器

服务账户

gmp-system

全部

操作器

服务账户

gmp-system

全部

收集器

服务账户

gmp-public

全部

告警管理器

有状态集

gmp-system

全部

收集器

守护进程集

gmp-system

全部

规则评估器

部署

gmp-system

全部

gmp-operator

部署

gmp-system

全部

gke-metrics-agent-conf

配置映射

kube-system

全部

storage-apiserver

部署

kubescape

此排除适用于 storage-apiserver 部署在 kubescape 命名空间中。该组件负责管理Kubescape使用的存储相关API。它需要针对网络访问、安全上下文和权限的特定配置，这些配置可能无法完全符合严格的强化规则。

ca-validate-cfg

验证性Webhook配置

不适用

全部

此排除适用于各种系统级Webhook配置、API服务和命名空间，例如 kube-system , gmp-system 以及 gmp-public 。这些资源由平台（例如GKE）管理，用于实施网络策略、资源限制、指标采集和准入控制逻辑。其结构和权限由底层系统定义，此项排除有助于避免对可信赖的平台集成组件产生安全态势违规。

flowcontrol-guardrails.config.common-webhooks.networking.gke.io

验证性Webhook配置

不适用

全部

validation-webhook.snapshot.storage.gke.io

验证性Webhook配置

不适用

全部

gmp-operator.gmp-system.monitoring.googleapis.com

验证性Webhook配置

不适用

全部

warden-validating.config.common-webhooks.networking.gke.io

验证性Webhook配置

不适用

全部

nodelimit.config.common-webhooks.networking.gke.io

验证性Webhook配置

不适用

全部

gkepolicy.config.common-webhooks.networking.gke.io

验证性Webhook配置

不适用

全部

validation-webhook.snapshot.storage.k8s.io

验证性Webhook配置

N/A

全部

v1beta1.metrics.k8s.io

API服务

N/A

全部

pod-ready.config.common-webhooks.networking.gke.io

可变Webhook配置

N/A

全部

ca-mutate-cfg

可变Webhook配置

N/A

全部

neg-annotation.config.common-webhooks.networking.gke.io

可变Webhook配置

N/A

全部

mutate-scheduler-profile.config.common-webhooks.networking.gke.io

可变Webhook配置

N/A

全部

sasecret-redacter.config.common-webhooks.networking.gke.io

可变Webhook配置

N/A

全部

workload-defaulter.config.common-webhooks.networking.gke.io

可变Webhook配置

N/A

全部

admissionwebhookcontroller.config.common-webhooks.networking.gke.io

MutatingWebhookConfiguration

不适用

全部

gke-vpa-webhook-config

MutatingWebhookConfiguration

不适用

全部

filestorecsi-mutation-webhook.storage.k8s.io

MutatingWebhookConfiguration

不适用

全部

kube-system

命名空间

不适用

全部

gmp-public

命名空间

不适用

全部

gmp-system

命名空间

不适用

全部

system:clustermetrics

用户

不适用

全部

此排除项涵盖系统预定义的用户和组，例如 system:kube-scheduler , system:kube-controller-manager 以及 system:masters 组。这些身份是Kubernetes控制平面操作和集群管理的核心组成部分。此项排除确保态势检查不会标记或干扰稳定集群管理所需的预定义访问角色和权限。

system:controller:glbc

用户

N/A

全部

system:l7-lb-controller

用户

N/A

全部

system:managed-certificate-controller

用户

N/A

全部

system:gke-common-webhooks

用户

N/A

全部

system:kube-scheduler

用户

N/A

全部

system:gcp-controller-manager

用户

N/A

全部

system:resource-tracker

用户

N/A

全部

system:storageversionmigrator

用户

N/A

全部

system:kube-controller-manager

用户

N/A

全部

system:kubestore-collector

用户

N/A

全部

system:masters

组

N/A

全部

system:kube-scheduler

用户

N/A

全部

system:kube-controller-manager

用户

N/A

全部

system:masters

组

不适用

全部