kubelet 初始化过程

kubelet 初始化过程

1. kubelet 启动

2. kubelet认为，它并没有有一个kubeconfig文件

3. kubelet搜索并查找bootstrap-kubeconfig文件

4. kubelet读取其引导文件，检索API服务器的URL和有限使用“令牌”

5. kubelet连接到API服务器，使用令牌进行身份验证

6. kubelet现在具有创建和检索证书签名请求（CSR）的有限凭据

7. kubelet为自己创建了一个CSR
   CSR通过以下两种方式之一获得批准：
　　　　7.1　　如果已配置，kube-controller-manager将自动批准CSR
　　　　7.2　　如果已配置，则外部流程（可能是人员）使用Kubernetes API或通过批准CSR kubectl

8. 为kubelet创建证书

9. 证书颁发给kubelet

10. kubelet检索证书

11. kubelet kubeconfig使用密钥和签名证书创建一个正确的

12. kubelet开始正常运行
　　可选：如果已配置，则当证书接近到期时，kubelet会自动请求续订证书
　　续订证书将根据配置自动或手动批准和颁发。

kube-controller-manager :

当apiserver从kubelet接收证书请求并验证这些请求时，控制器管理器负责发出实际签名的证书。

控制器管理器通过证书发布控制循环执行此功能。这采用使用磁盘资产的cfssl本地签名者的形式 。目前，所有颁发的证书都有一年的有效期和一组默认的关键用法。