kubelet 初始化过程
1. kubelet 启动 2. kubelet认为,它并没有有一个kubeconfig文件 3. kubelet搜索并查找bootstrap-kubeconfig文件 4. kubelet读取其引导文件,检索API服务器的URL和有限使用“令牌” 5. kubelet连接到API服务器,使用令牌进行身份验证 6. kubelet现在具有创建和检索证书签名请求(CSR)的有限凭据 7. kubelet为自己创建了一个CSR CSR通过以下两种方式之一获得批准: 7.1 如果已配置,kube-controller-manager将自动批准CSR 7.2 如果已配置,则外部流程(可能是人员)使用Kubernetes API或通过批准CSR kubectl 8. 为kubelet创建证书 9. 证书颁发给kubelet 10. kubelet检索证书 11. kubelet kubeconfig使用密钥和签名证书创建一个正确的 12. kubelet开始正常运行 可选:如果已配置,则当证书接近到期时,kubelet会自动请求续订证书 续订证书将根据配置自动或手动批准和颁发。
kube-controller-manager :
当apiserver从kubelet接收证书请求并验证这些请求时,控制器管理器负责发出实际签名的证书。
控制器管理器通过证书发布控制循环执行此功能。这采用使用磁盘资产的cfssl本地签名者的形式 。目前,所有颁发的证书都有一年的有效期和一组默认的关键用法。