Bootstrap初始化流程
参考官方文档
- kubelet启动
- kubelet发现没有
kubeconfig文件 - kubelet查找
bootstrap-kubeconfig文件 - kubelet读取
bootstrap-kubeconfig文件,获取kube-apiserver的URL和最低权限的token - kubelet具备了创建和检索CSR请求的受限
token - kubelet使用此
token作为凭证与kube-apiserver通信 - kubelet使用
bootstrap-kubeconfig的CA证书为自己创建CSR(nodeclient) - CSR可以通过两种方式获得批准,批准之后下发证书(kubelet-client.crt)
- 配置kube-controller-manager自动批准CSR
- 配置外部流程去通过kubernetes API或者kubectl去批准CSR
- kubelet使用密钥和证书创建kubeconfig文件
- kubelet开始正常启动流程
- 可选:
- 当证书接近到期时,kubelet会自动请求续订证书
- 证书的续订自动签发,可以参考CSR批准证书的过程