1. 初始化时, cert先后流程是怎样的?
2. cert怎么跟service account关联?

kubeconfig

• kubeconfig.yaml中各个字段含义详解; 以kube-scheduer的kube-config为例:

certificate-authority-data: 用于验证apiserver服务端证书的CA证书; 所有需要连接apiserver的角色, 都需要配置该CA证书, 且内容都一样.

client-certificate-data:

client-key:

流程

1. 生成服务端证书: certificate-authority-data;
2. 基于服务端证书, 生成kubelet的客户端证书
   1. 集群中多个node, 每个node的kubelet客户端证书都一样的么? —> 实际验证, 每个node的kubelet客户端证书都不一样.
   2. 如果所有node使用一样的证书, 会有啥问题?
3. kubelet启动时, 配置kubeconfig

case

如何为某个client签发证书便于连接k8s集群?

例如需要为某个用户签发证书, 只能访问某个namespace, 只能执行create/list操作, 不能执行delete. 需要怎么做?