K8S---kubelet TLS 启动引导
企业开发
2023-09-29 23:04:15
阅读次数: 0
一、引导启动初始化过程(Bootstrap Initialization )
- 1、kubeadm 生成一个Token,类似07401b.f395accd246ae52d这种格式,或者自己手动生成
- 2、使用kubectl命令行,生成一个Secret,具体详见认证、授权
- 3、kubelet 进程启动 (begin)
- 4、kubelet 看到自己没有对应的 kubeconfig 文件 kubelet --kubeconfig
- 5、kubelet 搜索并发现 bootstrap-kubeconfig 文件 kubelet --bootstrap-kubeconfig
- 6、kubelet 读取该启动引导文件,从中获得 API 服务器的 URL 和用途有限的一个“令牌(Token)”,即上述生成的令牌Token
- 7、kubelet 建立与 API 服务器的连接,使用上述令牌执行身份认证
- 8、kubelet 现使用受限制的凭据即上述token,来创建和取回证书签名请求(CSR)
- 9、kubelet 为自己创建一个 CSR,并将其 signerName 设置为 kubernetes.io/kube-apiserver-client-kubelet
CSR 被以如下两种方式之一批复:
如果配置了自动批复,kube-controller-manager 会自动批复该 CSR
如果配置了手动批复,一个外部进程,或者是人,使用 Kubernetes API 或者使用
转载自blog.csdn.net/qq_41768644/article/details/132570549