TLS bootstrapping 是如何工作的？

当集群开启了 TLS 认证后，每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯；此时如果节点多起来，为每个节点单独签署证书将是一件非常繁琐的事情；TLS bootstrapping 功能就是让 kubelet 先使用一个预定的低权限用户连接到 apiserver，然后向 apiserver 申请证书，kubelet 的证书由 apiserver 动态签署；在配合 RBAC 授权模型下的工作流程大致如下所示

引导过程如下： 1. master端创建API Server和Kubelet Client通信凭证即生成 apiserver.pem/apiserver-key.pem/apiserver.csr; 创建过程可以看创建 kubernetes-master 证书和私钥 2. 在集群内创建特定的 Bootstrap Token Secret，该 Secret 将替代以前的 token.csv 内置用户声明文件; 3. 在集群内创建首次 TLS Bootstrap 申请证书的 ClusterRole 即system:node-bootstrapper,并将上面的bootstrap token secret进行绑定即 clusterrolebinding kubelet-bootstrap，这样通过绑定就能以这个内置用户组信息去发起CSR请求啦； 4. 生成特定的包含 TLS Bootstrapping Token 的 bootstrap.kubeconfig; 5. 调整kubelete启动参数，指定引导文件bootstrap.kubeconfig; 6. 重载配置、重启服务，master端手动批准完成worker节点的CSR请求; 7. 证书轮换，配置自动批准&证书轮换