引导过程如下： 1. master端创建API Server和Kubelet Client通信凭证即生成 apiserver.pem/apiserver-key.pem/apiserver.csr; 创建过程可以看创建 kubernetes-master 证书和私钥 2. 在集群内创建特定的 Bootstrap Token Secret，该 Secret 将替代以前的 token.csv 内置用户声明文件; 3. 在集群内创建首次 TLS Bootstrap 申请证书的 ClusterRole 即system:node-bootstrapper,并将上面的bootstrap token secret进行绑定即 clusterrolebinding kubelet-bootstrap，这样通过绑定就能以这个内置用户组信息去发起CSR请求啦； 4. 生成特定的包含 TLS Bootstrapping Token 的 bootstrap.kubeconfig; 5. 调整kubelete启动参数，指定引导文件bootstrap.kubeconfig; 6. 重载配置、重启服务，master端手动批准完成worker节点的CSR请求; 7. 证书轮换，配置自动批准&证书轮换