如果自己在k8s环境创建了一个新的serviceAccount,并且向在pod中使用。在apiserver创建pod的时候并不会去校验创建的pod的secret是否存在。只有在kubelet去调用这个pod的时候,才会去apiserver获取这个secret,没有的话会按照一定的时间间隔去访问,同时会输出一个event报告为什么没有访问通apiserver。如果存在secret,kubelet会创建一个volume,去将secret映射到pod中,之后才会去启动container。之后,pod访问apiserver时,pod会使用ca.crt去校验apiserver发过来的证书,apiserver会校验pod发过来的token。
原文:https://www.cnblogs.com/jianzhaojing/p/15218098.html