kubelet 使用哪个证书？

和client-certificate-data的client-key-data存在是因为漏洞. 这很好地体现在官方文档：

警告：在使用 创建的节点上kubeadm init，在 kubeadm 1.17 版本之前，存在一个错误，您必须手动修改 的内容kubelet.conf。kubeadm init完成后，您应该更新kubelet.conf以指向轮换的 kubelet 客户端证书，方法是将client-certificate-data和替换client-key-data 为：

client-certificate: /var/lib/kubelet/pki/kubelet-client-current.pem
client-key: /var/lib/kubelet/pki/kubelet-client-current.pem

一些包含更多信息的有用来源：

• PKI 证书和要求

• 使用 kubeadm 进行证书管理

编辑：

根据kubelet 集成：

当你运行 时kubeadm join，kubeadm 使用 Bootstrap Token 凭证执行 TLS 引导，它将获取下载 kubelet-config-1.X ConfigMap 所需的凭证并将其写入 /var/lib/kubelet/config.yaml。动态环境文件的生成方式与 完全相同kubeadm init。

接下来kubeadm运行以下两个命令将新配置加载到 kubelet 中：

systemctl daemon-reload && systemctl restart kubelet

在 kubelet 加载新配置后，kubeadm 会写入 /etc/kubernetes/bootstrap-kubelet.confKubeConfig 文件，其中包含 CA 证书和 Bootstrap Token。kubelet 会使用它们来执行 TLS Bootstrap 并获取唯一凭证，该凭证存储在 中/etc/kubernetes/kubelet.conf。写入此文件时，kubelet 已完成执行 TLS Bootstrap。

这表示存储在 中的证书/凭据kubelet.conf在 kubelet 启动过程中使用。删除此文件或更改其内容将在 kubelet 重启期间进行验证。您可以按照以下方式自行测试：

• 如果删除该文件：

---

failed to run kubelet: unable to load bootstrap kubeconfig

---

• 如果您错误配置文件或提供错误的证书：

---

config loaded from file: /etc/kubernetes/kubelet/conf
bootstrap.go:240 unable to read existing bootstrap client config: f.e. invalid configuration
or unable to load TLS certificates from existing bootstrap client config: data does not contain any valid RSA or ECDSA certificate

---

另外，附注：

我强烈建议使用较新版本的 Kubernetes，因为您的版本比当前稳定版本早 5 个主要版本：1.21 / 2021 年 4 月 8 日。保持最新状态将为您节省将来的很多麻烦。