spec.serviceAccountName
为 default(除非指定了其他 ServiceAccout)ca.crt
到 /var/run/secrets/kubernetes.io/serviceaccount/
注意: 从 v1.24.0 开始,ServiceAccount 不再自动生成 Secret。如果你还想要自动生成 Secret,那么可以给 kube-controller-manager 配置特性LegacyServiceAccountTokenNoAutoGeneration=false
。
--authorization-mode=RBAC
和 --runtime-config=rbac.authorization.k8s.io/v1alpha1
--authorization-rbac-super-user=admin