关于serviceAccount的理解

如果自己在k8s环境创建了一个新的serviceAccount，并且向在pod中使用。在apiserver创建pod的时候并不会去校验创建的pod的secret是否存在。只有在kubelet去调用这个pod的时候，才会去apiserver获取这个secret，没有的话会按照一定的时间间隔去访问，同时会输出一个event报告为什么没有访问通apiserver。如果存在secret，kubelet会创建一个volume，去将secret映射到pod中，之后才会去启动container。之后，pod访问apiserver时，pod会使用ca.crt去校验apiserver发过来的证书，apiserver会校验pod发过来的token。