. kubelet 启动

. kubelet认为，它并没有有一个kubeconfig文件

. kubelet搜索并查找bootstrap-kubeconfig文件

. kubelet读取其引导文件，检索API服务器的URL和有限使用“令牌”

. kubelet连接到API服务器，使用令牌进行身份验证

. kubelet现在具有创建和检索证书签名请求（CSR）的有限凭据

. kubelet为自己创建了一个CSR

   CSR通过以下两种方式之一获得批准：

　　　　7.1　　如果已配置，kube-controller-manager将自动批准CSR

　　　　7.2　　如果已配置，则外部流程（可能是人员）使用Kubernetes API或通过批准CSR kubectl

. 为kubelet创建证书

. 证书颁发给kubelet

. kubelet检索证书

. kubelet kubeconfig使用密钥和签名证书创建一个正确的

. kubelet开始正常运行

　　可选：如果已配置，则当证书接近到期时，kubelet会自动请求续订证书

　　续订证书将根据配置自动或手动批准和颁发。