如果自己在k8s環境創建了一個新的serviceAccount,並且向在pod中使用。在apiserver創建pod的時候並不會去校驗創建的pod的secret是否存在。只有在kubelet去調用這個pod的時候,才會去apiserver獲取這個secret,沒有的話會按照一定的時間間隔去訪問,同時會輸出一個event報告為什么沒有訪問通apiserver。如果存在secret,kubelet會創建一個volume,去將secret映射到pod中,之后才會去啟動container。之后,pod訪問apiserver時,pod會使用ca.crt去校驗apiserver發過來的證書,apiserver會校驗pod發過來的token。
