API Server 中的三个 ServerKubernetes 原生 API Server 包含了三个 Server：Aggregator Server，拦截 APIService 中定义的资源类型的请求，将其转发给指定的 Aggregator APIServer 处理。APIService 定义

整体流程这篇文章将介绍 Kubelet 的整体流程，然后再对源码进行简单梳理。希望通过这篇文章，可以对 Kubelet 先有个整体认识。kubelet 整体的启动过程如下，首先设置 listers，注册 kubelet 所关心的资源的 Informer，这里 kubelet 只监听了与自己相关 Po

基础PLEG 全称叫 Pod Lifecycle Event Generator，是 kubelet 中的一个模块。主要功能是通过 CRI 接口从容器运行时获取当前的 Pod 状态。然后将当前 Pod 状态和之前的 Pod 状态进行比较，生成 Pod 生命周期事件，并发送到 channel 中。ku

dockershim 在 kubelet 中是怎么支持代码版本：release-1.23kubernetes v1.24 开始会正式放弃对 dockershim 的维护，将 dockershim 相关的代码从 kubelet 中删除。那么之前 dockershim 这部分的代码在 kubelet 中

为什么需要 CRI对于 1.6 版本之前的 Kubernetes 来说，它是直接调用 Docker 的 API 来创建和管理容器的。但是，Docker 项目风靡全球后不久，CoreOS 公司就推出了 rkt 项目来与 Docker 正面竞争。CoreOS 公司在 2016 年成功将对 rkt 容器的

RBACRBAC（Role-Based Access Control）包含以下几个重要的概念：Subject：代表的是请求 API 资源的实体，包含 User、Group、ServiceAccount 三种类型。角色（Role）：Role 定义了一组操作权限，例如对某个命名空间下资源的读取、创建或删

MaxInFlightLimit（server 级别整体限流）在 APF 出现之前，API Server 进行限流的方式是使用 API Server 的 --max-requests-inflight 和 --max-mutating-requests-inflight 参数。其中--max-req

https://kubernetes.io/zh-cn/docs/tasks/debug/debug-cluster/audit/审计的主要功能是记录，记录每个用户、使用 kubernetes 的应用以及控制面自身引发的活动。审计记录最初产生于 API Server 内部，API Server 收到

基本原理Pod 中的进程在访问 API Server 的时候，通常使用 ServiceAccount 来表明自己的身份。ServiceAccount 为运行在 Pod 中的进程提供一个安全、自动化的身份验证机制，使得这些进程可以与 Kubernetes API Server 进行交互。1.24 及之

kubernetes 的证书了解证书的基本原理之后，接下去我们了解 kubernetes 的证书情况。在这之前，对 kubernetes 证书中使用比较多、比较直观的就是 kubeconfig 文件。在这个文件中，可以看到配置了好几个证书，但是不清楚这些证书的作用。然后去翻翻核心组件中，发现启动参数