client certificate 客户端证书是 X.509 证书,只不过由客户端提供,服务端通过效验客户端证书来确定客户端是否合法,而无需使用帐号密码等认证方式。 第一次使用客户端证书是在通过 ~/.kube/config 中的证书访问 apiserver 的时候,没有输入帐号密码,也没有在 header 上携带 token 的操作,带上证书访问就 ok 了。