每个 namaspace 都会有一个默认的 sa
    解决 pod 访问 apiserver 的认证问题(pod 动态,手动生成证书不可取)

    每个 sa 都有一个名为 default-token-xxxxx 的 secrets
    类型是 kubernetes.io/service-account-token

    每个 pod 可声明 serviceAccountName
    默认挂载 default 这个 secret
    路径为 /run/secrets/kubernetes.io/serviceaccount/

    token
    使用 apiserver 私钥签名的 JWT(Json Web Token)
    用于访问 apiserver时,server端认证
    ca.crt
    用于 client 验证 apiserver 发送的证书
    namespace
    标识 service-account-token 的作用空间