From 2aba8adcfc91b29f5958eb3c917f69f04471ae99 Mon Sep 17 00:00:00 2001
From: windsonsea <haifeng.yao@daocloud.io>
Date: Mon, 1 Aug 2022 18:33:07 +0800
Subject: [PATCH] [zh-cn] updated /kubeadm/implementation-details.md

---
 .../kubeadm/implementation-details.md         | 129 +++++++++---------
 1 file changed, 62 insertions(+), 67 deletions(-)

diff --git a/content/zh-cn/docs/reference/setup-tools/kubeadm/implementation-details.md b/content/zh-cn/docs/reference/setup-tools/kubeadm/implementation-details.md
index 3c9063d687..82e317ca60 100644
--- a/content/zh-cn/docs/reference/setup-tools/kubeadm/implementation-details.md
+++ b/content/zh-cn/docs/reference/setup-tools/kubeadm/implementation-details.md
@@ -20,7 +20,7 @@ weight: 100
 However, it might not be obvious _how_ kubeadm does that.
 -->
 `kubeadm init` 和 `kubeadm join` 结合在一起提供了良好的用户体验，因为从头开始创建实践最佳而配置最基本的 Kubernetes 集群。
-但是，kubeadm _如何_ 做到这一点可能并不明显。
+但是，kubeadm **如何** 做到这一点可能并不明显。
 
 <!-- 
 This document provides additional details on what happen under the hood, 
@@ -69,7 +69,7 @@ with the aim of sharing knowledge on Kubernetes cluster best practices.
   - `kubectl apply -f <所选网络.yaml>`
   - `kubeadm join --token <令牌> <端点>:<端口>`
 - **可扩展的**：
-  - _不_ 应偏向任何特定的网络提供商。不涉及配置集群网络
+  - **不** 应偏向任何特定的网络提供商，不涉及配置集群网络
   - 应该可以使用配置文件来自定义各种参数
 
 <!--
@@ -88,8 +88,8 @@ kubeadm 使用了一组有限的常量值。
 The Kubernetes directory `/etc/kubernetes` is a constant in the application, since it is clearly the given path
 in a majority of cases, and the most intuitive location; other constants paths and file names are:
 -->
-Kubernetes 目录 `/etc/kubernetes` 在应用程序中是一个常量，因为在大多数情况下
-它显然是给定的路径，并且是最直观的位置；其他路径常量和文件名有：
+Kubernetes 目录 `/etc/kubernetes` 在应用程序中是一个常量，
+因为在大多数情况下它显然是给定的路径，并且是最直观的位置；其他路径常量和文件名有：
 
 <!--  
 - `/etc/kubernetes/manifests` as the path where kubelet should look for static Pod manifests. Names of static Pod manifests are:
@@ -116,18 +116,18 @@ Kubernetes 目录 `/etc/kubernetes` 在应用程序中是一个常量，因为
   - `kube-controller-manager.yaml`
   - `kube-scheduler.yaml`
 - `/etc/kubernetes/` 作为带有控制平面组件身份标识的 kubeconfig 文件的路径。kubeconfig 文件的名称为：
-  - `kubelet.conf` (在 TLS 引导时名称为 `bootstrap-kubelet.conf` )
+  - `kubelet.conf` (在 TLS 引导时名称为 `bootstrap-kubelet.conf`)
   - `controller-manager.conf`
   - `scheduler.conf`
   - `admin.conf` 用于集群管理员和 kubeadm 本身
 - 证书和密钥文件的名称：
-  - `ca.crt`, `ca.key` 用于 Kubernetes 证书颁发机构
-  - `apiserver.crt`, `apiserver.key` 用于 API 服务器证书
-  - `apiserver-kubelet-client.crt`, `apiserver-kubelet-client.key`
+  - `ca.crt`、`ca.key` 用于 Kubernetes 证书颁发机构
+  - `apiserver.crt`、`apiserver.key` 用于 API 服务器证书
+  - `apiserver-kubelet-client.crt`、`apiserver-kubelet-client.key`
     用于 API 服务器安全地连接到 kubelet 的客户端证书
-  - `sa.pub`, `sa.key` 用于控制器管理器签署 ServiceAccount 时使用的密钥
-  - `front-proxy-ca.crt`, `front-proxy-ca.key` 用于前端代理证书颁发机构
-  - `front-proxy-client.crt`, `front-proxy-client.key` 用于前端代理客户端
+  - `sa.pub`、`sa.key` 用于控制器管理器签署 ServiceAccount 时使用的密钥
+  - `front-proxy-ca.crt`、`front-proxy-ca.key` 用于前端代理证书颁发机构
+  - `front-proxy-client.crt`、`front-proxy-client.key` 用于前端代理客户端
 
 <!--
 ## kubeadm init workflow internal design
@@ -146,8 +146,7 @@ The [`kubeadm init phase`](/docs/reference/setup-tools/kubeadm/kubeadm-init-phas
 -->
 [`kubeadm init phase`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/)
 命令允许用户分别调用每个任务，并最终提供可重用且可组合的 API 或工具箱，
-其他 Kubernetes 引导工具、任何 IT 自动化工具和高级用户都可以使用它来
-创建自定义集群。
+其他 Kubernetes 引导工具、任何 IT 自动化工具和高级用户都可以使用它来创建自定义集群。
 
 <!--
 ### Preflight checks
@@ -156,10 +155,10 @@ The [`kubeadm init phase`](/docs/reference/setup-tools/kubeadm/kubeadm-init-phas
 
 <!-- 
 Kubeadm executes a set of preflight checks before starting the init, with the aim to verify preconditions and avoid common cluster startup problems.
-The user can skip specific preflight checks or all of them with the `--ignore-preflight-errors` option. 
+The user can skip specific preflight checks or all of them with the `--ignore-preflight-errors` option.
 -->
 Kubeadm 在启动 init 之前执行一组预检，目的是验证先决条件并避免常见的集群启动问题。
-用户可以使用 `--ignore-preflight-errors` 选项跳过特定的预检查或全部检查。
+用户可以使用 `--ignore-preflight-errors` 选项跳过特定的预检或全部检查。
 
 <!--  
 - [warning] If the Kubernetes version to use (specified with the `--kubernetes-version` flag) is at least one minor version higher than the kubeadm CLI version.
@@ -200,7 +199,7 @@ Kubeadm 在启动 init 之前执行一组预检，目的是验证先决条件并
 - [错误] 如果机器主机名不是有效的 DNS 子域
 - [警告] 如果通过网络查找无法访问主机名
 - [错误] 如果 kubelet 版本低于 kubeadm 支持的最低 kubelet 版本（当前小版本 -1）
-- [错误] 如果 kubelet 版本比所需的控制平面板版本至少高一个小（不支持的版本偏斜）
+- [错误] 如果 kubelet 版本比所需的控制平面板版本至少高一个小版本（不支持的版本偏差）
 - [警告] 如果 kubelet 服务不存在或已被禁用
 - [警告] 如果 firewalld 处于活动状态
 - [错误] 如果 API ​​服务器绑定的端口或 10250/10251/10252 端口已被占用
@@ -255,7 +254,7 @@ Kubeadm 在启动 init 之前执行一组预检，目的是验证先决条件并
 Kubeadm 生成用于不同目的的证书和私钥对：
 
 <!-- 
- - A self signed certificate authority for the Kubernetes cluster saved into `ca.crt` file and `ca.key` private key file 
+ - A self signed certificate authority for the Kubernetes cluster saved into `ca.crt` file and `ca.key` private key file
  - A serving certificate for the API server, generated using `ca.crt` as the CA, and saved into `apiserver.crt` file with
    its private key `apiserver.key`. This certificate should contain following alternative names:
      - The Kubernetes service's internal clusterIP (the first address in the services CIDR, e.g. `10.96.0.1` if service subnet is `10.96.0.0/12`)
@@ -268,22 +267,22 @@ Kubeadm 生成用于不同目的的证书和私钥对：
    This certificate should be in the `system:masters` organization
  - A private key for signing ServiceAccount Tokens saved into `sa.key` file along with its public key `sa.pub`
  - A certificate authority for the front proxy saved into `front-proxy-ca.crt` file with its key `front-proxy-ca.key`
- - A client cert for the front proxy client, generated using `front-proxy-ca.crt` as the CA and saved into `front-proxy-client.crt` file
+ - A client cert for the front proxy client, generate using `front-proxy-ca.crt` as the CA and saved into `front-proxy-client.crt` file
    with its private key`front-proxy-client.key`
 -->
 - Kubernetes 集群的自签名证书颁发机构会保存到 `ca.crt` 文件和 `ca.key` 私钥文件中
 - 用于 API 服务器的服务证书，使用 `ca.crt` 作为 CA 生成，并将证书保存到 `apiserver.crt`
-  文件中，私钥保存到 `apiserver.key` 文件中
+  文件中，私钥保存到 `apiserver.key` 文件中。
   该证书应包含以下备用名称：
 
   - Kubernetes 服务的内部 clusterIP（服务 CIDR 的第一个地址。
     例如：如果服务的子网是 `10.96.0.0/12`，则为 `10.96.0.1`）
   - Kubernetes DNS 名称，例如：如果 `--service-dns-domain` 标志值是 `cluster.local`，
     则为 `kubernetes.default.svc.cluster.local`；
-    加上默认的 DNS 名称 `kubernetes.default.svc`、`kubernetes.default` 和 `kubernetes`，
+    加上默认的 DNS 名称 `kubernetes.default.svc`、`kubernetes.default` 和 `kubernetes`
   - 节点名称
   - `--apiserver-advertise-address`
-  - 用户指定的其他备用名称 
+  - 用户指定的其他备用名称
 
 - 用于 API 服务器安全连接到 kubelet 的客户端证书，使用 `ca.crt` 作为 CA 生成，
   并保存到 `apiserver-kubelet-client.crt`，私钥保存到 `apiserver-kubelet-client.key`
@@ -295,7 +294,7 @@ Kubeadm 生成用于不同目的的证书和私钥对：
   `front-proxy-client.crt` 文件中，私钥保存到 `front-proxy-client.key` 文件中
 
 <!-- 
-Certificates are stored by default in `/etc/kubernetes/pki`, but this directory is configurable using the `--cert-dir` flag. 
+Certificates are stored by default in `/etc/kubernetes/pki`, but this directory is configurable using the `--cert-dir` flag.
 -->
 证书默认情况下存储在 `/etc/kubernetes/pki` 中，但是该目录可以使用 `--cert-dir` 标志进行配置。
 
@@ -325,12 +324,12 @@ Please note that:
 2. 仅对 CA 来说，如果所有其他证书和 kubeconfig 文件都已就位，则可以只提供 `ca.crt` 文件，
    而不提供 `ca.key` 文件。
    kubeadm 能够识别出这种情况并启用 ExternalCA，这也意味着了控制器管理器中的
-   `csrsigner` 控制器将不会启动
+   `csrsigner` 控制器将不会启动。
 3. 如果 kubeadm 在
    [外部 CA 模式](/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-certs#external-ca-mode)
-   下运行，所有证书必须由用户提供，因为 kubeadm 无法自行生成它们。
-4. 如果在 `--dry-run` 模式下执行 kubeadm，证书文件将写入一个临时文件夹中
-5. 可以使用 [`kubeadm init phase certs all`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-certs) 
+   下运行，所有证书必须由用户提供，因为 kubeadm 无法自行生成证书。
+4. 如果在 `--dry-run` 模式下执行 kubeadm，证书文件将写入一个临时文件夹中。
+5. 可以使用 [`kubeadm init phase certs all`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-certs)
    命令单独生成证书。
 
 <!--
@@ -398,10 +397,10 @@ CN. Kubeadm uses the `kubernetes-admin` CN.
 -->
 1. `ca.crt` 证书内嵌在所有 kubeconfig 文件中。
 2. 如果给定的 kubeconfig 文件存在且其内容经过评估符合上述规范，则 kubeadm 将使用现有文件，
-   并跳过给定 kubeconfig 的生成阶段
+   并跳过给定 kubeconfig 的生成阶段。
 3. 如果 kubeadm 以 [ExternalCA 模式](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init/#external-ca-mode)
-   运行，则所有必需的 kubeconfig 也必须由用户提供，因为 kubeadm 不能自己生成
-4. 如果在 `--dry-run` 模式下执行 kubeadm，则 kubeconfig 文件将写入一个临时文件夹中
+   运行，则所有必需的 kubeconfig 也必须由用户提供，因为 kubeadm 不能自己生成。
+4. 如果在 `--dry-run` 模式下执行 kubeadm，则 kubeconfig 文件将写入一个临时文件夹中。
 5. 可以使用
    [`kubeadm init phase kubeconfig all`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-kubeconfig)
    命令分别生成 kubeconfig 文件。
@@ -437,7 +436,7 @@ Kubelet 启动后会监视这个目录以便创建 Pod。
 - 所有静态 Pod 均使用 `system-node-critical` 优先级
 - 所有静态 Pod 都设置了 `hostNetwork:true`，使得控制平面在配置网络之前启动；结果导致：
 
-  * 控制器管理器和调度器用来调用 API 服务器的地址为 127.0.0.1。
+  * 控制器管理器和调度器用来调用 API 服务器的地址为 `127.0.0.1`
   * 如果使用本地 etcd 服务器，则 `etcd-servers` 地址将设置为 `127.0.0.1:2379`
 
 - 同时为控制器管理器和调度器启用了领导者选举
@@ -451,14 +450,14 @@ Kubelet 启动后会监视这个目录以便创建 Pod。
 
 <!--  
 1. All images will be pulled from k8s.gcr.io by default. See [using custom images](/docs/reference/setup-tools/kubeadm/kubeadm-init/#custom-images) for customizing the image repository
-2. In case of kubeadm is executed in the `-dry-run` mode, static Pods files are written in a temporary folder
+2. In case of kubeadm is executed in the `--dry-run` mode, static Pods files are written in a temporary folder
 3. Static Pod manifest generation for control plane components can be invoked individually with the [`kubeadm init phase control-plane all`](/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-control-plane) command
 -->
-1. 所有镜像默认从 k8s.gcr.io 拉取。 
+1. 所有镜像默认从 k8s.gcr.io 拉取。
    关于自定义镜像仓库，请参阅
    [使用自定义镜像](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init/#custom-images)。
 2. 如果在 `--dry-run` 模式下执行 kubeadm，则静态 Pod 文件写入一个临时文件夹中。
-3. 可以使用 [`kubeadm init phase control-plane all`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-control-plane) 
+3. 可以使用 [`kubeadm init phase control-plane all`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-control-plane)
    命令分别生成主控组件的静态 Pod 清单。
 
 <!--
@@ -483,7 +482,7 @@ API 服务器的静态 Pod 清单会受到用户提供的以下参数的影响:
   如果未提供，则这些值默认为机器上默认网络接口的 IP 地址和 6443 端口。
 - `service-cluster-ip-range` 给 service 使用
 - 如果指定了外部 etcd 服务器，则应指定 `etcd-servers` 地址和相关的 TLS 设置
-  （`etcd-cafile`，`etcd-certfile`，`etcd-keyfile`）；
+  （`etcd-cafile`、`etcd-certfile`、`etcd-keyfile`）；
   如果未提供外部 etcd 服务器，则将使用本地 etcd（通过主机网络）
 - 如果指定了云提供商，则配置相应的 `--cloud-provider`，如果该路径存在，则配置 `--cloud-config`
   （这是实验性的，是 Alpha 版本，将在以后的版本中删除）
@@ -519,21 +518,21 @@ API 服务器的静态 Pod 清单会受到用户提供的以下参数的影响:
       (e.g. only pods on this node)
 -->
 - `--enable-admission-plugins` 设为：
-  - [`NamespaceLifecycle`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#namespacelifecycle) 
+  - [`NamespaceLifecycle`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#namespacelifecycle)
     例如，避免删除系统保留的名字空间
   - [`LimitRanger`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#limitranger) 和
     [`ResourceQuota`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#resourcequota)
     对名字空间实施限制
   - [`ServiceAccount`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#serviceaccount)
     实施服务账户自动化
-  - [`PersistentVolumeLabel`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#persistentvolumelabel) 
+  - [`PersistentVolumeLabel`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#persistentvolumelabel)
     将区域（Region）或区（Zone）标签附加到由云提供商定义的 PersistentVolumes
     （此准入控制器已被弃用并将在以后的版本中删除）。
     如果未明确选择使用 `gce` 或 `aws` 作为云提供商，则默认情况下，v1.9 以后的版本 kubeadm 都不会部署。
-  - [`DefaultStorageClass`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#defaultstorageclass) 
+  - [`DefaultStorageClass`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#defaultstorageclass)
     在 `PersistentVolumeClaim` 对象上强制使用默认存储类型
   - [`DefaultTolerationSeconds`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#defaulttolerationseconds)
-  - [`NodeRestriction`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#noderestriction) 
+  - [`NodeRestriction`](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#noderestriction)
     限制 kubelet 可以修改的内容（例如，仅此节点上的 pod）
 <!--
  - `--kubelet-preferred-address-types` to `InternalIP,ExternalIP,Hostname;` this makes `kubectl logs` and other API server-kubelet
@@ -554,7 +553,7 @@ API 服务器的静态 Pod 清单会受到用户提供的以下参数的影响:
     - `--requestheader-extra-headers-prefix=X-Remote-Extra-`
     - `--requestheader-allowed-names=front-proxy-client`
 -->
-- `--kubelet-preferred-address-types` 设为 `InternalIP,ExternalIP,Hostname;` 
+- `--kubelet-preferred-address-types` 设为 `InternalIP,ExternalIP,Hostname;`
   这使得在节点的主机名无法解析的环境中，`kubectl log` 和 API 服务器与 kubelet
   的其他通信可以工作
 - 使用在前面步骤中生成的证书的标志：
@@ -596,8 +595,8 @@ The static Pod manifest for the controller manager is affected by following para
  - If a cloud provider is specified, the corresponding `--cloud-provider` is specified, together with the  `--cloud-config` path
    if such configuration file exists (this is experimental, alpha and will be removed in a future version)
 -->
-- 如果调用 kubeadm 时指定了 `--pod-network-cidr` 参数，则可以通过以下方式启用
-  某些 CNI 网络插件所需的子网管理器功能：
+- 如果调用 kubeadm 时指定了 `--pod-network-cidr` 参数，
+  则可以通过以下方式启用某些 CNI 网络插件所需的子网管理器功能：
   - 设置 `--allocate-node-cidrs=true`
   - 根据给定 CIDR 设置 `--cluster-cidr` 和 `--node-cidr-mask-size` 标志
 - 如果指定了云提供商，则指定相应的 `--cloud-provider`，如果存在这样的配置文件，
@@ -670,7 +669,7 @@ a local etcd instance running in a Pod with following attributes:
 2. 如果 kubeadm 以 `--dry-run` 模式执行，etcd 静态 Pod 清单将写入一个临时文件夹。
 3. 可以使用
    ['kubeadm init phase etcd local'](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-etcd)
-   命令单独为本地 etcd 生成静态 Pod 清单
+   命令单独为本地 etcd 生成静态 Pod 清单。
 
 <!--
 ### Wait for the control plane to come up
@@ -682,7 +681,7 @@ kubeadm waits (upto 4m0s) until `localhost:6443/healthz` (kube-apiserver livenes
 deadlock conditions, kubeadm fails fast if `localhost:10255/healthz` (kubelet liveness) or
 `localhost:10255/healthz/syncloop` (kubelet readiness) don't return `ok` within 40s and 60s respectively.
 -->
-kubeadm 等待（最多 4m0s），直到 `localhost:6443/healthz`（kube-apiserver 存活）返回 `ok`。 
+kubeadm 等待（最多 4m0s），直到 `localhost:6443/healthz`（kube-apiserver 存活）返回 `ok`。
 但是为了检测死锁条件，如果 `localhost:10255/healthz`（kubelet 存活）或
 `localhost:10255/healthz/syncloop`（kubelet 就绪）未能在 40s 和 60s 内未返回 `ok`，
 则 kubeadm 会快速失败。
@@ -721,7 +720,7 @@ state and make new decisions based on that data.
 -->
 1. 在保存 ClusterConfiguration 之前，从配置中删除令牌等敏感信息。
 2. 可以使用
-   [`kubeadm init phase upload-config`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-upload-config) 
+   [`kubeadm init phase upload-config`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-upload-config)
    命令单独上传主控节点配置。
 
 <!--
@@ -749,7 +748,7 @@ As soon as the control plane is available, kubeadm executes following actions:
 1. Mark control-plane phase can be invoked individually with the [`kubeadm init phase mark-control-plane`](/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-mark-control-plane) command
 -->
 1. `node-role.kubernetes.io/master` 污点是已废弃的，将会在 kubeadm 1.25 版本中移除
-1. 可以使用 [`kubeadm init phase mark-control-plane`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-mark-control-plane) 
+1. 可以使用 [`kubeadm init phase mark-control-plane`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-mark-control-plane)
   命令单独触发控制平面标记
 
 <!--
@@ -765,14 +764,13 @@ existing cluster; for more details see also [design proposal](https://github.com
 Kubeadm 使用[引导令牌认证](/zh-cn/docs/reference/access-authn-authz/bootstrap-tokens/)
 将新节点连接到现有集群；
 更多的详细信息，请参见
-[设计提案](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/cluster-lifecycle/bootstrap-discovery.md)。
+[设计提案](https://github.com/kubernetes/design-proposals-archive/blob/main/cluster-lifecycle/bootstrap-discovery.md)。
 
 <!-- 
 `kubeadm init` ensures that everything is properly configured for this process, and this includes following steps as well as
 setting API server and controller flags as already described in previous paragraphs.
 -->
-`kubeadm init` 确保为该过程正确配置了所有内容，这包括以下步骤以及设置 API 服务器
-和控制器标志，如前几段所述。
+`kubeadm init` 确保为该过程正确配置了所有内容，这包括以下步骤以及设置 API 服务器和控制器标志，如前几段所述。
 
 <!-- Please note that: -->
 请注意：
@@ -782,7 +780,7 @@ setting API server and controller flags as already described in previous paragra
    command, executing all the configuration steps described in following paragraphs; alternatively, each step can be invoked individually
 -->
 1. 可以使用
-   [`kubeadm init phase bootstrap-token`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-bootstrap-token) 
+   [`kubeadm init phase bootstrap-token`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/#cmd-phase-bootstrap-token)
    命令配置节点的 TLS 引导，执行以下段落中描述的所有配置步骤；
    或者每个步骤都单独触发。
 
@@ -814,9 +812,9 @@ Please note that:
 -->
 1. 由 `kubeadm init` 创建的默认令牌将用于在 TLS 引导过程中验证临时用户；
    这些用户会成为 `system:bootstrappers:kubeadm:default-node-token` 组的成员。
-2. 令牌的有效期有限，默认为 24 小时（间隔可以通过 `-token-ttl` 标志进行更改）
+2. 令牌的有效期有限，默认为 24 小时（间隔可以通过 `-token-ttl` 标志进行更改）。
 3. 可以使用 [`kubeadm token`](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-token/)
-   命令创建其他令牌，这些令牌还提供其他有用的令牌管理功能
+   命令创建其他令牌，这些令牌还提供其他有用的令牌管理功能。
 
 <!--
 #### Allow joining nodes to call CSR API
@@ -826,8 +824,7 @@ Please note that:
 <!--
 Kubeadm ensures that users in  `system:bootstrappers:kubeadm:default-node-token` group are able to access the certificate signing API.
 -->
-Kubeadm 确保 `system:bootstrappers:kubeadm:default-node-token` 组中的用户
-能够访问证书签名 API。
+Kubeadm 确保 `system:bootstrappers:kubeadm:default-node-token` 组中的用户能够访问证书签名 API。
 
 <!-- 
 This is implemented by creating a ClusterRoleBinding named `kubeadm:kubelet-bootstrap` between the group above and the default
@@ -871,8 +868,7 @@ POST permission to `/apis/certificates.k8s.io/certificatesigningrequests/nodecli
 Kubeadm ensures that certificate rotation is enabled for nodes, and that new certificate request for nodes will get its CSR request
 automatically approved by the csrapprover controller. 
 -->
-Kubeadm 确保节点启用了证书轮换，csrapprover 控制器将自动批准节点的
-新证书的 CSR 请求。
+Kubeadm 确保节点启用了证书轮换，csrapprover 控制器将自动批准节点的新证书的 CSR 请求。
 
 <!-- 
 This is implemented by creating ClusterRoleBinding named `kubeadm:node-autoapprove-certificate-rotation` between the  `system:nodes` group
@@ -910,10 +906,10 @@ Please note that:
 to the internet; worst-case scenario here is a DoS attack where an attacker uses all the in-flight requests the kube-apiserver
 can handle to serving the `cluster-info` ConfigMap.
 -->
-1. 对 `cluster-info` ConfigMap 的访问 _不受_ 速率限制。
+1. 对 `cluster-info` ConfigMap 的访问 **不受** 速率限制。
    如果你把 API 服务器暴露到外网，这可能是一个问题，也可能不是；
-   这里最坏的情况是 DoS 攻击，攻击者使用 kube-apiserver 能够处理的所有动态请求
-   来为 `cluster-info` ConfigMap 提供服务。
+   这里最坏的情况是 DoS 攻击，攻击者使用 kube-apiserver 能够处理的所有动态请求来为
+   `cluster-info` ConfigMap 提供服务。
 
 <!--
 ### Install addons
@@ -1000,7 +996,7 @@ This is split into discovery (having the Node trust the Kubernetes Master) and T
 see [Authenticating with Bootstrap Tokens](/docs/reference/access-authn-authz/bootstrap-tokens/) or the corresponding [design proposal](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/cluster-lifecycle/bootstrap-discovery.md). 
 -->
 请参阅[使用引导令牌进行身份验证](/zh-cn/docs/reference/access-authn-authz/bootstrap-tokens/)
-或相应的[设计提案](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/cluster-lifecycle/bootstrap-discovery.md)。
+或相应的[设计提案](https://github.com/kubernetes/design-proposals-archive/blob/main/cluster-lifecycle/bootstrap-discovery.md)。
 
 <!--
 ### Preflight checks
@@ -1026,8 +1022,8 @@ cluster startup problems.
 2. 从 1.24 开始，kubeadm 使用 crictl 与所有已知的 CRI 端点进行通信。
 3. 从 1.9 开始，kubeadm 支持加入在 Windows 上运行的节点；在这种情况下，
    将跳过 Linux 特定的控制参数。
-4. 在任何情况下，用户都可以通过 `--ignore-preflight-errors` 选项跳过
-   特定的预检（或者进而跳过所有预检）。
+4. 在任何情况下，用户都可以通过 `--ignore-preflight-errors`
+   选项跳过特定的预检（或者进而跳过所有预检）。
 
 <!--
 ### Discovery cluster-info
@@ -1067,13 +1063,13 @@ the cluster CA certificates from the  `cluster-info` ConfigMap in the `kube-publ
   - As a additional validation, the CA certificate is retrieved via secure connection and then compared with the CA retrieved initially
 -->
 - 首先，通过不安全连接检索 CA 证书（这是可能的，因为 `kubeadm init` 授予
-  `system:unauthenticated` 的用户对 `cluster-info` 访问权限）
+  `system:unauthenticated` 的用户对 `cluster-info` 访问权限）。
 - 然后 CA 证书通过以下验证步骤：
   - 基本验证：使用令牌 ID 而不是 JWT 签名
   - 公钥验证：使用提供的 `--discovery-token-ca-cert-hash`。这个值来自 `kubeadm init` 的输出，
     或者可以使用标准工具计算（哈希值是按 RFC7469 中主体公钥信息（SPKI）对象的字节计算的）
     `--discovery-token-ca-cert-hash` 标志可以重复多次，以允许多个公钥。
-  - 作为附加验证，通过安全连接检索 CA 证书，然后与初始检索的 CA 进行比较
+  - 作为附加验证，通过安全连接检索 CA 证书，然后与初始检索的 CA 进行比较。
 
 <!-- Please note that: -->
 请注意：
@@ -1094,8 +1090,7 @@ the cluster CA certificates from the  `cluster-info` ConfigMap in the `kube-publ
 If `kubeadm join` is invoked with `--discovery-file`, file discovery is used; this file can be a local file or downloaded via an HTTPS URL; in case of HTTPS, the host installed CA bundle is used to verify the connection. 
 -->
 如果带 `--discovery-file` 参数调用 `kubeadm join`，则使用文件发现功能；
-该文件可以是本地文件或通过 HTTPS URL 下载；对于 HTTPS，主机安装的 CA 包
-用于验证连接。
+该文件可以是本地文件或通过 HTTPS URL 下载；对于 HTTPS，主机安装的 CA 包用于验证连接。
 
 <!--  
 With file discovery, the cluster CA certificates is provided into the file itself; in fact, the discovery file is a kubeconfig
@@ -1123,8 +1118,8 @@ TLS 引导。
 The TLS bootstrap mechanism uses the shared token to temporarily authenticate with the Kubernetes API server to submit a certificate
 signing request (CSR) for a locally created key pair.
 -->
-TLS 引导机制使用共享令牌对 Kubernetes API 服务器进行临时身份验证，以便
-为本地创建的密钥对提交证书签名请求（CSR）。
+TLS 引导机制使用共享令牌对 Kubernetes API 服务器进行临时身份验证，
+以便为本地创建的密钥对提交证书签名请求（CSR）。
 
 <!--  
 The request is then automatically approved and the operation completes saving `ca.crt` file and `kubelet.conf` file to be used