Используется в начальной загрузке TLS для кублета в kubeadm. Когда вы запускаете команду kubeadm join, сервер API возвращает ConfigMap с содержимым kubeconfig как обычно. Дополнительные элементы данных в этом ConfigMap содержат подписи JWS. Kubeadm находит правильную подпись на основе части идентификатора токена токена. Kubeadm проверяет JWS и теперь может доверять серверу. Дальнейшее взаимодействие проще, поскольку сертификату CA в файле kubeconfig можно доверять