ImagePullSecret 是一种机制，用于向 kubelet 提供凭据以拉取特定服务帐户运行的 pods 的镜像。这提供了集群租户之间图像访问的分割。现在，Kubernetes 有一个功能更丰富的服务帐户令牌发行者，我们可以利用绑定的服务帐户令牌而不是静态密钥来对 kubelet 进行 docker 注册表的身份验证。
Strawman 流程：

1. 作为服务帐户 foo 运行的 pod 与镜像 bar.io/baz 绑定到一个节点上
2. 节点上的 Kubelet 请求服务帐户 foo 的令牌，受众为 bar.io
3. (可选)Kubelet 执行 OAuth token exchange,这是我们在 CRI 中已经实现的通用方法
4. Kubelet 将生成的令牌作为 registry_token(仅类型为 Bearer 的访问令牌)传递给 CRI。
   @smarterclayton 在一段时间前在 pod-identity-wg 会议上谈到了这个问题。
   @kubernetes/sig-auth-feature-requests @kubernetes/sig-node-feature-requests
   /kind 功能
   /sig auth