在容器外，可以运行 kubectl proxy 命令，会在本地起一个 proxy。Proxy 帮你搞定鉴权、证书检验等。kubectl 需要的本地配置文件（一般是 ~/.kube/config）中已经包含了鉴权信息，因此 proxy 才能实现这种能力，你可以直接访问 kube-apiserver 的接口。

在容器内，一般你不需要访问 kube-apiserver。如果你真的需要，server 地址在环境变量中，鉴权信息在默认的 service account volumn 中（/var/run/secrets/kubernetes.io/serviceaccount/）。