Kubernetes 如何在Kubernete中生成和自动续订自定义CA证书

我有一个Kubernetes集群（1.10），我将把它用于一些需要与部署在同一集群中的MessageBroker对话的应用程序

我希望将代理配置为仅接受来自特定自签名CA的x509证书，并且作为安全措施，我希望在部署所述pod时生成每个pod与代理通信所需的客户端证书，并更新所述证书（以及重新启动服务）要自动化

我可以看到Kubernetes有一个证书端点，但我找不到任何关于如何以这种方式使用它的文档

这样做的最佳选择是什么？我知道像Istio这样的某些应用程序内置了此功能，但在这种情况下，我需要一些能够与我自己的自定义自签名CA一起工作的东西，允许我使用我认为合适的证书

---

我是否需要为此开发一个操作员，或者可能有人已经做了类似的事情？也许我这样做是错误的？

我建议研究一下，哪一个可以为集群内部署的服务提供相互tls，而无需在应用程序端进行开发