ssl - Kubernetes集群证书轮换

我正在寻找有关证书轮换程序的建议。我一直在练习使用Kelsey Hightower的Kubernetes the hard way从头开始安装集群。理解构成Kubernetes集群的组件之间建立信任关系所需的证书真是太好了。

但是在查阅有关证书轮换的官方文档时，我仅发现this resource，其中仅提到了kubelet组件。

我想证书轮换的想法是更改所有涉及的证书：控制器管理器，kube代理，调度程序，api服务器等。

所以，我的问题是：

关于您建议的主题是否有任何资源？
在组件更新中应遵循的顺序应尽量减少服务中断？我想在一段时间内会出现通信问题，因为某些组件将使用旧证书，而另一些组件将使用新证书
说我备份旧证书（在其他路径中创建副本），并用新生成的证书替换当前文件。我是否仍需要重新启动包含某些证书配置的系统单元（或静态Pod /常规Pod），还是重新“热装”配置？

谢谢