服务到服务、前端代理和双重代理

上图展示了前端代理配置与另一个运行为双重代理的 Envoy 集群。双重代理背后的理念是，在尽可能靠近用户的地方终止 TLS 和客户端连接效率更高（TLS 握手往返时间更短，TCP CWND 扩展更快，数据包丢失的可能性更小等）。在双重代理中终止的连接随后会被多路复用到运行在主数据中心的长期 HTTP/2 或 HTTP/3 连接上。

在上图中，运行在区域 1 的前端 Envoy 代理通过 TLS 双向身份验证和固定证书向运行在区域 2 的前端 Envoy 代理进行身份验证。这使得运行在区域 2 的前端 Envoy 实例能够信任通常无法信任的传入请求元素（例如 x-forwarded-for HTTP 标头）。

配置模板

源代码分发包含一个双重代理配置示例。有关更多信息，请参阅此处。