服務到服務、前端代理和雙重代理

上圖顯示了前端代理組態，以及另一個作為雙重代理運行的 Envoy 叢集。雙重代理背後的想法是，盡可能在靠近使用者的位置終止 TLS 和客戶端連線會更有效率（TLS 握手往返時間更短、TCP CWND 擴展更快、封包遺失的機會更少等）。在雙重代理中終止的連線，接著會多路複用至在主資料中心中運行的長期 HTTP/2 或 HTTP/3 連線。

在上圖中，在區域 1 中運行的前端 Envoy 代理通過 TLS 相互身份驗證和固定憑證，與在區域 2 中運行的前端 Envoy 代理進行身份驗證。這使得在區域 2 中運行的前端 Envoy 實例能夠信任通常不可信任的傳入請求元素（例如 x-forwarded-for HTTP 標頭）。

組態範本

原始碼發行版本包含一個雙重代理組態範例。請參閱此處以取得更多資訊。