Используйте Envoy для настройки туннеля между сетями

Для сценария использования гибридного облака мы изучаем возможность использования EnvoyProxy в качестве решения для перемещения данных через локальный брандмауэр. Предполагаемая настройка выглядит следующим образом:

• Приложение A находится в локальной сети без прямого исходящего или входящего подключения к Интернету.
• Приложение B находится в облаке
• Прокси-сервер посланника (ПК) размещается в облаке
• Прокси-сервер envoy (PA) размещается в локальной сети и настраивается для разрешения исходящего сетевого подключения к ПК.
• PA создает открытое двунаправленное аутентифицированное TLS-соединение с ПК, эффективно создавая туннель между ними
• Приложение B вызывает конечную точку API на ПК, которая направляется в PA через открытое TLS-соединение и перенаправляется PA в приложение A.

Маршрутизация данных с Envoy в восходящие кластеры хорошо документирована. Однако нам интересно, может ли Envoy установить соединение TLS между двумя экземплярами прокси и использовать этот канал в обоих направлениях. Ограничение заключается в том, что это TLS-соединение можно настроить только с одного направления (исходящего).

Если это возможно, может ли кто-нибудь указать мне правильное направление?

С уважением, Йост