Kubernetes 在Istio中配置用于转发客户端证书的EnvoyFilter

以下是我的配置（参考github的XFCC常见示例）：

两个问题：

我的IngressGateway是在自定义命名空间“X”中配置的，我是否也应该在该命名空间中配置EnvoyFilter？还是违约？或Istio系统

我有一个场景，集群外的客户端调用我的API并在头中传递证书（我在网关上进行TLS终止，并配置了全局mtls和ISTIO_MUTUAL客户端），我需要将该证书传递给集群内的服务。不幸的是，在上述配置中，XFCC头只包含citadel内部证书的证书详细信息，而不包含客户端的证书详细信息。我是不是错过了一些基本的东西

提前谢谢你

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name: xfcc-forward
  namespace: istio-system
spec:
  configPatches:
  - applyTo: NETWORK_FILTER
    match:
      context: GATEWAY
      listener:
        filterChain:
          filter:
            name: "envoy.http_connection_manager"
    patch:
      operation: MERGE
      value:
        typed_config:
          "@type": "type.googleapis.com/envoy.config.filter.network.http_connection_manager.v2.HttpConnectionManager"
          forward_client_cert_details: ALWAYS_FORWARD_ONLY
          set_current_client_cert_details:
            subject: true
            cert: true
            chain: true