问GKE/Istio:外部无法连接内网集群的服务

EN

我已经通过云控制台UI与Istio创建了一个私有GKE集群。该集群使用VPC对等设置，以便能够到达另一个Google Cloud Project中的另一个私有GKE集群。

我已经使用Kubernetes中的服务在staging命名空间中创建了一个部署(名为website)。我的目标是使用特使代理，通过Istio向外部世界公开此服务。我已经创建了必要的VirtualService和Gateway，遵循this guide。

运行"kubectl exec ...“要访问私有集群中的pod，我可以成功连接到website服务的内部IP地址，并使用"curl“查看该服务的输出。

我已经设置了NAT网关，私有集群中的pods可以连接到Internet。我通过curl-ing website pod中的各种非Google网页证实了这一点。

但是，正如上面的指南所提到的，我不能使用website服务的External IP从外部连接到istio-ingressgateway服务。相反，curl-ing External IP会导致超时。

我将所有相关资源的完整YAML配置放在一个私有的Gist中，如下所示：https://gist.github.com/marceldegraaf/0f36ca817a8dba45ac97bf6b310ca282

我想知道我在这里的配置中是否遗漏了什么，或者我的用例实际上是不可能的？