Istio: sidecar EnvoyFilter 工作负载选择器未进行过滤

我遇到了一个问题，两个具有不同工作负载选择器的 EnvoyFilters，应该应用于不同的 pod 工作负载，而实际上两个 EnvoyFilters 却都应用于这两个工作负载。

更具体地说，我使用的是 Istio 1.4.9，我在两个不同的命名空间中拥有相同部署工作负载的两个实例，并且每个工作负载都有一个 sidecar。每个部署都应用了不同的标签。

kubectl get po --show-labels --all-namespaces -l app=myapp,namespace
NAMESPACE   NAME                    ...truncated...  LABELS
first       myapp-58489c8fcd-kch9f  ...truncated...  app=myapp,namespace=first ...truncated...
second      myapp-6f58dd65dd-tdjm7  ...truncated...  app=myapp,namespace=second ...truncated...

我想将不同的 Lua EnvoyFilter 实例附加到每个命名空间中的每个工作负载上，因此每个命名空间都有自己的过滤器。例如，第一个命名空间的过滤器如下所示。第二个命名空间类似，但是具有不同的工作负载选择器。

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name:  first-myapp-filter
  ...truncated...
spec:
  workloadSelector:
    labels:
      app: myapp
      namespace: first

然而，我发现给定的工作负载正在处理 BOTH EnvoyFilters，而不仅仅是被选择器匹配的过滤器。当我使用 istioctl 查看第一个命名空间中的 pod 的监听器时，它连接了 BOTH 过滤器。

"httpFilters": [
  {"name": "envoy.lua", "config": {"inlineCode": "function ...truncated... end\n" }},
  {"name": "envoy.lua", "config": {"inlineCode": "function ...truncated... end\n" }}

选择器似乎不按我预期工作。有什么调试方法吗？