Когда istio ServiceEntry с разрешением «DNS» обновляет карту маршрутизации istio?

Я пытаюсь настроить сервисную сетку Istio, особенно разрешение доменов, которые доступны только внутренним службам.

Мой вопрос: когда ServiceEntry с полем разрешения, установленным на «DNS», разрешает значения поля хостов и применяет их к таблице маршрутизации Istio?

Например, когда домен «mine.ops.hm-net» разрешается как «mine-ops-service»?

apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: internal-service-entry
spec:
  hosts:
    - "mine.ops.hm-net"
  ports:
  - name: http
    number: 80
    protocol: HTTP
  location: MESH_INTERNAL
  resolution: DNS
---
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: mine-ops-vs
  namespace: mine-ops
spec:
    hosts:
    - mine.ops.hm-net
    gateways:
      - mesh
    http:
    - route:
        - destination:
            host: mine-ops-service
            port:
              number: 80

Возможные сценарии, которые я могу себе представить:

• Когда ServiceEntry впервые регистрируется или обновляется.
• Всякий раз, когда требуется разрешение DNS (каждый раз, когда модуль запрашивает новый домен, которого нет в таблице маршрутизации Istio).
• У Istio есть собственный жизненный цикл обновления таблицы маршрутизации DNS.

Мне это интересно, потому что ServiceEntry с хостом с подстановочными знаками (например, *.ops.hm-net) не может быть разрешен.

Было бы разумно, если бы ServiceEntry обновлял таблицу маршрутизации Istio только после ее регистрации (первый сценарий), поскольку невозможно узнать адрес конечной точки с помощью *.opt.hm-net.

Я несколько раз читал официальную документацию Istio по DNS-проксированию и ServiceEntry, но мой вопрос там не упоминается.

Спасибо за чтение!