Блокировка подсетей Azure с помощью групп безопасности сети

Я не думаю, что в настоящее время это возможно, но я попробую.

VNET «main» содержит подсети «A» и «B».

Подсеть A содержит виртуальную машину A1. Подсеть B содержит виртуальные машины B1 и B2.

По умолчанию (даже если NSG применена к подсети) все в обеих подсетях могут взаимодействовать друг с другом из-за стандартного правила «AllowVnetInBound».

Если установлено правило DenyAll в подсети B с более высоким приоритетом, чем правило «AllowVnetInBound», это предотвращает взаимодействие A1 с B1 и B2, но также останавливает взаимодействие B1 с B2 из-за того, что правила NSG фактически применяются на уровне NIC, т. е. NSG уровня подсети является просто удобный способ массового применения групп безопасности сети сетевого интерфейса.

Итак, есть ли способ предотвратить взаимодействие подсети A с подсетью B, не прерывая весь трафик между B1 и B2 ИЛИ указав каждое последнее правило B1 – B2 в NSG?