Restringir el tráfico entrante para que solo pase a través del Azure Load Balancer.

Por favor, ¿alguien podría aconsejar cómo restringir el acceso al puerto 80/443 en ciertas VMs de Azure, de manera que solo puedan ser accedidas a través de la dirección IP pública asociada a un Azure Load Balancer?

Nuestra configuración actual tiene reglas de balanceo de carga pasando el tráfico desde la dirección IP pública en el puerto 80 => 80 y 443 => 443, hacia un grupo de máquinas virtuales. Tenemos una sonda de salud configurada en el puerto 80. La persistencia de sesión está establecida en la dirección IP del cliente y la dirección IP flotante está desactivada.

Pensé que la respuesta era denegar el acceso (a través del Grupo de Seguridad de Red) a Internet (etiqueta de servicio) en los puertos 80/443. Luego agregar una regla para permitir la etiqueta de servicio (AzureLoadBalancer) en los mismos puertos. Pero eso no pareció tener efecto. Después de leer un poco más sobre esto, parece que la etiqueta AzureLoadBalancer solo permite el acceso de la sonda de salud y no específicamente el tráfico entrante de ese balanceador de carga.

También he intentado agregar reglas para permitir la dirección IP pública del balanceador de carga, pero nuevamente sin efecto.

Me preguntaba si tendría que empezar a mirar en los Cortafuegos de Azure y de alguna manera restringir el acceso al tráfico entrante que viene a través de eso.

La única forma en que puedo hacer que las VM respondan en esos puertos es agregando reglas que permitan el tráfico en el Puerto 80/443 de cualquier origen a cualquier destino…