Возможно ли иметь правила безопасности для разных внутренних пулов шлюза приложений Azure?

У меня есть шлюз приложений Azure перед кластером AKS. Кластер имеет несколько внутренних IP-адресов, опубликованных через внутренний балансировщик нагрузки, поэтому с ip-адресами из подсети, в которой находится кластер.

Я определил группу сетевой безопасности в подсети шлюза и могу запретить / разрешить весь трафик на внутренние ip-адреса с использованием подстановочных знаков.

Однако я хочу контролировать трафик более детально, я хочу разрешить одному внешнему IP-доступу к определенному внутреннему пулу шлюза и другому внешнему IP-доступу к другому внутреннему пулу. Я попытался использовать IP-адреса внутреннего балансировщика нагрузки в пункте назначения, но это не сработало. На самом деле, я не знаю, каким будет IP-адрес назначения для входящего трафика, поскольку я даже не могу заблокировать входящий трафик, когда я ставлю IP-адрес шлюза в качестве пункта назначения, только когда я использую *, я могу заблокировать весь входящий трафик.

Я мог бы решить это, используя несколько шлюзов, но это очень быстро удорожало.