Я не думаю, что в настоящее время это возможно, но я попробую.
VNET "main" содержит подсети "A" и "B".
Подсеть A содержит виртуальную машину A1. Подсеть B содержит виртуальные машины B1 и B2.
По умолчанию (даже если к подсети применена группа безопасности сети) все в обеих подсетях может взаимодействовать друг с другом из-за стандартного правила «AllowVnetInBound».
Если правило DenyAll установлено в подсети B с более высоким приоритетом, чем правило «AllowVnetInBound», это предотвращает взаимодействие A1 с B1 и B2, но также останавливает взаимодействие B1 с B2 из-за того, что правила NSG фактически применяются на уровне NIC, т.е. группа безопасности сети уровня подсети - это просто удобный способ массового применения групп безопасности сети сетевого интерфейса.
Итак, есть ли способ предотвратить взаимодействие подсети A с подсетью B, не прерывая весь трафик между B1 и B2 ИЛИ указав каждое последнее правило от B1 до B2 в группе безопасности сети?
Да.
Укажите два запрещающих правила. Один с сетевой маской подсети A в качестве источника и сетевая маска подсети B в качестве пункта назначения и наоборот.