Por que o meu aplicativo da web implementado em um ambiente de serviço de aplicativo que está associado a uma rede virtual não vê minha máquina virtual?

Cenário:

1. O intervalo de endereços da VNET é 10.2.0.0/23 com sub-rede padrão de 10.2.0.0/27
2. Nova instância do ASE, configurada para usar a VNET da etapa 1 e na mesma sub-rede Padrão
3. A VM MySQL juntou-se ao VNET do primeiro passo em 10.2.0.8, bom para ir!
4. Adicione o novo Azure Web App ao Plano de Serviço do ASE da etapa 2
5. Implantar o código do site no Azure Web App configurado para apontar para 10.2.0.8 para a VM do MySQL
6. Hit site da etapa 5 e, ao tentar falar com o MySQL VM, ele é negado no acesso à rede tentando se conectar a 10.2.0.8

Agora, se eu configurar um ponto a ponto e conectar explicitamente o aplicativo da web a esse ponto a site, eu posso passar, mas obviamente agora todo o meu tráfego está passando por um gateway e isso não é o desejado configuração. Além disso, se eu usar o endereço público do .cloudapp.net (e expor o público da porta do MySQL) eu posso passar, mas obviamente isso é ainda pior porque eu estou indo para a internet. Obviamente, o objetivo de colocar a VM e o ASE na mesma VNet / sub-rede é para que eles possam conversar diretamente um com o outro.

Então, o que estou perdendo? Eu estou completamente fora da base no meu entendimento de que colocar um ASE em uma VNet deve fazer com que seus aplicativos relacionados sejam executados automaticamente na mesma VNet?