Estou tentando bloquear um conjunto de regras NAT do balanceador de carga do Azure para determinados intervalos de endereços do CIDR por meio de grupos de segurança de rede, com o objetivo de não expor diretamente as portas SSH / RDP à Internet. O balanceador de carga está vinculado a um IP estático front-end e configurado com regras de balanceamento de carga e conjuntos nat de entrada.
A pilha é configurada por meio dos modelos do Azure Resource Manager.
Atribuir um grupo de segurança de rede na sub-rede funciona conforme o esperado. Adicionar um grupo de segurança de rede a uma NIC no conjunto de dimensionamento não funcionou, possivelmente, uma limitação ou é diferente do recurso ARM da máquina virtual.