Кажется, что вы хотите ограничить входящий трафик только от конкретной облачной службы до AKS. И наоборот, вы можете добавить входящие правила, чтобы разрешить трафик, к которому вы хотите получить доступ к AKS. Тогда трафик, который вы не добавили, разрешающее правило будет отклонено, поскольку в каждом NSG есть входящее правило DenyAllInBound. Фильтры трафика в соответствии с приоритетом. (Высокий приоритет - небольшое значение) во входящем правиле.
Обновление
Если вы разрешаете только одну конкретную облачную службу во входящем трафике, вы просто устанавливаете источник на определенный IP-адрес во входящем правиле вашего NSG. Назначенный IP-адрес для облачной службы не изменится, если вы не остановите и не возобновите предоставление услуги. Если вы уверены, что знаете фиксированный IP-адрес в своей подписке, даже если вы удалили и повторно предоставили, вы можете использовать зарезервированный IP-адрес для облачных служб. Ссылка: Статический IP-адрес для облачной службы в Azure
Зарезервированные IP-адреса (Classic)