Лазурный вход, поскольку внутренний баланс нагрузки за WAF не направляет запрос к бэкэнду

Я развертываю приложение с акс на лазуре. Я использовал ingress для перенаправления разных запросов в разные бэкэнд-сервисы по пути. Мне нужно скрыть вход за waf из соображений безопасности. Так что я установил ingress-сервис с аннотацией azure-internal, чтобы получить внутренний IP-адрес внутри vnet. Затем назначьте его в качестве внутреннего пула WAF. Но трафик больше не перенаправляется на pods. Я предполагаю, что это вызвано этим распределением нагрузки, перенаправляющим запрос к его бэкэнду, но у него нет никакого настроенного бэкэнда. Backend назначается через входной объект, который обновляется до файла nginx.conf контроллера nginx. Кто-нибудь сталкивался с тем же требованием? Что я должен сделать, чтобы позволить waf передать запрос ingress-service и ingress-service pass pod через ingress-controller, чтобы сохранить работу перенаправления на основе пути? заранее спасибо