брандмауэр разрешить правило входа для внутреннего IP (NLB), исключить внешний IP?

Обычно я использую экземпляры только с частным IP, перед которыми стоит внешний NLB. Эта настройка использует Cloud NAT для выхода из любого экземпляра.

Для одного приложения я столкнулся с этой документацией GCP: «Если виртуальной машине необходимо быстро открывать и закрывать TCP-соединения с одним и тем же IP-адресом назначения и портом назначения с использованием одного и того же протокола, вы должны назначить внешний IP-адрес виртуальной машине и использовать правила брандмауэра для ограничения нежелательных входящих подключений вместо использования Cloud NAT».

Итак, я хочу, чтобы мой брандмауэр разрешал правило входа только для частного IP-адреса (через NLB) и сохранял [рекомендуемый] внешний IP-адрес заблокированным для входа. Или, возможно, правило запрета на вход только для внешнего IP-адреса.

Я не понимаю, как это сделать, хотя я подозреваю, что у других такая же проблема.

Спасибо.