我正在尝试尽可能地保护我的Azure OpenAI Web应用程序，但我不知道如何将流量保持在我的虚拟网络中的应用程序网关后面。
以下是我目前掌握的信息：

• 在其自己的子网内具有公共IP的应用网关（现在它正在侦听端口80，没有SSL）。
• Web应用程序（通过应用程序服务创建）位于应用程序网关后面，默认域为 *. azurewebsites.net。使用访问限制，我只允许从网关的公共IP访问此应用程序。此Web应用通过Python SDK调用我的Azure OpenAI部署。
• Azure OpenAI部署允许从所有网络访问。Azure OpenAI有一个专用端点，但它没有任何效果，因为在 * 网络>防火墙和虚拟网络 * 下，我选择了 * 所有网络 *。
• 现在，我没有为用户使用任何身份验证机制，比如Active Directory。

图：

的数据
我现在想像这样限制网络流量：

• 将Web应用程序放置在Azure OpenAI的私有端点使用的同一虚拟网络中
• 仅允许从Web应用的子网到Azure OpenAI的流量
• 通过使用专用端点限制Azure OpenAI流量
• 可能为Web应用程序使用私有端点

我首先为Web应用程序启用VNet集成，并将其放在自己的子网中。该子网与Azure OpenAI位于同一虚拟网络中，并且具有Microsoft.CognitiveServices的服务端点。
该应用程序无法再调用Azure OpenAI（我收到500错误）。我尝试在Azure OpenAI网络设置中将应用的子网列入白名单（“允许从选定网络和专用端点访问”），但没有帮助。
我应该如何更改设置，以便尽可能少的流量离开我的虚拟网络？