如何使用站点到站点 VPN 限制对中心辐射型 VNet 架构中特定端点的本地访问？

我有一个与此主题相关的问题：https://learn.microsoft.com/en-us/answers/questions/1361035/how-to-allow-and-restrict-resources-in-site-to-sithttps ://learn.microsoft.com/en-us/answers/questions/1361035/how-to-allow-and-restrict-resources-in-site-to-sit。

描述：

我有一个设置了 VPN 网关的 VNet，它充当中心，并与托管我的生产、测试和开发资源的其他三个 VNet 建立对等互连。在每个 VNet 中，本地设备应有权访问特定端点（地址仅是示例）：

生产：10.100.1.2 测试：10.100.2.2 开发：10.100.3.2

根据第一个主题，我应该修改所有三个 VNet 中的 NSG 规则。但是，我发现了另一个主题：https://learn.microsoft.com/en-us/answers/questions/767869/site-to-site-vpn-subjects-to-nsg，这表明一旦流量进入通过中心 VNet 中的 VPN 网关的 Azure 网络，它被视为源自 Azure 网络本身。因此，我的 NSG 规则将无法按预期工作，并且本地设备将有权访问我的所有资源。

解决这个问题的正确方法是什么？