azure - 通过VPN网关的Azure VNET用户定义的路由

我们有两个本地位置（不同的IP范围），它们都通过站点到站点VPN和VPN网关连接到Azure中的单独VNET。

位置1的设备可以访问VNET1中的资源，而VNET1中的资源可以到达位置1的本地资源。

位置2处的虚拟设备可以访问VNET2中的资源，而VNET2中的资源可以到达位置2的本地资源。

现在，我们要设置一些共享服务（Kubernetes群集），这些共享服务可以从内部部署位置访问，也可以到达两个位置的设备。位于位置1的设备不应到达位于位置2的设备。

我可以在其中一个对等方上使用“允许网关转换”。但是我不能在两者上都使用它，因为只有在您还没有网关的情况下才能使用它，并且最多只能有一个对等。

因此，我一直在研究用户定义的路由（UDR）。但我没有运气。

在服务vnet的“默认”子网中，我尝试定义一个到10.252.0.0/16的路由，该路由将使用192.168.30.1（VNET 1 GW）作为下一跳。那行不通。我必须在两个vnet上设置一些虚拟防火墙设备以进行路由吗？

问：如何使位置1和2处的设备访问共享的Kubernetes服务，以及Kubernetes服务如何访问位置1和2处的本地资源。