使用负载均衡器限制azure vm中tomcat应用程序的互联网访问

我的设置是：面向公众的LB-Linux VM-Apache tomcat:2个应用程序-https://example.com和https://example.com/api/xxx。现在，所有的安全组和规则都已就绪，并且能够完美地访问所有内容。

需要：需要限制从互联网访问urlhttps://example.com。只能从客户端的内部网络访问它。

到目前为止：由于LB不支持基于url的限制，所以考虑使用RemoteCIDRValve在tomcat中进行此限制。在各自的上下文中提供了以下内容。

<Valve className="org.apache.catalina.valves.RemoteCIDRValve" allow="111.11.111.0/22,222.22.222.0/22, ::1"/>

但它也允许所有其他IP地址。这是因为当请求进来时，它是通过负载均衡器来的，所以IP在允许的CIDR范围内。我最初的想法是LB将从请求产生的地方发送客户端的ip。

请为解决这个问题投一些光。需要纠正什么？或任何其他解决方法…

下面是我的完整配置。这是在主机内部：

<Valve className="org.apache.catalina.valves.RemoteIpValve"  />
<Host name="example.com" appBase="xxxapps"
unpackWARs="true"  autoDeploy="true" deployOnStartup="true">
<Context name="API" path="/yyy" docBase="yyy.war"></Context>
<Context name="Portal" path="" docBase="zzz.war">
<Valve className="org.apache.catalina.valves.RemoteCIDRValve"
allow="xxx.yyy.zz.d/y, ::1"/>
</Context>
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs/xxxlogs"
prefix="xxx_access_log" suffix=".txt"
pattern="%h %l %u %t &quot;%r&quot; %s %b %{x-forwarded-for}i %{x-forwarded-by}i"
requestAttributesEnabled="true" />
</Host>