Маршрутизация устройства виртуальной сети Azure

На схеме у нас есть одна виртуальная сеть, две подсети и три системы.

• Azure «Пересылка IP» включена на интерфейсах маршрутизатора.
• Таблицы маршрутизации создаются для «доверительных» и «недоверенных» подсетей.
• На машинах создаются статические маршруты (скрытые маршруты — это маршруты хоста, чтобы я не отключился)

Мы видим, что Боб успешно пингует Алису.

Несмотря на то, что маршрутом по умолчанию для Боба является маршрутизатор, таблица маршрутизации Azure устанавливает маршрут по умолчанию для Боба к маршрутизатору, а Алиса не находится в той же подсети, трафик не проходит через маршрутизатор!?

Это поднимает для меня два больших вопроса

• Почему и как Azure это делает? Кажется, это полностью противоречит логике Layer3.

• Как нам это сделать в Azure?

Мое следующее предположение заключается в том, что это, возможно, придется сделать с отдельными виртуальными сетями, но если я использую виртуальные сети, означает ли это 3 виртуальные сети? 1 для виртуального устройства и по 1 для каждой подсети?