Colocação em rede de gerenciadores e trabalhadores do Docker

Eu tenho uma rede segmentada clássica (uma rede DMZ e uma rede LAN interna com um roteador / firewall intermediário) e um composto de cluster Docker Swarm por 3 nós, todos gerenciadores (Dm).

A maneira como atualmente colocamos os nós do gerenciador de encaixe é essa (veja os "Dm's" na DMZ):

           |  / \
Internet: \|/  |
----------------------------------------------------
DMZ     : Dm Dm Dm
----------------------------------------------------
LAN     : (some non containerized backend services)

Eu queria saber sobre o benefício real de investir na expansão desse cluster único com alguns nós extras como workers (Dw) na DMZ e mover os gerentes (Dm) dentro da LAN, assim:

           |  / \
Internet: \|/  |
----------------------------------------------------
DMZ     : Dw Dw
----------------------------------------------------
LAN     : Dm Dm Dm + (some non containerized backend services)

Meu raciocínio para a mudança é:

1. Como mencionado, evite ter nós do gerenciador do estivador na DMZ, em vez disso, mova seus gerentes para a LAN interna e coloque 2 trabalhadores na DMZ.
2. Coloque os contêineres de proxies de inversão ou de encaminhamento nos nós do trabalhador, para que eles estejam atendendo à solicitação na DMZ como de costume; coloque servidores de aplicativos ou cache NoSQL nos gerenciadores para que eles estejam na LAN interna, novamente como de costume.
3. Mesmo se você estiver adicionando dois nós extras (trabalhadores na DMZ), não use menos de 3 nós de gerenciador, por motivos de alta disponibilidade. Se fizer o contrário: adicione mais nós de trabalho na LAN interna para que seus gerentes não executem nenhum contêiner.

Meus pontos fazem sentido? Se estiver bem, concorda com uma experiência anterior (por isso é assim que implementa o Docker Swarm)? Algum problema em potencial?