Além das implicações de segurança, há também outro aspecto: se você deseja permitir que instâncias sem IPs elásticos acessem a Internet, talvez seja necessário ter duas (ou mais) sub-redes diferentes.
Parafraseando a documentação da AWS , em uma VPC há três maneiras de permitir o acesso à instâncias da Internet:
- IPs elásticos - mas você só tem 5 por padrão, e depois precisa pagar mais
- Encaminhar o tráfego por meio de um Virtual Private Gateway - isso exige que você tenha uma conexão VPN de hardware com sua rede corporativa (ou doméstica)
-
Configure uma instância NAT e direcione todo o tráfego de saída pelo NAT
A terceira opção é a interessante, pois a instância NAT tem que ficar dentro de uma sub-rede "pública", onde todo o tráfego de saída é roteado para um Gateway da Internet, mas todas as outras instâncias precisam ficar em uma sub-rede "privada". o tráfego de saída é roteado para a instância NAT.
Em suma, se você planeja usar um NAT, precisa de pelo menos duas sub-redes.