Receio que o ServerFault não seja um local para conduzir pesquisas ou solicitar respostas baseadas em opinião.
De qualquer forma, sua configuração parece ser muito complicada .
Como na segurança e no firewall da AWS é feito predominantemente usando Grupos de segurança , não importa se você tem 6 camadas de sub-rede como você descreve na pergunta ou apenas 2 por VPC - Pública e Privada .
-
Os recursos nas sub-redes públicas possuem IPs públicos / elásticos e podem ser acessados da Internet, se as regras da SG permitirem
Por exemplo - public ELB / ALB, jump hosts, etc
-
Os recursos nas sub-redes privadas não podem ser acessados de fora e usam o NAT para conversar
Por exemplo - clusters de RDS, clusters de ECS, servidores da Web (ocultos por trás do ELB), etc.
-
Opcionalmente, você pode ter sub-redes privadas sem acesso à internet - às vezes usadas em bancos de dados (RDS), mas quase sempre são colocadas nas
sub-redes privadas .
É claro que suas camadas de sub-rede públicas e privadas devem abranger alguns AZs para alcançar alta disponibilidade, mas não exagere. Use 2 ou 3 AZs max , o que geralmente é suficiente, mesmo que em algumas regiões você possa ter muito mais.
Tecnicamente, é claro que você não pode abranger uma sub-rede em AZs, mas você pode ter 172.31.0.0/24 priv-a em AZ "a" e priv-b 172.31.1.0/24 em AZ "b" e implantar ELBs e ASGs em ambos e tratá-lo como um.
Observe que todas as opções acima se aplicam a por VPC . Normalmente, você terá várias VPCs , por exemplo. um por estágio (dev, teste, ..) e até mesmo várias contas da AWS por projeto (por exemplo, dev e prod ) para uma maior separação entre cargas de trabalho de produção e desenvolvimento / teste.
Nada disso são regras difíceis, é claro. Alguns clientes exigem mais camadas de sub-rede ou mais AZs por VPC, mas essas são exceções.
Para a maioria das VPCs, as sub-redes Pública + Privada em 3 AZs estão perfeitamente bem.
E lembre-se - Grupos de segurança são seus amigos:)