Где мне настроить промежуточную среду в Amazon VPC? А тестирование?

Я настраиваю производственную среду для своего сервиса в Amazon VPC в Орегоне:

2 зоны доступности
1 общедоступная подсеть (включая bastion, nat и ELB) и 3 частные подсети (база данных, веб-серверы и конфигурация / контроль) в каждой зоне доступности.
11 групп безопасности

На данный момент существует около 25 виртуальных машин, и, надеюсь, их количество будет расти.

Сейчас я собираюсь настроить промежуточную среду, но не знаю, где ее разместить:

я должен просто поместите промежуточные экземпляры рядом с производственными экземплярами? В принципе, просто повторно использовать один и тот же регион Amazon, те же зоны доступности, одни и те же подсети и одни и те же группы безопасности? Мне просто нужно было бы создать новые ELB, указывающие на промежуточные экземпляры, и все. Просто.
или я должен разместить промежуточные экземпляры в их собственных подсетях, но все еще в том же регионе / зоне доступности? Однако общедоступные подсети должны быть одинаковыми, поскольку в одной зоне доступности не может быть двух общедоступных подсетей. Наличие отдельных подсетей могло бы упростить управление, и я мог бы иметь специальные правила маршрутизации для прохождения различных экземпляров nat и, возможно, другого бастиона. Более сложная, но более строгая безопасность. Я думаю, что мне, возможно, не понадобится удваивать группы безопасности, потому что у меня может быть один общий сетевой ACL, запрещающий трафик между производственной и промежуточной подсетями.
или я должен дублировать всю настройку в другом VPC? Поскольку у меня может быть только один VPC на регион Amazon, мне придется сделать это в отдельном регионе.

Вся суть промежуточной среды в том, чтобы быть идентичной производственной среде (или как можно ближе). Поэтому настройка промежуточной среды в другом регионе Amazon просто кажется неправильной: это исключает вариант 3, не так ли?

Вариант 1 наиболее близок к цели - максимально приблизиться к производству. Но наличие промежуточной и производственной среды в одних и тех же подсетях немного похоже на потенциальную проблему безопасности, не так ли? Так что я несколько склоняюсь к варианту 2, но мне интересно, достаточно ли серьезны потенциальные проблемы безопасности, чтобы оправдать необходимость управления вдвое большим количеством подсетей?

А как насчет тестовой среды? Он также должен напоминать продакшн, но не обязательно должен соответствовать ему так близко: все может уместиться на нескольких экземплярах, нет необходимости в ELB и всем остальном. Возможно, эта среда может поместиться в одной выделенной подсети в одном VPC? Находясь в том же VPC, он будет иметь простой доступ к репозиторию git и серверу Chef, а также инструментам наблюдения, openvpn и т. Д.

Я уверен, что многие люди переживали эти размышления? Что вы думаете об этом?

Спасибо.

Я бы сказал, что вариант 3 - лучший уровень изоляции и предотвращает влияние изменений в промежуточной среде на вашу производственную среду. Также ваше предположение об одном VPC на регион кажется неверным. Насколько мне известно, вы можете создать несколько VPC в одном регионе.

«Поскольку у меня может быть только один VPC на регион Amazon, мне придется делать это в отдельном регионе».

Я бы предложил отдельный vpc для каждой среды. Все общие ресурсы могут быть размещены в общем vpc и иметь пиринг между каждой из сред к общему vpc

Я бы посоветовал пойти с Вариант 2. По мере роста инфраструктуры AWS вам потребуются службы каталогов (серверы имен, каталог пользователей, каталог виртуальных машин, службы поиска и т. Д.). Если у вас два VPC, совместное использование служб каталогов будет непросто. Также, если вам нужен репозиторий кода (например, GitHub) или инструменты сборки (например, Jenkins), имеющие три отдельных VPC для DEV, Staging и Production существенно усложнят задачу.