Ha pl. van minden AZ-ben 1 privát subnet akár 1 NAT gateway is képes ellátni a kimenő forgalmat de nem célszerű. Mi mindig csinálunk 1 Internet gateway-t mind a 3 publikus subnethez, és külön NAT gateway-t minden privát subnethez (per AZ)
Mi 1 ALB-t használunk rengeteg backend szerverhez de a tanúsítványnak ehhez sok köze nincs. Ha nem akarsz sokat kezelni akkor wildcard vagy SAN (multi domain) tanúsítvány kell
https://aws.amazon.com/blogs/aws/new-application-load-balancer-sni/