Как работают VPC Subnets и зачем разделять на публичные и приватные?

Публичная подсеть — route table содержит маршрут к Internet Gateway, инстансы могут иметь Public IP. Приватная — нет прямого маршрута в интернет, только через NAT Gateway или VPN. Разделение обеспечивает безопасность: БД и приложения в приватных подсетях недоступны из интернета напрямую. Типичная архитектура: ALB в публичной, App + DB в приватных. NAT Gateway позволяет приватным инстансам делать исходящие запросы (обновления, API вызовы).