Перекрытие CIDR между AWS VPC и локальной сетью

Мне нужно подключить AWS VPC к локальной сети. Из-за ограниченного диапазона CIDR мне нужно выбирать между транзитным шлюзом и моей предпочтительной архитектурой учетной записи / VPC. Нужен совет.

1. Я разрабатываю среду AWS для запуска некоторых приложений для большой компании.
2. Большая компания имеет большую локальную сеть - настолько большую (или настолько плохо разбитую), что они могут сохранить только диапазон / 25 CIDR (128 адресов)
3. Мои приложения должны отправлять / получать данные в / из систем в локальной сети.
4. Обычно они используют транзитный шлюз для подключения между локальными компьютерами и VPC AWS.
5. По причинам управления / ремонтопригодности / здравомыслия я хотел бы разделить версии моего приложения для разработки, промежуточной и производственной разработки в отдельные учетные записи (или, по крайней мере, в VPC). В каждой среде задействовано множество различных компонентов AWS.

Вопросов:

1. Если предоставленные CIDR слишком малы для моей среды, можно ли использовать какую-либо настройку NAT?
2. Я понимаю, что это невозможно с Transit Gateway. Что мы можем использовать вместо этого?
3. Стоит ли усложнять настройку сети, чтобы добиться разделения dev / stage / prod?