Могут ли ресурсы в разных блоках cidr одного и того же VPC достигать друг друга?

Да, это выполнимо, если к вашим ресурсам подключить правильные группы безопасности. Пока вы устанавливаете правильную конфигурацию через группы безопасности, не имеет значения, находятся ли ваш источник и назначение в одной подсети или нет. Например, возьмите следующую настройку:

instance-1 в subnet-1 (CIDR: 10.0.0.0/16) в vpcA

instance-2 в subnet-2 (CIDR: 10.1.0.0/16) в vpcA (тот же VPC)

Создайте следующие группы безопасности:

1. security-group-client (без особых правил)

2. security-group-target (с правилом Inbound, которое разрешает входящие запросы от security-group-client в нужном порту)

Сейчас прикрепить security-group-client на ваш клиентский экземпляр (скажем, экземпляр-1) и security-group-target к вашей цели (instance-2)

Тот факт, что ваши экземпляры находятся в разных блоках CIDR (или подсетях), не имеет значения. По умолчанию у них нет доступа, но вы всегда можете что-то настроить.

Вы должны быть в состоянии применить ту же логику с чем-то вроде Amazon Neptune. Вы предоставляете экземпляр в группе подсетей БД, которая является просто набором подсетей. С каждой подсетью связан CIDR. Ваш экземпляр базы данных будет подготовлен в одной из ваших подсетей. (Вы можете принудительно выбрать подсеть /AZ во время создания, но это не имеет отношения к этому обсуждению).

Когда у вас есть БД, создайте 2 группы безопасности, как указано выше, одну для клиента и одну для базы данных. Группа безопасности для БД должна разрешать входящие соединения от другого. Затем вы можете присоединить группу безопасности к вашему кластеру БД, выполнив modify-db-cluster запрос (или через консоль, или просто создайте группы безопасности заранее и свяжите их с базой данных во время самого рабочего процесса создания).

Надеюсь это поможет.