Могут ли ресурсы в разных блоках cidr одного и того же VPC достигать друг друга aws

Да, это можно сделать, подключив к вашим ресурсам правильные группы безопасности. Пока вы настраиваете допустимую конфигурацию через группы безопасности, не имеет значения, находятся ли ваш источник и место назначения в одной подсети или нет. Например, возьмем следующую настройку:

instance-1 в subnet-1 (CIDR: 10.0.0.0/16) в vpcA

instance-2 в subnet-2 (CIDR: 10.1.0.0/16) в vpcA (тот же VPC)

Создайте следующие группы безопасности:

1. security-group-client (без особых правил)

2. security-group-target (с правилом для входящего трафика, которое разрешает входящие запросы от security-group-client на требуемый порт)

Теперь прикрепите security-group-client к вашему клиентскому экземпляру (скажем, instance-1) и security-group-target к вашей цели (instance-2)

Тот факт, что ваши экземпляры находятся в разных блоках (или подсетях) CIDR, не имеет значения. По умолчанию у них нет доступа, но вы всегда можете что-то настроить.

Вы должны уметь применить ту же логику к чему-то вроде Amazon Neptune. Вы предоставляете экземпляр в группе подсетей БД, которая представляет собой просто набор подсетей. Каждая подсеть имеет связанный с ней CIDR. Ваш экземпляр базы данных будет подготовлен в одной из ваших подсетей. (Вы можете принудительно выбрать подсеть / зону доступности во время создания, но это не имеет отношения к данному обсуждению).

Когда у вас есть БД, создайте 2 группы безопасности, как указано выше, одну для клиента и одну для БД. Группа безопасности для базы данных должна разрешать входящие соединения от другой. Затем вы можете присоединить группу безопасности к своему кластеру БД, выполнив modify-db-cluster запрос (или через Консоль, или просто заранее создав группы безопасности и связав их с БД во время самого рабочего процесса создания).

Надеюсь это поможет.