Да, это выполнимо, если к вашим ресурсам подключить правильные группы безопасности. Пока вы настраиваете правильную конфигурацию через группы безопасности, не имеет значения, находятся ли ваш источник и пункт назначения в одной подсети или нет. Например, возьмите следующую настройку:
instance-1 в subnet-1 (CIDR: 10.0.0.0/16) в vpcA
instance-2 в subnet-2 (CIDR: 10.1.0.0/16) в vpcA (тот же VPC)
Создайте следующие группы безопасности:
security-group-client (без особых правил)
security-group-target (с правилом входящих, разрешающим входящие запросы от security-group-client на требуемый порт)
Теперь присоедините security-group-client к вашему клиентскому экземпляру (скажем, instance-1) и security-group-target к вашей цели (instance-2)
Тот факт, что ваши экземпляры находятся в разных блоках CIDR (или подсетях), не имеет значения. По умолчанию у них нет доступа, но вы всегда можете что-то настроить.
Вы должны быть в состоянии применить ту же логику с чем-то вроде Amazon Neptune. Вы предоставляете экземпляр в группе подсетей БД, которая является просто набором подсетей. С каждой подсетью связан CIDR. Ваш экземпляр базы данных будет подготовлен в одной из ваших подсетей. (Вы можете принудительно выбрать подсеть / AZ во время создания, но это не имеет отношения к этому обсуждению).
Когда у вас есть БД, создайте 2 группы безопасности, как указано выше, одну для клиента и одну для базы данных. Группа безопасности для БД должна разрешать входящие соединения от другого. Затем вы можете присоединить группу безопасности к вашему кластеру базы данных, выполнив запрос modify-db-cluster (или через консоль, или просто создать группы безопасности заранее и связать их с базой данных во время самого рабочего процесса создания).
Надеюсь, это поможет.