А зачем разносить по разным нетворкам а потом пирить? Тем

более что можно даже в разные каталоги одного облака разные сабнеты положить.

Но вообще если подумать, я не знаю зачем их разносить внутри одного каталога (это больше запрос от ИБшников, которые классически в облаках не очень понимают). Если не прибивать конкретные 2-3 маршрута в таблице маршрутизации связность между VPC получится полная и разницы с созданием сетей внутри одного каталога не будет. Если прибить гвоздями — будет много боли и страданий в управлении этим хозяйством с сомнительным результатом. Я позабыл, что здесь сети это скорее контейнер для адресов и географическая точка в пространстве, чем способ изоляции.

Оформилось это в голове наконец 🙂 Напомню ситуацию. У нас есть 2 окружения тест и прод, и платформа, которой ей предоставляет сервисы (всякие harbor, vault и т.д.). Хочется сохранить полную изоляцию теста и прода (в т.ч. на уровне платформенной части), и при этом для некоторых отдельных операций платформа-тест и платформа-прод будут друг с другом общаться, например передавать друг другу артефакт. При этом кажется, в один каталог платформу с продом класть не стоит (если прод ломанут и получат какой-нибудь сервис-токен к платформе в другом каталоге доступа все равно не получат). А платформу для теста и прода в один каталог положить можно — ей управляют одни и те же люди, вектора атаки из внешнего интернета здесь нет, поэтому сервисные токены считаем что в безопасности. И здесь больше важная сетевая изоляция — чтобы из продуктового VPC теста через цепочку из 2-3 других VPC трафик не попал в VPC прода. Соответственно, решением здесь будет положить прод и тест в отдельные аккаунты. Платформу положить в третий аккаунт и завести в нем два VPC для изоляции прода и теста. Маршруты между ними прокинуть конкретные вот эти 2-3 штуки. А внутри окружения просто сделать пиринг между VPC и развести права доступа уже через security group.

Конкретные маршруты это уже скорее про Transit Gateway, VPC Peering не такой гранулярный AFAIK. Сейчас подобное лучше сделать действительно на выделенной машинке по одной в каждой зоне и руками её настроить (а статикроутами задиректить в неё трафик). Бонусом получите на ней полноценный firewall (через SG или ручной) и аудитные логи если потребуется.