Podemos criar uma VPC separada que herde as configurações/VPN de uma VPC atual?
Gostaríamos de criar um 172.16.4.0/22 em nosso intervalo 172.16.0.0/16 atual, mas quando crio um novo VPC com 172.16.4.0/22 CIDR, ele não tem a conexão VPN ou o roteamento adequado para o resto da rede.
Precisamos configurar uma VPN e um gateway separados para cada VPC que criamos?
Não há um "resto da rede" na perspectiva da nova VPC.
As VPCs são totalmente independentes umas das outras, mesmo na mesma conta da AWS e na mesma região. Não tenho certeza se um VPC adicional é o que você está procurando.
Os VPCs não devem ser subconjuntos uns dos outros. Eles devem ser separados e isolados uns dos outros, com a exceção de que você pode, opcionalmente, emparelhá-los. Mas a aplicação normal é para isolamento.
Se você pretende se comunicar através do limite entre dois VPCs (sem usar a Internet), você deve emparelhar os VPCs... e para emparelhá-los, eles devem ter blocos CIDR completamente não sobrepostos.
Além disso, mesmo se emparelhado, a única comunicação que pode ocorrer em conexões de emparelhamento é de instância para instância. As VPCs, mesmo se emparelhadas, não podem compartilhar gateways ou conexões privadas, incluindo gateways da Internet, gateways de clientes (VPN), gateways NAT, AWS direct connect, VPC endpoints ou ClassicLink.
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html
Pode ser.
Dependendo da sua arquitetura, o VPC Peering pode ser uma opção aqui.
Além disso, existem ferramentas (nomeadamente Cloudformation) que permitem automatizar facilmente a criação e configuração de recursos na AWS. Isso permitiria replicar configurações semelhantes com bastante facilidade.