Evite que mais de 200 máquinas virtuais vejam umas às outras

A única maneira de ver isso é usar um dos " aplicativo vShield "ou" produtos vShield App com Segurança de Dados ", é o que eles sugerem para esse tipo de cenário.

O problema com a criação de uma VLAN ou VLAN privada por cliente / VM é que você terá que criar isso no switch e depois em cada vswitch em cada host ou usando switches distribuídos (como mencionado, você precisa do Ent + muito gasto licença para isso). Usando as ferramentas do vShield, você seria capaz de usar uma grande VLAN, mas unir um cliente / VM / VMs em particular - como eu digo, é exatamente esse o problema com o qual o software foi escrito para lidar.

Provavelmente você está procurando o que é chamado de VLANs privadas que permitem que os hosts falem, mas não uns com os outros em Layer2.

Regras de firewall de software para negar todo o tráfego, exceto para / do gateway.

Eu não sei programar isso para 200 usuários no Linux (ou mesmo qual seria o script, estou assumindo algo com iptables ), mas no Windows você implantaria essa regra por meio de uma política de grupo.

Pode parecer errado , mas parece-me ser a solução certa. Em princípio, sim, a filtragem de camada de Ethernet (ou seja, quando você chega a isso, o que você está tentando fazer com VLANs privadas) pode levá-lo aonde você quer estar, mas confunde o inferno de algo que espera ser capaz de se comunicar diretamente - digamos, uma VM que por acaso esteja na mesma "sub-rede" com a qual (legitimamente) quer falar (talvez queira wget de tarball de um site que acontece ser hospedado na outra VM).

Como a VLAN privada é um protocolo de construtor (Cisco), você precisa ter um switch Cisco específico com a licença certa para usar a VLAN privada. Uma solução mais fácil é usar o ebtables como um firewall de ponte se você ainda não possui grandes switches. link