As respostas a seguir assumem que o modo de rede é MANAGED-NOVLAN (isso provavelmente também se aplica ao modo MANAGED).
Seção 1:
-1) A menos que você tenha necessidades específicas para preveni-lo, eu recomendaria o acoplamento do SC com o CC.
-2) No modo Gerenciado, o CC fica entre a rede pública e a rede privada de (um dos) grupos de nuvens. Se o SC estiver na máquina CC, ele poderá se comunicar com as duas redes. Se você decidir ter o SC em um servidor separado na rede privada, você precisará criar uma regra de NAT (com iptables) no CC para ativar as comunicações entre o SC e o CLC através do Firewall do CC. O CLC precisará dessa regra para se comunicar com o SC.
-3) Na solução 1; seu SC não estava conectado ao switch privado (isso é obrigatório). Nas soluções 2; você provavelmente não criou essa regra do iptables no CC e o SC foi então isolado atrás do CC.
Seção 2:
-1) Uma correção: mesclar os switches CTI e switch1, deve ser o mesmo switch que é a conexão com a rede pública. Gostaria também de sugerir (a menos que seja absolutamente necessário) para mesclar o CLC e WC em uma máquina e mesclar os SCs em seus respectivos CCs. Este diagrama ( link ) de uma nuvem UEC pode ajudá-lo .
-2) Quando você cria uma nova instância (euca-run-instance), o Eucalyptus cria uma nova regra de iptable no servidor CC que gerencia o nó no qual a instância está sendo executada. Essa regra permite comunicações através do CC. Esta rota NAT cruza as comunicações entre os IPs públicos e seus IPs privados correspondentes.
-3) Os clientes acessam as instâncias através do CC correspondente. O CLC está lá apenas para gerenciar a nuvem, mas, uma vez que uma instância é iniciada, o CC lida com as comunicações.
-4) Resumindo: Não.