Ciao, la risposta è NI in realtà.

La soluzione che cerchi esiste, e si chiama PVLAN, in particolare nella modalità Isolated. Ma per avere pvlan ti servono i distributed switches, e per averli devi prendere una delle licenze che le supportano.

C’è però una soluzione un pò macchinosa ma che può funzionare: puoi creare differenti virtual switches senza uplink a disposizione, uno per cliente. In questo modo le varie VM possono parlare solo con altre VM connesse allo stesso virtual switch. Poi crei un ulteriore virtual switch, questo si con la scheda di rete del server ESXi, cui però non colleghi nessuna VM dei clienti.

Infine, ti fai una bella VM con dentro uno dei vari sistemi firewall free esistenti, io ad esempio uso spesso pfsense, e questa VM ha tante schede di rete quanti sono i vswitch, con ognuna di queste schede connessa ai vari virtual switches appunto. Crei infine varie regole di NAT/PAT per redirigere le varie connessioni dove ti servono. In questo modo, l’unico modo per raggiungere determinate VM è passare da quel firewall.

In situazioni complesse puoi anche pensare di avere un piccolo firewall per ogni cliente, dove magari fai terminare la loro specifica configurazione VPN, o altre soluzioni simili che mantengano però lo stesso concetto.

Ciao,

Luca.