Поскольку не указан конкретный гипервизор, предполагаю, что вопрос теоретического характера. На него дать исчерпывающий ответ тяжело и неохота. Декомпозируйте и поспрашивайте у ChatGPT.
Локальная PKI у вас развёрнута, для начала? Иначе не знаю, чего вы там при повсеместном, слава тебе, господи, распространении HTTPS, собираетесь контролировать.
По опыту, делить локальные вланы на что-то, меньшее /24 бессмысленно - проще нарезать на одинаковые куски, так не придётся составлять зубодробительные таблички вроде вашей.
На клиенте вы указываете приватный ключ. На сервере публичный ключ должен находиться в одном из мест, в которых ищет SSHD (настраивается, обычно кладут в ~/.ssh).
В целом, для большого количества файлов я бы использовал rsync -a
Зачем вам открытый порт на агентах, если активный вариант работы актуален в достаточно небольшом диапазоне случаев, а по умолчанию обычно используют пассивный, для которого достаточно открытого порта на сервере?
Если у вас в серверы приходит по несколько линков от разных устройств, объединённых в агрегированный канал - и в случае выхода из строя одного из свитчей вы не хотите, чтобы это развалилось, очевидно, вам нужно, чтобы свитчи как-то между собой этот вопрос могли разрулить.