Нет однозначного сопоставления между сокетами в гостевых и сокетах на хосте.Таким образом, сумма количества сокетов для гостя может превысить пределы хоста.Гипервизор должен только выставлять / эмулировать сетевую карту, а гостевая ОС должна самостоятельно обрабатывать сокеты.
Попробуйте запустить свою любимую ОС внутри KVM в Linux, откройте несколько веб-страниц в гостевой системе и затем запустите нахост:
lsof -p $(pidof kvm) | grep -i sock
Итог: каждая виртуальная машина может открыть любое количество сокетов в пределах guest OS.