Ich lese aus deinem Beitrag heraus, dass es um IPv4 geht, denn bei IPv6 würdest du nicht fragen, da du dort meistens ungefähr 2^64 IPv6 zur Verfügung hast (ein /64 Netzwerk - zumindest bei all den IPv6-Netzten, die ich über "normale" Provider gesehen habe).
Warum müssen die via IP erreichbar sein, würde da nicht nur ein Name reichen wenn du HTTP/HTTPs machst?
Falls es hauptsächlich um HTTP-Traffic geht:
Heutzutage wird sehr viel mit Reverse Proxies gemacht, die man an den Eingangs (engl. ingress) Schnittstellen aufbaut und dann die Daten weiter verteilen (load-balancing, etc.). Wäre das nicht eher was für dich?
Als Idee könntest du von deiner einen IP die Ports 80 und 443 an einen Reverse-Proxy wie z.B. traefik leiten und der leitet dann basierend auf dem Namen automatisch weiter auf die Dienste deines PVEs. Dabei kann traefik transparent gleich die Lets Encrypt Zertifikate erstellen und somit alles nach außen Verschlüsseln und auf Wunsch sogar mit Basic-Auth oder auch SSL Client-Zertifikaten schützen.
