比較されるとよく分かるGCPの謎ネットワーク。Firewallの機能もIP segmentオマケだから基本的にはtagとservice accountで制御しろと言う思想がとても強い。ドキュメントにも不必要に小さくするなと書いてあるし。。。