Naja, ich habe das anders verstanden. Nicht JEDE Wolke wird separiert respektive bekommt ein eigenes Netz. Vielmehr gibt es dort eine Aufteilung ganz ähnlich wie bei uns. Der entscheidende Unterschied ist, dass die nicht für jede Domäne eine eigene Firmware backen wollen, sondern die Zuweisung serverseitig lösen wollen. Das macht einen unterschied von > 1000 Segmenten zu einigen Dutzend (am Anfang einem Dutzend) Segmenten.
Also im Grunde findet die Entscheidung immer noch aufgrund der Positionsdaten der Knoten statt. Jedoch macht es der Automatismus möglich Planquadratepolygone nach technischen Gegebenheiten zu wählen und man muss nicht darauf achten, dass die Unterteilungen für Außenstehende Sinn ergeben (so wie bei uns → Kreis- & Stadtgrenzen). Mit hin und her schalten ist gemeint, dass ein Knoten, der nach seinen Positionsdaten eigentlich in ein Segment A gehört, aber mit Nodes aus Segment B mesht nach Segment B verschoben wird. Bei der Segmentierung sind nur VPN-Nodes relevant, weil alle Nodes mit Allen meshen können. Und solange alle VPN-„Erdungen“ einer lokalen Wolke im selben Segment sind, geht alles gut. Also bilden die Knoten einer lokalen Wolke kein eigenes Segment, sondern SIND (mit anderen) in einem Segment. Genau das (also lokale Meshwolke hat einer stärkere Bindung als die Geo-Position) findet im Übrigen in unserem Migrationsscript auch schon Berücksichtigung.
Das ist für mich jedoch nur eine (in der Umsetzung natürlich nicht zu vernachlässigende) Randnotiz. Wesentlich ist halt, dass deren Infrastruktur wohl ganz ähnlich (von layer2 segmentation sind die abgerückt und machen jetzt auch layer3 routing) wie unsere Aufgebaut ist, „nur“ dass deren Black-&White-Listing ein „bisschen“ Magie enthält, dafür aber nur eine Firmware ausgeliefert werden muss.
Nachdem ich bei dem zuvor berichteten eher skeptisch war, bin ich jetzt sehr angetan von dieser Lösung. Ich bin dafür, dass wir ebenfalls in dieses Experiment einsteigen. Ich denke da können sich gute Synergien ergeben. Das ein oder andere haben wir ja auch schon gelernt in Bezug auf Routing und Systeme mit mehr als einer Handvoll VMs zu fahren. 
Falls dieser Kurswechselkorrektur auf breite Ablehnung stoßen sollte, bliebe uns noch die Möglichkeit die Firmwaremigration weiter zu automatisieren. Ich denke, dass wir nun ausreichend Erfahrungen gesammelt haben um den Vorgang nahezu automatisch ablaufen zu lassen. Es würde sicherlich ein paar weitere Zeilen Code benötigen, aber sich im Rahmen des Machbaren bewegen. Jedoch zieht diese Vorgehensweise einen ganzen Rattenschwanz negativen Aspekten hinter sich her; es muss diverse Firmware gebaut werden;es muss Firmware getestet werden;es muss Firmware signiert werden;der Knotenbetreiber muss herausfinden, welche Firmware er braucht…
Meine Idee wäre, das in einer Domäne, die zeitnah unterteilt werden soll zu testen. Also natürlich nur mit ausgewählten Knoten.