> А вы предлагаете эту изоляцию нарушить, сделав кросслинк. то есть внутри одного контейнера (напомню еще разок - вся затея докера НЕ была предназначена для такого в принципе) - ок, изоляция не нарушена? Лучше бы конечно вообще затолкать эту фичу в сам веб-сервер, там ей самое место, как у некоторых уже и сделано?
> Сомнительная радость, выглядит как поле для дыр.
одноразовые ключи, раскиданные где попало, сертификаты сроком годности неделя, acme, dv, в порядке убывания масштабов п-ца - безусловно являются громадным полем для дыр.
Но с этим уже, вероятно, ничего не поделать.
> И таки зачем разделять сервер от апдейтера его сертификатов я так сходу не понимаю. Какие
например, это может быть апдейтер не только его сертификатов.
> преимущества и где это дает?
обычные, типовые для контейнеров. Независимость начинки апдейтера сертификатов от начинки серверного (вон белки-истерички бьются об пол - ТАААМ ПИИТОООН!), возможность обновлять (или не обновлять) только того, кто на самом деле нужен (питонов, к примеру, таки развелось излишне много несовместимых), минимизация рисков.
Ну или хотя бы видимость всего этого. Я-то лично вообще не вижу причин использовать фронтенд (только ему и нужен настоящий сертификат) внутри контейнера. И вижу массу проблем у такой поделки. Но это немодно и немолодежно, девляп-ляп-ляп-ляп-ляп.
> А что - volumes? И потом при переносе на другую машину это случайно не сделает лапки кверху?
убей себя - ты профнепригоден.
А у меня - нет, не сделает.
> Да, только контейнер перестанет быть самодостаточным.
не перестает. Но контейнер не является хреновой подделкой под виртуальную машину, и в свободном вакууме не функционирует - это просто дополнительная изоляция вокруг приложения. By design рассчитанная на работу в системе, а не в пустоте.