> это, если вы не знали - то, для чего эти самые контейнеры
> и были когда-то предназначены - изоляция приложения.

А вы предлагаете эту изоляцию нарушить, сделав кросслинк. Сомнительная радость, выглядит как поле для дыр.

> А вовсе не изображать виртуальную машину с собственным линуксом унутре, сводящим всю
> изоляцию к ху$.

На мой вкус имеет смысл и так и сяк. Второй вариант имеет бенефит в том что это админится стандартно, подключается к существующим воркфлоу, тулсам и автоматике без приседаний.

А изоляция - смотря что изолируем. По задумке - сервисы и их данные друг от друга. И как раз "виртуальная машина" в этом плане наиболее полная и логичная абстракция. Но тяжеловесная. Контейнеры - некий компромисс.

И таки зачем разделять сервер от апдейтера его сертификатов я так сходу не понимаю. Какие преимущества и где это дает? Могу сказать какой недостаток.

Если в контейнере с сервером живет то что с ним связано, контейнер можно на допустим другую железку без проблем перекинуть, etc. А у вас - при таком маневре все как бы будет работать. Но через пару месяцев случится волшебный фигакс, когда сертификат наконец протухнет. Ну или это надо вообще по сети автоматический доступ давать, тогда лучше сразу на этом манагере сертов мишеньку нарисовать, потому что все хакеры будут первым делом его "аудитить".

> volumes-то, смотрю, в ваших контейнерах уже отменили или еще не завезли?

А что - volumes? И потом при переносе на другую машину это случайно не сделает лапки кверху? При том не сразу а через пару месяцев, так намного прикольнее.

> вы, похоже, только что это и узнали, ага.

Лол.

> cron или systemd timer можете использовать системный, ему совершенно незачем быть в контейнере,

Да, только контейнер перестанет быть самодостаточным. И при переносе на другую железку это на раз отольется.

> а такой как у меня вы ниасилите - там полный стековершлак сказов о том, почему
> это невозможно и не может быть никогда.

Да ну и болт с ним, у меня своих технологий такого пошиба более чем.