> А вы предлагаете эту изоляцию нарушить, сделав кросслинк.

то есть внутри одного контейнера (напомню еще разок - вся затея докера НЕ была предназначена для такого в принципе) - ок, изоляция не нарушена? Лучше бы конечно вообще затолкать эту фичу в сам веб-сервер, там ей самое место, как у некоторых уже и сделано?

> Сомнительная радость, выглядит как поле для дыр.

одноразовые ключи, раскиданные где попало, сертификаты сроком годности неделя, acme, dv, в порядке убывания масштабов п-ца - безусловно являются громадным полем для дыр.

Но с этим уже, вероятно, ничего не поделать.

> И таки зачем разделять сервер от апдейтера его сертификатов я так сходу не понимаю. Какие

например, это может быть апдейтер не только его сертификатов.

> преимущества и где это дает?

обычные, типовые для контейнеров. Независимость начинки апдейтера сертификатов от начинки серверного (вон белки-истерички бьются об пол - ТАААМ ПИИТОООН!), возможность обновлять (или не обновлять) только того, кто на самом деле нужен (питонов, к примеру, таки развелось излишне много несовместимых), минимизация рисков.

Ну или хотя бы видимость всего этого. Я-то лично вообще не вижу причин использовать фронтенд (только ему и нужен настоящий сертификат) внутри контейнера. И вижу массу проблем у такой поделки. Но это немодно и немолодежно, девляп-ляп-ляп-ляп-ляп.

> А что - volumes? И потом при переносе на другую машину это случайно не сделает лапки кверху?

убей себя - ты профнепригоден.
А у меня - нет, не сделает.

> Да, только контейнер перестанет быть самодостаточным.

не перестает. Но контейнер не является хреновой подделкой под виртуальную машину, и в свободном вакууме не функционирует - это просто дополнительная изоляция вокруг приложения. By design рассчитанная на работу в системе, а не в пустоте.