> то есть внутри одного контейнера (напомню еще разок - вся затея докера
> НЕ была предназначена для такого в принципе) - ок, изоляция не нарушена? Сертификат сервера - часть его рабочих данных. Так что по идее нет.
> Лучше бы конечно вообще затолкать эту фичу в сам веб-сервер,
> там ей самое место, как у некоторых уже и сделано?
Тоже вариант. Потому что см. выше.
> одноразовые ключи, раскиданные где попало, сертификаты сроком годности неделя, acme, dv,
> в порядке убывания масштабов п-ца - безусловно являются громадным полем для дыр.
- Радио украдено, двигателя нету...
- Ну тогда и колеса тебе ни к чему! (с) анекдот.
> например, это может быть апдейтер не только его сертификатов.
Это какое-то очень жесткое допущение насчет конфигураций и менеджмента оных. Может иметь что-то общее с реалиями, может не иметь. Случаи бывают разные.
> обычные, типовые для контейнеров. Независимость начинки апдейтера сертификатов от начинки
> серверного (вон белки-истерички бьются об пол - ТАААМ ПИИТОООН!),
Питон - отличный вариант сломать контейнер при миграции. Так что питон с этой точки зрения редкая гадость. И не только в апдейтере сертификата, а вообще везде. Ну может кроме случая когда это таки полная операционка и скрипты из репо, так что майнтайнеры в лучшем случае все же согласуют этот кал. Или вышибут пакет с калом как неподдерживаемый, как вариант.
> возможность обновлять (или не обновлять) только того, кто на самом деле нужен (питонов,
> к примеру, таки развелось излишне много несовместимых), минимизация рисков.
Я и минимизировал риски - экстерминатусом питонов к чертовой бабушке.
> причин использовать фронтенд (только ему и нужен настоящий сертификат) внутри контейнера.
Очень не айс если из-за бага или кривой конфигурации фронтэнда уносят еще и какую-нибудь базу форума, вместе с почтой или чем там еще.
> убей себя - ты профнепригоден.
Ты точно уверен что это я?
> А у меня - нет, не сделает.
Ну так ты и пользуйся, флаг в руки.
> не перестает. Но контейнер не является хреновой подделкой под виртуальную машину,
Не согласен. В одной из ипостасей является. В свое время у || на этом даже был нефиговый бизнес. Не знаю как у них ща дела, они своими внемайнлайновыми вып^W кернелами всех заманали, опять же, но по крайней мере изначально пипл хавал.
> и в свободном вакууме не функционирует - это просто дополнительная изоляция вокруг
> приложения. By design рассчитанная на работу в системе, а не в пустоте.
Ниоткуда не следует - один из вариантов этого самого бутануть юзермод как в системе. Это кстати позволяет приволочь какой-нибудь питоногадости ее любимую версию корма вместе с ней. И даже более того - запустить 5 разных ипостасей гадости с 5 разными питонами, не сойдя с ума при попытках это менеджить. Потому что это 5 разных контейнеров со своим окружением.