Každý systém je aktualizovaný zvlášť, potom čeká na restart a když se dočká, tak po restartu můžou nastat komplikace i u LTS distribucí. Zažil jsem, že u některých služeb se vyžadovalo jiné nastavení v konfiguráku apod., takže se nespustila. Určitě to půjde nějak agregovat, abych tušil, že se na nějakém virtuálu děje něco divného, protože ruční prohledávání v neurčité periodě, nebude to pravé.
U dockeru se prostředky sdílejí, což je fajn, ale stále z toho jde obava, jestli to nasadit do produkčního prostředí. Pár let už na světě je, ale nativně v systému není a důvěru zatím moc nezískal co se týče bezpečnosti. Na to se dost poukazuje. Všichni to vychvalují v tom, že když se něco potřebuje vyzkoušet, tak se rozešle docker image a nemusí se nic kompilovat. Po otestování se klidně může smazat, takže spíše zaměřené na vývojáře.
U virtuálů bych asi nepřeháněl, nejspíš bych vyčlenil LAMP do jednoho a poštovní server do druhého. V základním bych nechal síťové služby (dhcp, unbound, hostpad + freeradius, radvd) + firewall a ssh, vpn, sambu, dlna, ftps atd. Momentálně mi vše běží pod jedním systémem, sice už několik let, ale vím, že to moc bezpečné není.