Не очень понимаю, что значит Temporary storage
https://azure.microsoft.com/en-us/pricing/details/virtual-machines/linux/

A temporary disk is storage that’s attached directly to the deployed VM. Data on a temporary disk is lost once the VM is shut down. If you need persistent storage, there are a number of types and sizes of persistent data disks available that are charged separately. Please see storage pricing for information. For persistent VM storage, we recommend that you use Managed Disks to take advantage of better management features, scalability, availability, and security.

LE имеет несколько типов проверки - самый простой и базовый - через http. И я получаю замкнутый круг:
1. Конфиг апача для виртуалхоста создается плейбуком, в котором есть пара - сервер - список сайтов.
2. Что бы апач запустился - требуется правильный конфиг в смысле валидный. - получается что на этапе создания конфига сайта, я не могу сразу прописать конфиг для https
3. Что бы получать LE сертификат - у меня должен работать один из способов валидации - http, https  или dns  (dns - сейчас читаю еще только что там к чему)
4. После получения LE сертификата по http - certbot меняет конфиг апача, что бы был редирект на https и создает https конфиг
5. И теперь - вишенка на торте, что произойдет, если я запущу плейбук по новой? - затрется конфиг.
Вот это я и не могу понять, или это я один такой "умный" решил такое сотворить, или все делают, один я ничего не понимаю в настройке.

У меня есть вот такой костыль:

<VirtualHost 0.0.0.0:{{ ws.port }}>
ServerName {{ ws.domain }}

...

# If httpd launched without ssl (first time to get LetsEncrypt certificates), disable SSL and application as well
<IfDefine !letsencrypt_not_set>

SSLCertificateFile /etc/letsencrypt/live/{{ ws.domain }}/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/{{ ws.domain }}/privkey.pem
# chicken-egg problem, options-ssl-apache.conf will not appear if we do not start
IncludeOptional /etc/letsencrypt/options-ssl-apache.conf

...
</IfDefine>

</VirtualHost>

и вот такое на первый старт:

echo 'Define letsencrypt_not_set 1' > /etc/httpd/conf.modules.d/letsencrypt_not_set.conf

затем, когда появился файл сертификата,

/bin/rm -vf /etc/httpd/conf.modules.d/letsencrypt_not_set.conf

(Это не ansible, так что не надо про bashsible. На ansible сами переделаете.)

certbot видит строчки про сертификат, не видит IfDefine и счастлив.

Выглядит это все очень ненадежно, но работает. тот же nginx значительно проще - у него есть дефолтный сертификат, и можно свой на первый старт не указывать.

апач в 2021..

а кто-нить знает автоматизированное решения для обновления линукса на сервере? я тут на днях доунтайм на 3-18 часов (одни сервисы узнал в 10 утра что лежат, другие в 9 вечера, закончив в 3 ночи) устроил при обновлении, хотелось бы избежать в будущем.  Типа снимаает снэпшот что запущено, подробно. знает про nginx. Потом обновляюсь, снимаю втой и смотрю что дифф пустой