私の環境でも nextcloud コンテナ内で apache が走っていて、それを鯖全体で共有の nginx reverse proxy に通してるんですが、役割が重複しているなぁというのはある (でも個人的にはこれが結構楽)
証明書の設定とかがひとつのコンテナで完結するので楽なんですよね
証明書は、ホスト側の systemd timer で定期実行する certbot コンテナによって更新されて、その後同じ systemd service で nginx reverse proxy のコンテナに SIGHUP を送ると、証明書のリロードがかかる