あー想定外だ……そうか，updateのときはmetadataがすべて必要なのか……

deepcopyしているはずなのに同じオブジェクトが参照されている気がしてならない

こいつSA tokenのCAをそのまま使ってるのか

なるほど，これはeks-pod-identity-webhookが結構特殊やな……．

相互参照があるんだから全部一気に作るべきだな……

いや，証明書は同じものを使わなきゃいけないからreconcileを分けるべきではないな……

とりあえず手元の実験はkindでやるか

一連の処理だけど段階ごとにreconcileを分けるべきか，1reconcileですべて片付くようにすべきか．あんまり長いreconcileを作るべきではないんだよなぁ