Cloud szolgáltatók szeretnek pont-pont kapcsolatot adni a virtuális gépeknek és a túloldalon routeolják a csomagokat a megfelelő tunnelekbe/interface-ekbe esetleg proxyARPognak ha kell. Az előnye hogy egy elkonfigurált VM nem tudja lelőni egy másik VM hálózatát és nem látod más broadcast vagy multicast forgalmait. Mint egy veth a hoston belül. A containerben ethernetet látsz, de az valójában nem az. Nem tudom hogy a Hetzner ezt konkrétan hogyan oldja meg, de az AWS IPv6-on valahogy így működik, a prefix length az /128 a DHCPv6 által kiosztott címeken. Szóval szerintem ez a /32 csak a cloud környezet adottsága, nem lényeges az issue szempontjából.
Azzal viszont egyetértek hogy a második IP felesleges, egy IP-n el tudná vinni az összes szolgáltatást ha nincs port ütközés. Én erre indultam volna el. Még haproxy sem kell ha nincs mögötte több gép vagy egy container, elég csak a Docker container portját kilógatni, vagy akár host networkon is futtatni a containert (nem annyira javallott ebben az esetben, de néha nincs más megoldás).