1. Делаете так чтобы конфиг подгружался из .env в переменные среды с помощью модуля dotenv - это самая классическая практика. Базу данных надо будет развернуть либо на той же машине где деплоите (можете сделать с помощью docker-compose) либо на соседней, к которой есть доступ с первой. Следите, чтобы данные между бд и приложением не гонялись по интернету, так как это а) сводит безопасность к нулю, если нет ssl и б) сильно снижает производительность.
2. Лучше всего тут либо ничего не указывать, либо указать 0.0.0.0, тогда будут слушаться все интерфейсы и не придется заморачиваться с ip адресами. Либо есть более продвинутый вариант, когда оставляете localhost, но перед node приложением ставится nginx с proxy_pass. Во втором случае можно будет еще и ssl сертификат прицепить с помощью letsencrypt
