kogotag

Причина проблем в том что github-runner запускает docker из под root с помощью sudo, а дальше все права файлов будут рутовые.

Необходимо разрешить github-runner запускать docker без sudo (добавить в группу docker, погугли подробности, там есть еще нюансы) тогда все остальное так же можно будет разрулить правами доступа

Стоит ли билдить фронтенд в контейнере, что очень хотелось бы, чтобы нода с зависимостями была изолирована от сервера?

стоит

фронт и бэк побить на разные репозитории, настроить каждому отдельный воркфлоу?

лучше разнести, да, чтобы потом изменения фронта не тащили деплой фронта и наоборот, ну тут все и так понятно

Может, вообще было бы разумнее всё в одном репозитории хранить, но сделать несколько dockerfile, docker-compose?

это можно (иногда очень удобно, как в моем проекте, где всего бек сервиса и 1 фронт), но деплой и воркфлоу будут разные все равно

Стоит ли вообще nginx в контейнер пихать, что тоже очень хотелось бы (при том, что я буду собирать его через make)?

Да вполне, максимально близко к проду

Как при этом перезапускать (и нужно ли) nginx в контейнере?

Нжинкс сам не перезапускают, просто контейнер перезапустить

Обычно используют wildcard-сертификат, который валиден для всех поддоменов типа hren.zhopa.ru, zhopa.zhopa.ru, ruchka.zhopa.ru и т.д. LE вроде бы такой сертификат выпускает, если нет - делайте самоподписаный.

но у меня есть лишь одно доменное имя

Имея доменное имя, обычно, можно создать сколько угодно поддоменов.

например, на одном поднять базу данных, на втором и третьем веб-приложение и микросервисы

Сертификат тебе нужен только в одном случае - если ты делаешь публично доступный по Https сайт или сервис.

Если ты делаешь сервис только для других своих сервисов, то можешь использовать самоподписанные сертификаты.
Если ты общаешься не по Https (как в случае с базой данных", то тебе Https-сертификат тоже не нужен. (Если база данных поддерживает TLS, то можно тоже воспользоваться самоподписанным)