Дмитрий

>> Сам kubernetes запущен на виртуальной машине с ubuntu, с сетевым мостом (тобишь является частью сети)
В такой схеме использовать LoadBalancer нельзя. Надо делать NodePort
https://edgedelta.com/company/blog/kubernetes-serv....

такие задачи решаются установкой реверс-прокси, например nginx или traefik

подключаемся не к "db" , а к "psql" - по имени сервиса.

Читать до полного просветления https://www.docker.com/blog/how-to-use-your-own-re...
И вот еще на русском, неплохой мануал
https://winitpro.ru/index.php/2021/03/03/nastrojka...

Потому что например вот тут ошибка

logging:
      driver: fluentd
      options:
        fluentd-address: localhost:24224
        tag: 'docker.nginx'

никакого локалхоста там быть не должно

вот причина страданий
>> В конфиге Redis я прописал BIND 127.0.0.1

надо смотреть настройки gitlab-runner , в докер-раннер должен быть прокинут сокет , вот так

volumes = ["/var/run/docker.sock:/var/run/docker.sock", "/cache"]

Ну и документация с примерами, по традиции https://docs.gitlab.com/ee/ci/docker/using_docker_...

Порты на хостсистеме должны быть разными

>> Доступ до главного домена работает, а вот контейнеры с поддоменами не работают, нет доступа.

вот отличный пример , как описывается редирект к subdomains для traefic

это ж база данных. просто сделать дамп, средствами постгреса. и его залить можно в любой другой постгрес, хоть в докере , хоть где.

Ну например потому что пропущено название базы в скрипте инициализации

Из приложения надо подключаться к базе не по локалхосту а к контейнеру с базой. Но это догадки, ты же докер композ нам не показал

1. понимаешь неправильно. контейнер и образ (image) это разные сущности. нет, если ты используешь docker-compose три образа не сольются сами в один контейнер. docker-compose это просто способ автоматизировать немного рутины при работы с докером.
2. в целом верно. заранее делаешь .env c нужными переменными.
3. хранишь все в .env , его добавляешь в .gitignore , ему в гите делать нечего. docker-compose.yml в гите хранят, никаких проблем, все секретное в .env или подставится из CI/CD системы , Дженкинса или GitHub Actions например, в процессе деплоя. Это головняк девопса, а не разработчика.

добавить еще одну сеть, развести сервисы по разным сетям.

services:
  proxy:
    build: ./proxy
    networks:
      - frontend
  app:
    build: ./app
    networks:
      - frontend
      - backend
  db:
    image: postgres
    networks:
      - backend

networks:
  frontend:
    # Use a custom driver
    driver: custom-driver-1
  backend:
    # Use a custom driver which takes special options
    driver: custom-driver-2
    driver_opts:
      foo: "1"
      bar: "2"

ничего он не тянет , после -t идет тег имиджа. сам репо проекта он вытащил шагом раньше и запускается внутри этой папки , на что указывает точка в конце команды, она говорит как-бы "выполняемся в этой папке".

Например с помощью специального сервиса. https://github.com/containrrr/watchtower