Vitaly Karasik

1) Насчет поведения при монтировании volumes - это всегда работает как 'mount'. То есть содержимое подменяется. Возможно, был или есть еще один метод, который "накладывал" двух директорий.
2) Насчет пользователя - тут https://stackoverflow.com/questions/40462189/docke... есть советы как поправить.
Но если в целом работает - то я бы не трогал.

Все сделано правильно с точки зрения прав, но для биллинг для обычных пользователей нужно один раз включить доступ от root: https://docs.aws.amazon.com/awsaccountbilling/late...
- "To activate IAM user and role access to the Billing and Cost Management console"

KISS - то есть если нет конкретной проблемы с дефолтной filesystem, то ее и использовать.

Как я могу узнать откуда и куда идут атаки? И могу ли я как - то это предотвратить, путем блокировки исходящего трафика

Куда - мы уже знаем из сообщения хостера (кстати, это не DDoS, а brute force).
Откуда? - в реальном времени это можно узнать например сравнивая "lsof" для соединений 22 портом c "ps" выводом. Соответственно можно вставить скрипт в крон.
И да, если речь только о атаках на 22 порт, его можно закрыть в iptables.

Возможно есть MyISAM в других, не ваших таблицах. ИМХО это не важно.

1) какое железо и какая конфигурация mysql?
2) Включите slow query log и посмотрите что там

Проще всего (нет необходимости ничего устанавливать) - использовать GitHub Secrets.

Насколько понимаю, в целом никак - т.к. из VM мы видим только то и в той конфигурации, что нам дали.

Правильный (ИМХО и AFAIK) хотя и непопулярный ответ - надо проверять\мерять производительность при разном кол-че контейнеров. Теория тут не очень помогает. Скорее всего, как уже сказали, оптимальное кол-во контейнеров будет намного больше чем кол-во процессоров.

99% что это доступно только в платных планах - Team и выше.

Во-первых, большое спасибо xotkot - как старый юниксомд получил удовольствие разбирая его решение.
В попытке найти что-то готовое я попробовал https://paulfitz.github.io/daff/ - оказалось, он дает удобный отчет в CSV или HTML формате.
(Правда, для использования в Github Actions мне нужен отчет в markdown и я пока не нашел конвертор, который справляется со сложными отчетами. Но для простых работает, хотя почему-то без цветовой подстветки - см. скриншот. Но это уже другая история)

Дополнительно/альтернативно правильному ответу AUser0 - запустить "mount -av" после ребута, увидите ошибку.