TipoDesbloqueado EtapaFlota DificultadModerado TrabajoSaaS multi-inquilino ParaFundadores solitarios ParaEquipos de desarrollo ParaAgencias ServiciosContainers ServiciosSnapshots ServiciosExec ServiciosFiles Por qué HoodyEconomía de contenedores Por qué HoodyAislamiento bare-metal Por qué HoodyViaje temporal de snapshots IndustriaSaaS

use-cases / one-sandbox-per-customer / hero

CONTENEDORES · SAAS MULTI-INQUILINO

Un sandbox por cliente, automáticamente

Deja de dispersar tenant_id por todas las tablas. Cuando un cliente se registra, un script exec copia un contenedor nuevo y le entrega su propia URL, su propio sistema de archivos, su propio SQLite. El aislamiento es el sistema operativo entre ellos, no una cláusula WHERE.

Leer la documentación de copia

SIGNUP WEBHOOK → CONTAINER SPAWN

YOUR WEBHOOK HANDLER

POST

# triggered by Stripe checkout.session.completed

POST /api/v1/projects/{id}/containers

Authorization: Bearer hdy_***

{

"user_id": "usr_7xk9",

"container_image": "ubuntu/24.04",

"name": "sbx-usr-7xk9",

"hoody_kit": true

}

HOODY API RESPONSE

201 Created

{

"id": "ctr_a9f3e2b1c7d04500",

"status": "provisioning",

"name": "sbx-usr-7xk9",

"url": "https://proj-ctr_a9f3...containers.hoody.com"

}

When a user signs up, this is what happens.

use-cases / one-sandbox-per-customer / trigger

What that single API call provisions

Each POST to /api/v1/projects/{id}/containers spins up an isolated environment. One call, one tenant, one URL handed back to your app.

01 · WEBHOOK

Signup triggers the container POST

Your Stripe (or any billing) webhook hits a Hoody Exec script. No Express, no server config — just a file in scripts/.

02 · ISOLATION

Linux namespaces, not a WHERE clause

The new container has its own filesystem, its own SQLite, its own ramdisk. Tenant A literally cannot see tenant B's data.

03 · URL

A unique URL back to your app

The response includes a container URL. Your app redirects the user into their own sandbox in the same deploy window.

04 · FIREWALL

Per-tenant network rules cloned

Container network and firewall rules are copied from your template. Every new tenant starts from the same security baseline.

05 · IDLE

Zero cost when idle

Stop the container and it costs nothing. BTRFS keeps only the delta from your template — disk stays cheap even at scale.

06 · OFFBOARD

DELETE container = forget tenant

One DELETE call removes the container and all their data. GDPR offboarding is not a script, it is a single HTTP call.

The whole flow is one webhook handler. No Kubernetes operator, no namespace YAML, no cluster admin. Three HTTP calls: webhook in, container out, URL to user.

use-cases / one-sandbox-per-customer / compare

Multi-tenancy compartido vs contenedor por cliente

Las opciones tradicionales eran una columna en cada tabla o una flota de VMs que no podías permitirte. Hoody es una tercera forma: contenedores lo bastante baratos como para dar uno a cada cliente.

DIMENSIÓN

BD COMPARTIDA · TENANT_ID

HOODY · CONTENEDOR POR CLIENTE

AISLAMIENTOWHERE tenant_id = $1 — y esperas que cada query lo recuerdeNamespaces de Linux. El tenant A literalmente no puede ver el filesystem del tenant B.
SUPERFICIE DE FUGA DE DATOScada JOIN, cada hook ORM, cada script de reportingel límite del contenedor. Un artefacto que auditar, no 200 sitios de queries.
CONFIG POR TENANTtabla de feature flags, frágil, medio probada en devedita el entorno de un contenedor. Los otros 399 quedan intactos.
VECINO RUIDOSOun cliente pesado puede bloquear la BD compartidacuotas de CPU y disco por contenedor; la carga de un tenant queda en su caja.
OFFBOARDINGDELETE … WHERE tenant_id … más otras 12 tablas que olvidasteDELETE el contenedor. Sus datos se van con él. GDPR es una llamada HTTP.
COSTE EN OCIOSOcada fila cuesta almacenamiento incluso cuando el cliente está dormidopara el contenedor — cero CPU, cero RAM. BTRFS guarda solo el delta.

sin columnas tenant_id
sin auditorías de row-level security
sin YAML de namespace
borrar = olvidar

use-cases / one-sandbox-per-customer / punchline

La multi-tenancy deja de ser un problema de arquitectura. Se convierte en un comando `cp`.

ONBOARDPOST /containers/$TEMPLATE/copy

OFFBOARDDELETE /containers/$CID

AJUSTE POR TENANTPATCH /containers/$CID [ env_vars ]

aislamiento de nivel namespace
borrado GDPR en una llamada
un contenedor por cuenta

use-cases / one-sandbox-per-customer / replaces

Qué reemplaza esto

El aislamiento por tenant ha significado históricamente o una cláusula WHERE ingeniosa o un cluster caro. Container-per-customer desplaza los parches habituales:

Multi-tenancy compartido (columna tenant_id)Una mala query expone a todos
Middleware de aislamiento por tenant a medidaGuardia hecho a mano que mantienes para siempre
Políticas de row-level security de PostgresLa respuesta correcta, costosa de auditar por tabla
Namespace de Kubernetes por tenantSobrecarga a nivel de cluster, equipo de ops requerido
Schemas / bases de datos por clienteMultiplicador de migraciones, dolor de connection-pool
Filas de medición de Stripe en tabla compartidaTracking de uso pegado a la misma caja compartida

use-cases / one-sandbox-per-customer / cta

Los clientes ociosos no cuestan nada. Los activos escalan bajo demanda. Toda la cosa corre sobre $49 de bare metal hasta que tienes cientos de usuarios de pago.

Lee la documentación de container copy

use-cases / one-sandbox-per-customer / related

Lee los otros

Sesenta contenedores en un servidor

Un servidor bare-metal ejecuta decenas a cientos de contenedores Hoody. KSM y dedup BTRFS hacen que el costo marginal sea casi cero.

Containers·Snapshots

Incorpora a un desarrollador con un solo enlace

Un nuevo ingeniero llega el lunes. Le envías una URL. La abre en cualquier portátil que tenga y ya está dentro de un contenedor recién clonado de tu snapshot de baseline de desarrollo — código, dependencias, env, datos seed, VSCode en el navegador. Escribiendo código en cinco minutos, no configurando.

Snapshots·Containers·Terminal·Files

Endpoints de API que se materializan bajo demanda

Un script exec con comodín captura la llamada, le pide a un LLM que escriba el manejador, lo ejecuta en un sandbox V8 y guarda la ruta. La siguiente llamada es nativa.

Exec·Agent·Code·Files

Ramifica computadoras como Git

Toma una snapshot de un contenedor en ejecución — archivos, procesos, memoria. Restaura en segundos. Bifurca con /copy. Ramificación, pero para toda la máquina.

Snapshots·Containers

VS Code real en tu móvil

El Code Orchestrator levanta una instancia de VS Code en el contenedor y sirve el editor sobre una URL HTTPS normal. Cualquier dispositivo con navegador puede abrirlo. El trabajo vive en el contenedor, no en el dispositivo.

Display·Terminal·Files·Containers+1

Agentes de IA que generan otros agentes de IA

Un agente de investigación hace POST a /api/v1/projects/$PID/containers para arrancar un contenedor hijo, y luego llama a la URL del agente del hijo como cualquier otro servicio HTTP. Los sub-agentes generan sus propios sub-agentes de la misma forma. Sin framework de orquestador, solo URLs.

Agent·Exec·Containers

Despiértate con un prototipo terminado

Dale al agente un párrafo a la medianoche. Genera sus propios contenedores, snapshots antes de pasos riesgosos, y publica en tu webhook de notificación al amanecer.

Agent·Snapshots·Containers·Browser+2

Arreglo de emergencia en producción desde tu teléfono

PagerDuty te despierta. Abre la URL del terminal en tu teléfono. PATCH el snapshot de antes del despliegue malo. La producción está de vuelta. Sin bastion, sin VPN, sin portátil.

Terminal·Snapshots·Network

Sigue los logs de producción en una URL que cualquiera puede curl-ear

Una URL de pipe. Hasta 256 lectores. Tres ingenieros siguen el mismo incidente a la vez sin bastion, sin licencia de Datadog, sin reenviador de logs.

Pipe

Envía una build a treinta workers de CI a la vez

El contenedor de build transmite el tarball a una ruta de pipe con ?n=30. Los treinta workers de test hacen curl a la misma URL. Los bytes pasan una sola vez, repartidos en abanico.

Pipe

Observa pensar a tu agente desde la cafetería

Tu agente corre en casa. Tú estás en una cafetería. Envía cada evento del bucle por Hoody Pipe y haz curl a la misma ruta desde el móvil — la traza llega carácter a carácter. Sin SSH, sin dashboard, sin subida.

Pipe·Agent

Mueve 200 GB entre nubes con dos curls

pg_dump | gzip | curl desde Frankfurt. curl | gunzip | psql en Singapur. Los bytes fluyen por el pipe sin tocar disco en medio.

Pipe

Envía a un compañero el estado de una base de datos en una línea

pg_dump fluye directo al psql del otro. Sin archivo subido, sin enlace compartido, sin descarga. El pipe encamina los bytes.

Pipe

Transmite tokens de LLM a cualquier cosa que lea HTTP

El paso 3 transmite tokens con curl -T -. El paso 4 hace curl a la misma ruta. Los tokens pasan del generador al consumidor a velocidad de línea. Sin plomería SSE, sin broker.

Pipe·Agent

Una barra de progreso que tu jefe puede observar sin unirse

Añade ?progress a la URL del pipe. Cualquiera que la abra obtiene un dashboard HTML en vivo — bytes, velocidad, ETA, estado. Hasta cincuenta espectadores, ninguno consume un slot de receptor, ninguno toca el stream.

Pipe

El fan-out de webhooks que no tuviste que construir

Stripe hace POST a una ruta de pipe con ?n=12. Doce suscriptores hacen curl a la URL receptora con ?n=12. El pipe retiene el evento hasta que todos están conectados.

Pipe·Exec

Una caché de CI que son solo dos comandos curl

tar | zstd | curl mete node_modules en un pipe. Veinte jobs aguas abajo hacen curl | zstd -d | tar x. Sin bucket S3, sin acción de caché, sin factura de egress.

Pipe·Containers

Subidas drag-and-drop directas a tu script

hoody-pipe sirve un formulario de subida web en cada ruta. Arrastra un archivo a la página y tu script lee los bytes desde stdin. Cero código de subida, sin bucket S3, sin URLs presignadas.

Pipe·Exec

Transmite un taller a 200 espectadores desde tu portátil

ffmpeg transmite tu pantalla a una ruta de pipe con ?n=200. Cada asistente hace curl a la URL en una pestaña del navegador. Sin plataforma, sin logins, sin subida.

Pipe

IPC entre contenedores sin el message broker

El contenedor A escribe en una ruta de pipe. El contenedor B lee de la misma ruta. La conexión es la backpressure. Sin Redis, sin cola, sin broker.

Pipe·Containers

Sigue a tu agente en el tren, recibe un aviso cuando termine

El agente transmite su traza a una ruta de pipe a la que puedes hacer curl desde tu móvil. Cuando termina, su última acción llama a hoody-notifications y tu móvil vibra. Dos URLs y un zumbido — sin SDK, sin app cliente, sin dashboard.

Pipe·Agent·Notifications

Un micrófono sobre HTTP, en dos terminales

ffmpeg captura el micro y lo transmite por una URL. El otro extremo hace curl y reproduce el audio. Sin Zoom, sin SDK, sin servidor de signaling.

Pipe

Cinco agentes, cinco pipes, un veredicto

Un panel de cinco modelos revisa la misma entrada. Cada uno corre en su propio contenedor y transmite su veredicto a su propia ruta de pipe. Un proceso juez hace curl a los cinco en paralelo y recuenta el resultado.

Pipe·Agent·Containers

Reproduce el incidente de esta mañana para todo el equipo

Captura los logs del momento del incidente en hoody-files. Reprodúcelos a través de una URL de Hoody Pipe con ?n=8. Ocho ingenieros hacen curl a la misma ruta y ven la cascada dispararse al unísono — el post-mortem es un stream sincronizado, no un documento de Confluence.

Pipe·Files

El 'pásame ese archivo' más rápido que jamás hayas tecleado

Un compañero te pide un volcado de 4 GB. Slack lo rechaza, Drive necesita una solicitud de compartir. Tú tecleas curl -T file …; él teclea curl … > file. Los bytes viajan directamente entre discos — sin barra de subida, sin enlace que compartir.

Pipe

Ejecuta un LLM local y sírvelo a toda tu flota

Una GPU corre llama.cpp. Sus tokens fluyen a una ruta de pipe con ?n=50. Cincuenta contenedores hacen curl a la misma URL y se reparten el stream.

Pipe·Daemon

Un dashboard de métricas en vivo sin backend de métricas

El bucle de monitorización de cada contenedor hace curl de una métrica a una URL de pipe. El dashboard hace curl a la misma URL con ?progress y renderiza el stream SSE.

Pipe

El cron que se borra solo cuando terminas

Haz POST a una entrada de cron gestionada con expires_at fijado a 48 horas vista. El job se ejecuta según el horario y luego se elimina solo — sin recordatorio, sin PR de limpieza, sin entrada huérfana.

Cron

Haz un snapshot del contenedor justo antes de la migración nocturna

Una entrada hoody-cron que dispara a las 02:55 UTC, hace curl a la URL de snapshots y nombra el artefacto pre-migration-2026-05-04. Cinco minutos después arranca la migración. Si va bien, el snapshot queda inactivo y no cuesta nada. Si falla, restauras en 30 segundos con un único PATCH.

Cron·Snapshots

Un crontab independiente para cada cliente, automáticamente

Cada inquilino tiene su propio contenedor y su propio servicio hoody-cron. El digest de las 9 de la mañana del cliente A se dispara puntual aunque el job del cliente B esté colgado durante 40 minutos, porque no comparten crontab.

Cron·Containers

Despierta un agente a las 3 de la madrugada y retíralo a las 4

Un cron nocturno hace POST de una solicitud de spawn, el agente trabaja durante una hora y luego un segundo cron derriba el contenedor. El agente solo existe cuando hay trabajo para él.

Cron·Agent·Containers

Rollups diarios sin orquestador

Los eventos en bruto se acumulan en una URL de sqlite. Cada noche, una entrada de cron hace curl a un endpoint exec, el script ejecuta el SQL del rollup y escribe la tabla diaria de vuelta. Sin DAG, sin Postgres de Airflow, sin dashboard de scheduler.

Cron·SQLite·Exec

Un crontab por rama, desplegado con el código

Tu repo incluye `.hoody/crontab`. El script de despliegue hace PUT de ese archivo a la API de Cron del nuevo contenedor. Cada rama tiene su contenedor, su sistema de archivos, su programación.

Cron·Containers

Una escalada de guardia que caduca con el turno

Haz POST de una entrada cron con expires_at = fin del turno. Cuando termina el turno, la entrada se elimina sola. La siguiente persona de guardia publica la suya.

Cron·Notifications

Scrape por hora, resumen diario, archivo semanal — un solo contenedor

Tres líneas en un crontab: scrape de navegador por hora a SQLite, resumen diario con exec, archivo semanal a ficheros. Servidor de tarifa plana, tres ritmos, sin servicio de programador.

Cron·Browser·SQLite·Files

Deja que tus clientes traigan su propia programación cron

Los clientes hacen POST de sus expresiones de 5 campos; su crontab vive en su contenedor, aislado. No tienes que validar contra una cola global.

Cron·Containers

Programa el agente, no el script

Una entrada cron de 5 campos hace curl a hoody-agent con un prompt en lugar de ejecutar un script fijo. ¿Hoy es el último día del mes? El agente lo descubre. ¿Cambió la forma de los datos? El agente lo descubre.

Cron·Agent

Un latido para los trabajos silenciosos

Cada ejecución de cron hace POST de un latido a un endpoint de notificaciones. Un segundo cron comprueba el último latido y avisa cuando hay silencio. El silencio es la alerta.

Cron·Notifications

Conserva las últimas 24 horas como 24 snapshots

Un cron horario hace POST de una snapshot nombrada con la hora. Tras 24 horas cada nueva snapshot sobrescribe la de ayer a la misma hora. La máquina del tiempo de 24 plantas.

Cron·Snapshots

Reproduce los webhooks de esta mañana mañana a la misma hora

Capturaste 30 minutos de tráfico real de Stripe en una carpeta de hoody-files. Una entrada de cron lo reproduce contra staging a las 9 cada día laborable — mismo volumen, mismos payloads, misma presión a la misma hora del día.

Cron·Files·Exec

Edita tu crontab desde el móvil, en el aeropuerto

Abre la URL del cron en el móvil en la zona de embarque. Toca una fila, cambia un solo campo de la expresión cron, pulsa Guardar. El PATCH llega. El trabajo se dispara esta noche con el nuevo horario. Sin sesión SSH, sin jump box, sin portátil.

Cron·Terminal

Un resumen programado que se reparte a 200 buzones

Un cron a las 9 hace POST a un script exec que construye el resumen y hace curl a una URL de pipe con ?n=200. Doscientos destinatarios golpean la misma URL una vez.

Cron·Exec·Pipe

Silencia el job inestable sin perderlo

PATCH /entries/[id] [ enabled: false ]. El job se queda en tu crontab esperando que lo arreglen. Sin borrarlo, sin reescribirlo, sin perder contexto.

Cron

Un agente que califica a los agentes de ayer

Un cron nocturno hace POST al agente supervisor con las trazas de los agentes de ayer desde SQLite. El supervisor puntúa cada una. Cron es el supervisor.

Cron·Agent·SQLite

Jobs de limpieza que programan su propia jubilación

El script de limpieza comprueba si queda algo por limpiar. Cuando el directorio está vacío, hace DELETE de su propia entrada de cron. Trabajo hecho, trabajo fuera.

Cron·Files

Rota tus certificados TLS sin sesión SSH

Cron semanal: POST a un script de exec que ejecuta certbot y publica el nuevo certificado en el proxy mediante PATCH. Sin sesión de shell, sin claves, sin jump host.

Cron·Exec

Un canario semanal que intenta romper producción

El cron del domingo a las 7 despierta a un Hoody Agent en un contenedor nuevo contra un snapshot de prod. Ejecuta el OWASP top veinte, hace fuzzing a la API y escribe un informe de hallazgos en una URL antes de las 9. El contenedor se retira.

Cron·Agent·Browser·Snapshots

El cementerio de proyectos personales que puedes permitirte mantener vivo

Once proyectos paralelos a medio terminar en Heroku son once dynos a 5–7 $ cada uno. En Hoody son once contenedores en una caja bare-metal de 29 $. Inactivo cuesta cero, la URL despierta el contenedor en milisegundos y el motor de ajedrez que nadie usa sigue funcionando.

Containers

Un entorno de previsualización por pull request, todo el mes

Cada PR abierto recibe su propio clon de un snapshot. El contenedor despierta cuando los revisores hacen clic en el enlace; los PRs inactivos no cuestan nada.

Containers·Snapshots

Lleva un portafolio de 12 productos desde una caja bare-metal

Doce contenedores aislados, cada uno su propio SaaS, comparten un servidor de 49 $ bare-metal — un paso por encima del nivel de entrada de 29 $, elegido aquí por el espacio de RAM que necesitan cincuenta contenedores. Los márgenes por producto pasan de negativos a buenos.

Containers

Acaba con el impuesto del servidor de staging

Deja de pagar por un duplicado de producción. Haz un snapshot del contenedor de prod, ramifica staging desde él bajo demanda y vuelve a congelarlo en disco cuando nadie esté probando. Tres entornos, una máquina, una factura.

Containers·Snapshots

Cuarenta sitios de clientes, un alquiler, un panel

Cada sitio de cliente vive en su propio contenedor; les facturas por sitio, pagas el host una vez. Las cuentas por fin cuadran para las agencias.

Containers·Workspaces

Sustituye la factura de E2B con el bare metal que ya alquilas

Tus agentes dejan de alquilar cómputo por segundos a E2B/Modal/Daytona. Usan contenedores en la máquina que ya tienes.

Containers·Agent·Exec

El staging inactivo no cuesta nada, así que el staging deja de borrarse

El staging moría porque mantenerlo era caro. Cuando lo inactivo es gratis, el staging vive — incluso aquel que un compañero tocó hace 90 días.

Containers·Snapshots

Sandboxes por cliente a escala de flota

Ochocientos clientes aislados en tres servidores bare metal — una factura de tarifa plana al mes, sin medidor por inquilino. Cada inquilino recibe un contenedor real con su propio kernel namespace, sistema de archivos y URL. Los contenedores inactivos no cuestan nada adicional sobre el servidor que ya pagas.

Containers·Snapshots·Exec

La caché de CI que no es una línea en la factura de S3

Los archivos de caché viven en /files en la máquina que ya alquilas. Los workers hacen PUT y GET de tarballs por HTTP. Sin bucket de S3, sin egress, sin un tercer proveedor — los bytes nunca salen de la máquina.

Files·Containers

Cincuenta entornos de demo para cincuenta llamadas de ventas

Cada prospecto recibe una copia real y aislada de tu producto sembrada con sus datos. Clonada desde un snapshot. Suya durante una semana.

Containers·Snapshots

Un sandbox por cliente, automáticamente

What that single API call provisions

Signup triggers the container POST

Linux namespaces, not a WHERE clause

A unique URL back to your app

Per-tenant network rules cloned

Zero cost when idle

DELETE container = forget tenant

Multi-tenancy compartido vs contenedor por cliente

Qué reemplaza esto

Lee los otros

Sesenta contenedores en un servidor

Incorpora a un desarrollador con un solo enlace

Endpoints de API que se materializan bajo demanda

Ramifica computadoras como Git

VS Code real en tu móvil

Agentes de IA que generan otros agentes de IA

Despiértate con un prototipo terminado

Arreglo de emergencia en producción desde tu teléfono

Sigue los logs de producción en una URL que cualquiera puede curl-ear

Envía una build a treinta workers de CI a la vez

Observa pensar a tu agente desde la cafetería

Comparte tu pantalla con una URL, no con una invitación de reunión

Mueve 200 GB entre nubes con dos curls

Envía a un compañero el estado de una base de datos en una línea

Transmite tokens de LLM a cualquier cosa que lea HTTP

Una barra de progreso que tu jefe puede observar sin unirse

El fan-out de webhooks que no tuviste que construir

Una caché de CI que son solo dos comandos curl

Subidas drag-and-drop directas a tu script

Transmite un taller a 200 espectadores desde tu portátil

IPC entre contenedores sin el message broker

Sigue a tu agente en el tren, recibe un aviso cuando termine

Un micrófono sobre HTTP, en dos terminales

Cinco agentes, cinco pipes, un veredicto

Reproduce el incidente de esta mañana para todo el equipo

El 'pásame ese archivo' más rápido que jamás hayas tecleado

Ejecuta un LLM local y sírvelo a toda tu flota

Un dashboard de métricas en vivo sin backend de métricas

El cron que se borra solo cuando terminas

Haz un snapshot del contenedor justo antes de la migración nocturna

Un crontab independiente para cada cliente, automáticamente

Despierta un agente a las 3 de la madrugada y retíralo a las 4

Rollups diarios sin orquestador

Un crontab por rama, desplegado con el código

Una escalada de guardia que caduca con el turno

Scrape por hora, resumen diario, archivo semanal — un solo contenedor

Deja que tus clientes traigan su propia programación cron

Programa el agente, no el script

Un latido para los trabajos silenciosos

Conserva las últimas 24 horas como 24 snapshots

Reproduce los webhooks de esta mañana mañana a la misma hora

Edita tu crontab desde el móvil, en el aeropuerto

Un resumen programado que se reparte a 200 buzones

Silencia el job inestable sin perderlo

Un agente que califica a los agentes de ayer

Jobs de limpieza que programan su propia jubilación

Rota tus certificados TLS sin sesión SSH

Un canario semanal que intenta romper producción

El cementerio de proyectos personales que puedes permitirte mantener vivo

Un entorno de previsualización por pull request, todo el mes

Lleva un portafolio de 12 productos desde una caja bare-metal

Acaba con el impuesto del servidor de staging

Cuarenta sitios de clientes, un alquiler, un panel

Sustituye la factura de E2B con el bare metal que ya alquilas

El staging inactivo no cuesta nada, así que el staging deja de borrarse

Sandboxes por cliente a escala de flota

La caché de CI que no es una línea en la factura de S3

Cincuenta entornos de demo para cincuenta llamadas de ventas