タイプアンロックステージフリート難易度中程度ジョブマルチテナント SaaS 対象ソロ起業家対象開発チーム対象エージェンシーサービスコンテナサービススナップショットサービスExec サービスファイル Hoody の利点コンテナ経済学 Hoody の利点ベアメタル分離 Hoody の利点スナップショット時間旅行業界SaaS

use-cases / one-sandbox-per-customer / hero

コンテナ · マルチテナント SaaS

顧客ごとに 1 つのサンドボックス。自動的に。

すべてのテーブルに tenant_id を散在させるのをやめてください。顧客がサインアップすると、実行スクリプトが新規顧客コンテナをコピーし、顧客に独自の URL、独自のファイルシステム、独自の SQLite を提供します。分離はテーブルの WHERE 句ではなく、その間にあるオペレーティングシステムです。

コピードキュメントを読む

SIGNUP WEBHOOK → CONTAINER SPAWN

YOUR WEBHOOK HANDLER

POST

# triggered by Stripe checkout.session.completed

POST /api/v1/projects/{id}/containers

Authorization: Bearer hdy_***

{

"user_id": "usr_7xk9",

"container_image": "ubuntu/24.04",

"name": "sbx-usr-7xk9",

"hoody_kit": true

}

HOODY API RESPONSE

201 Created

{

"id": "ctr_a9f3e2b1c7d04500",

"status": "provisioning",

"name": "sbx-usr-7xk9",

"url": "https://proj-ctr_a9f3...containers.hoody.com"

}

When a user signs up, this is what happens.

use-cases / one-sandbox-per-customer / trigger

What that single API call provisions

Each POST to /api/v1/projects/{id}/containers spins up an isolated environment. One call, one tenant, one URL handed back to your app.

01 · WEBHOOK

Signup triggers the container POST

Your Stripe (or any billing) webhook hits a Hoody Exec script. No Express, no server config — just a file in scripts/.

02 · ISOLATION

Linux namespaces, not a WHERE clause

The new container has its own filesystem, its own SQLite, its own ramdisk. Tenant A literally cannot see tenant B's data.

03 · URL

A unique URL back to your app

The response includes a container URL. Your app redirects the user into their own sandbox in the same deploy window.

04 · FIREWALL

Per-tenant network rules cloned

Container network and firewall rules are copied from your template. Every new tenant starts from the same security baseline.

05 · IDLE

Zero cost when idle

Stop the container and it costs nothing. BTRFS keeps only the delta from your template — disk stays cheap even at scale.

06 · OFFBOARD

DELETE container = forget tenant

One DELETE call removes the container and all their data. GDPR offboarding is not a script, it is a single HTTP call.

The whole flow is one webhook handler. No Kubernetes operator, no namespace YAML, no cluster admin. Three HTTP calls: webhook in, container out, URL to user.

use-cases / one-sandbox-per-customer / compare

共有マルチテナンシー vs 顧客ごとのコンテナ

従来の選択肢は、すべてのテーブルにカラムを置くか、買えない VM フリートでした。Hoody は 3 つ目の形: すべての顧客に 1 つずつ与えるのに十分安いコンテナです。

DIMENSION

共有 DB · TENANT_ID

HOODY · 顧客ごとのコンテナ

ISOLATIONWHERE tenant_id = $1 — そしてすべてのクエリが覚えていることを願うLinux namespaces。テナント A はテナント B のファイルシステムを文字通り見ることができません。
DATA LEAK SURFACEすべての JOIN、すべての ORM フック、すべてのレポートスクリプトコンテナ境界。監査するのは 200 のクエリサイトではなく、1 つのアーティファクトです。
PER-TENANT CONFIG機能フラグテーブル、脆弱、開発で半分テスト1 つのコンテナの環境を編集。他の 399 は変わりません。
NOISY NEIGHBOR1 人の重い顧客が共有 DB をロックできるコンテナの CPU とディスククォータ。1 つのテナントの負荷は彼らのボックスに留まる。
OFFBOARDINGDELETE … WHERE tenant_id … プラスあなたが忘れた他の 12 テーブルコンテナを DELETE。彼らのデータも一緒に消える。GDPR は 1 回の HTTP コール。
COST AT IDLE顧客が眠っているときも各行がストレージをコストコンテナを停止 — CPU 0、RAM 0。BTRFS は差分だけを保持します。

tenant_id カラムなし
行レベルセキュリティ監査なし
namespace YAML なし
削除 = 忘れる

use-cases / one-sandbox-per-customer / punchline

マルチテナンシーはアーキテクチャ問題でなくなります。`cp` コマンドになります。

ONBOARDPOST /containers/$TEMPLATE/copy

OFFBOARDDELETE /containers/$CID

PER-TENANT TWEAKPATCH /containers/$CID [ env_vars ]

namespace 級の隔離
GDPR 削除を 1 回のコールで
アカウントごとに 1 コンテナ

use-cases / one-sandbox-per-customer / replaces

これが置き換えるもの

テナントごとの隔離は歴史的に、巧妙な WHERE 句か高価なクラスターを意味しました。顧客ごとのコンテナは通常の回避策を置き換えます:

共有マルチテナンシー (tenant_id カラム)1 つの悪いクエリが全員を露出させる
カスタムテナント隔離ミドルウェア永遠にメンテする手作りのガード
Postgres 行レベルセキュリティポリシー正しい答えだが、テーブルごとの監査がコストがかかる
テナントごとの Kubernetes namespaceクラスターレベルのオーバーヘッド、ops チームが必要
顧客ごとのスキーマ / データベースマイグレーションの倍数、コネクションプールの痛み
共有テーブル内の Stripe メータリング行同じ共有ボックスに張り付けられた使用量追跡

use-cases / one-sandbox-per-customer / cta

アイドル顧客はコストがかかりません。アクティブな顧客はオンデマンドでスケール。全体は数百の支払いユーザーになるまで $49 のベアメタルで動きます。

コンテナコピー docs を読む

use-cases / one-sandbox-per-customer / related

顧客ごとに 1 つのサンドボックス。自動的に。

What that single API call provisions

Signup triggers the container POST

Linux namespaces, not a WHERE clause

A unique URL back to your app

Per-tenant network rules cloned

Zero cost when idle

DELETE container = forget tenant

共有マルチテナンシー vs 顧客ごとのコンテナ

これが置き換えるもの

他のユースケースを読む

1 つのサーバーで 60 のコンテナ

1 つのリンクで開発者をオンボード

オンデマンドで具現化するAPI エンドポイント

Git のようにコンピュータをブランチ化

スマホで本物の VS Code

他の AI エージェントを生成する AI エージェント

完成したプロトタイプで目覚める

電話から本番環境を緊急修復

誰でも curl できる URL に本番ログを tail

1 つのビルドを 30 の CI ワーカーへ同時にプッシュ

カフェからエージェントの思考を眺める

会議招待ではなく URL で画面を共有

2 つの curl でクラウド間で 200GB を移動

1 行でチームメイトにデータベースの状態を送信

HTTP を読むあらゆるものに LLM トークンをストリーミング

上司が参加せずに観戦できるプログレスバー

構築する必要のなかった Webhook ファンアウト

2 つの curl コマンドだけの CI キャッシュ

スクリプトにドラッグ&ドロップでアップロード

ノートパソコンから 200 人にワークショップを配信

メッセージブローカーなしのコンテナ間 IPC

電車内でエージェントを tail し、終了したら通知を受ける

2 つのターミナルで HTTP 越しのマイク

5 つのエージェント、5 つのパイプ、1 つの判定

今朝のインシデントをチーム全員で再生

今までで最速の「あのファイル送って」

ローカル LLM を実行し、フリート全体に配信

メトリクスバックエンドなしのライブメトリクスダッシュボード

完了したら自分で消える cron ジョブ

夜間マイグレーションの直前にコンテナをスナップショット

全顧客に専用 crontab を自動で

午前 3 時にエージェントを起こし、4 時に退役させる

オーケストレーターなしの日次ロールアップ

ブランチごとの crontab を、コードと一緒にデプロイ

シフトとともに失効するオンコールエスカレーション

毎時のスクレイプ、日次のダイジェスト、週次のアーカイブ — 1 つのコンテナで

顧客に自分の cron スケジュールを持ち込んでもらう

スクリプトではなくエージェントをスケジュールする

静かなジョブのためのハートビート

直近 24 時間を 24 個のスナップショットとして保持

今朝の webhook を、明日の同じ時刻にリプレイ

空港のスマホから crontab を編集

200 件の受信箱へファンアウトするスケジュール配信

不安定なジョブを失わずにミュートする

昨日のエージェントを採点するエージェント

自分自身の引退をスケジュールするクリーンアップジョブ

SSH セッションなしで TLS 証明書を更新する

本番を壊そうとする毎週のカナリア

生かしておける余裕のある趣味プロジェクトの墓場

プルリクエストごとのプレビュー環境、月中

ベアメタル 1 台で 12 製品ポートフォリオを運営

ステージングサーバー税を撲滅

40 のクライアントサイト、1 つの家賃、1 つのダッシュボード

E2B の請求を、すでにレンタルしているベアメタルに置き換える

アイドル状態のステージングは無料、だからステージングが削除されなくなる

フリート規模で顧客ごとのサンドボックス

S3 の請求項目にならない CI キャッシュ

50 件の営業電話のための 50 のデモ環境