TipoDesbloqueado EstágioFrota DificuldadeModerado TrabalhoMulti-tenant SaaS ParaFundadores solo ParaEquipes de desenvolvimento ParaAgências ServiçosContêineres ServiçosSnapshots ServiçosExec ServiçosArquivos Por que HoodyEconomia de contêineres Por que HoodyIsolamento bare-metal Por que HoodyViagem no tempo de snapshot IndústriaSaaS

use-cases / one-sandbox-per-customer / hero

CONTAINERS · MULTI-TENANT SAAS

Um sandbox por cliente, automaticamente

Pare de espalhar tenant_id por cada tabela. Quando um cliente se cadastra, um script exec copia um contêiner novo-cliente e lhe entrega sua própria URL, seu próprio sistema de arquivos, seu próprio SQLite. Isolamento é o sistema operacional entre eles, não uma cláusula WHERE.

Ler a documentação de cópia

SIGNUP WEBHOOK → CONTAINER SPAWN

YOUR WEBHOOK HANDLER

POST

# triggered by Stripe checkout.session.completed

POST /api/v1/projects/{id}/containers

Authorization: Bearer hdy_***

{

"user_id": "usr_7xk9",

"container_image": "ubuntu/24.04",

"name": "sbx-usr-7xk9",

"hoody_kit": true

}

HOODY API RESPONSE

201 Created

{

"id": "ctr_a9f3e2b1c7d04500",

"status": "provisioning",

"name": "sbx-usr-7xk9",

"url": "https://proj-ctr_a9f3...containers.hoody.com"

}

When a user signs up, this is what happens.

use-cases / one-sandbox-per-customer / trigger

What that single API call provisions

Each POST to /api/v1/projects/{id}/containers spins up an isolated environment. One call, one tenant, one URL handed back to your app.

01 · WEBHOOK

Signup triggers the container POST

Your Stripe (or any billing) webhook hits a Hoody Exec script. No Express, no server config — just a file in scripts/.

02 · ISOLATION

Linux namespaces, not a WHERE clause

The new container has its own filesystem, its own SQLite, its own ramdisk. Tenant A literally cannot see tenant B's data.

03 · URL

A unique URL back to your app

The response includes a container URL. Your app redirects the user into their own sandbox in the same deploy window.

04 · FIREWALL

Per-tenant network rules cloned

Container network and firewall rules are copied from your template. Every new tenant starts from the same security baseline.

05 · IDLE

Zero cost when idle

Stop the container and it costs nothing. BTRFS keeps only the delta from your template — disk stays cheap even at scale.

06 · OFFBOARD

DELETE container = forget tenant

One DELETE call removes the container and all their data. GDPR offboarding is not a script, it is a single HTTP call.

The whole flow is one webhook handler. No Kubernetes operator, no namespace YAML, no cluster admin. Three HTTP calls: webhook in, container out, URL to user.

use-cases / one-sandbox-per-customer / compare

Multi-tenancy compartilhado vs contêiner por cliente

As escolhas tradicionais eram uma coluna em toda tabela ou uma frota de VMs que você não conseguia bancar. O Hoody é uma terceira forma: contêineres baratos o bastante para dar um a cada cliente.

DIMENSÃO

BANCO COMPARTILHADO · TENANT_ID

HOODY · CONTÊINER POR CLIENTE

ISOLAMENTOWHERE tenant_id = $1 — e você torce para que toda query lembreNamespaces Linux. O tenant A literalmente não consegue ver o filesystem do tenant B.
SUPERFÍCIE DE VAZAMENTOtodo JOIN, todo hook do ORM, todo script de relatórioa fronteira do contêiner. Um artefato para auditar, não 200 sites de query.
CONFIG POR TENANTtabela de feature flags, frágil, meio-testada em devedite o ambiente de um contêiner. Os outros 399 ficam intactos.
VIZINHO BARULHENTOum cliente pesado pode travar o banco compartilhadocotas de CPU e disco por contêiner; a carga de um tenant fica na caixa dele.
OFFBOARDINGDELETE … WHERE tenant_id … mais 12 outras tabelas que você esqueceuDELETE no contêiner. Os dados vão junto. GDPR é uma chamada HTTP.
CUSTO EM OCIOSIDADEcada linha custa storage mesmo com o cliente dormindopare o contêiner — zero CPU, zero RAM. O BTRFS guarda só o delta.

sem colunas tenant_id
sem auditorias de segurança em nível de linha
sem YAML de namespace
delete = esquecer

use-cases / one-sandbox-per-customer / punchline

Multi-tenancy deixa de ser um problema de arquitetura. Vira um comando `cp`.

ONBOARDINGPOST /containers/$TEMPLATE/copy

OFFBOARDINGDELETE /containers/$CID

AJUSTE POR TENANTPATCH /containers/$CID [ env_vars ]

isolamento de nível namespace
delete GDPR em uma chamada
um contêiner por conta

use-cases / one-sandbox-per-customer / replaces

O que isso substitui

Isolamento por tenant historicamente significou ou uma cláusula WHERE inteligente ou um cluster caro. Contêiner por cliente desloca os contornos usuais:

Multi-tenancy compartilhado (coluna tenant_id)Uma query ruim expõe todo mundo
Middleware customizado de isolamento de tenantGuarda artesanal que você mantém para sempre
Políticas de row-level security do PostgresResposta certa, custosa de auditar por tabela
Namespace Kubernetes por tenantOverhead em nível de cluster, time de ops obrigatório
Schemas / bancos por clienteMultiplicador de migration, dor no pool de conexões
Linhas de metering Stripe em tabela compartilhadaRastreamento de uso colado na mesma caixa compartilhada

use-cases / one-sandbox-per-customer / cta

Clientes ociosos não custam nada. Os ativos escalam sob demanda. A coisa toda roda em $49 de bare metal até você ter centenas de pagantes.

Ler a documentação de container copy

use-cases / one-sandbox-per-customer / related

Leia os outros

Sessenta contêineres em um servidor

Uma caixa bare-metal executa dezenas a centenas de contêineres Hoody. KSM e BTRFS dedup fazem o custo marginal próximo a zero.

Contêineres·Snapshots

Faça o onboarding de um dev com um link

Uma nova engenheira começa na segunda. Você manda uma URL. Ela abre em qualquer notebook que tiver e já está em um contêiner novo, clonado do seu snapshot de baseline de desenvolvedor — código, dependências, env, dados de seed, VSCode no navegador. Escrevendo código em cinco minutos, não configurando.

Snapshots·Contêineres·Terminal·Arquivos

Endpoints de API que se materializam sob demanda

Um script exec wildcard captura a chamada, pede a uma IA para escrever o handler, executa em uma sandbox V8 e salva a rota. A próxima chamada é nativa.

Exec·Agente·Código·Arquivos

Computadores de ramificação como Git

Capture um contêiner em execução — arquivos, processos, memória. Restaure em segundos. Ramifique via /copy. Ramificação, mas para a máquina inteira.

Snapshots·Contêineres

VS Code de verdade no seu celular

O Code Orchestrator inicia uma instância do VS Code no contêiner e serve o editor por uma URL HTTPS comum. Qualquer dispositivo com navegador consegue abrir. O trabalho mora no contêiner, não no aparelho.

Display·Terminal·Arquivos·Contêineres+1

Agentes de IA que criam outros agentes de IA

Um agente de pesquisa faz POST para /api/v1/projects/$PID/containers para iniciar um contêiner filho, depois chama a URL do agente filho como qualquer outro serviço HTTP. Sub-agentes criam seus próprios sub-agentes do mesmo jeito. Sem framework de orquestrador, só URLs.

Agente·Exec·Contêineres

Acordar com um protótipo pronto

Passe um parágrafo ao agente à meia-noite. Ele cria seus próprios contêineres, snapshots antes dos passos arriscados e publica no seu webhook de notificação ao nascer do sol.

Agente·Snapshots·Contêineres·Navegador+2

Correção de produção de emergência do seu telefone

PagerDuty acorda você. Abra a URL do terminal no seu telefone. PATCH o snapshot de antes do bad deploy. Produção está de volta. Sem bastion, sem VPN, sem notebook.

Terminal·Snapshots·Rede

Acompanhe logs de produção em uma URL que qualquer um pode curl

Uma URL de pipe. Até 256 leitores. Três engenheiros acompanham o mesmo incidente ao mesmo tempo, sem bastion, sem assento Datadog, sem encaminhador de logs.

Pipe

Envie um build para trinta workers de CI ao mesmo tempo

O contêiner do build envia o tarball para um caminho de pipe com ?n=30. Os trinta workers de teste fazem curl na mesma URL. Os bytes passam uma vez, distribuídos em fan-out.

Pipe

Veja seu agente pensar direto da cafeteria

Seu agente roda em casa. Você está num café. Envie cada evento do loop pelo Hoody Pipe e faça curl no mesmo caminho a partir do celular — o trace chega caractere por caractere. Sem SSH, sem dashboard, sem upload.

Pipe·Agente

Mova 200GB entre nuvens com dois curls

pg_dump | gzip | curl em Frankfurt. curl | gunzip | psql em Singapura. Os bytes fluem pelo pipe sem nenhum disco no meio.

Pipe

Envie a um colega o estado de um banco em uma linha

pg_dump entra direto no psql do colega. Nenhum arquivo enviado, nenhum link compartilhado, nenhum download. O pipe roteia os bytes.

Pipe

Faça streaming de tokens de LLM para qualquer coisa que leia HTTP

O passo 3 envia tokens com curl -T -. O passo 4 faz curl no mesmo caminho. Os tokens vão do gerador ao consumidor na velocidade da linha. Sem encanamento de SSE, sem broker.

Pipe·Agente

Uma barra de progresso que seu chefe pode acompanhar sem entrar

Anexe ?progress à URL do pipe. Quem abrir recebe um dashboard HTML ao vivo — bytes, velocidade, ETA, estado. Até cinquenta espectadores, nenhum consumindo um slot de receiver, nenhum tocando no stream.

Pipe

O fan-out de webhook que você não precisou construir

O Stripe faz POST para um caminho de pipe com ?n=12. Doze assinantes fazem curl na URL do receiver com ?n=12. O pipe segura o evento até todos estarem conectados.

Pipe·Exec

Um cache de CI que é só dois comandos curl

tar | zstd | curl coloca node_modules em um pipe. Vinte jobs downstream fazem curl | zstd -d | tar x. Sem bucket S3, sem cache action, sem conta de egress.

Pipe·Contêineres

Uploads por arrastar e soltar direto no seu script

hoody-pipe serve um formulário web de upload em qualquer caminho. Arraste um arquivo na página, seu script lê os bytes do stdin. Zero código de upload, sem bucket S3, sem URLs pré-assinadas.

Pipe·Exec

Transmita um workshop para 200 espectadores a partir do seu laptop

ffmpeg envia sua tela para um caminho de pipe com ?n=200. Cada participante faz curl da URL em uma aba do navegador. Sem plataforma, sem logins, sem upload.

Pipe

IPC entre contêineres sem o message broker

O Contêiner A escreve em um caminho de pipe. O Contêiner B lê do mesmo caminho. A backpressure é a conexão. Sem Redis, sem fila, sem broker.

Pipe·Contêineres

Acompanhe seu agente no trem, receba um aviso quando ele terminar

O agente envia o trace para um caminho de pipe que você pode acessar via curl pelo celular. Quando ele termina, sua última ação aciona o hoody-notifications e seu telefone vibra. Duas URLs e um buzz — sem SDK, sem app cliente, sem dashboard.

Pipe·Agente·Notificações

Um microfone via HTTP, em dois terminais

ffmpeg captura o microfone, envia para uma URL. O outro lado faz curl e toca o áudio. Sem Zoom, sem SDK, sem servidor de signaling.

Pipe

Cinco agentes, cinco pipes, um veredito

Um painel de cinco modelos revisa a mesma entrada. Cada um roda no próprio contêiner e faz streaming do veredito para seu próprio caminho de pipe. Um processo juiz faz curl nos cinco em paralelo e contabiliza o resultado.

Pipe·Agente·Contêineres

Reproduza o incidente desta manhã para o time inteiro

Faça snapshot dos logs do horário do incidente em hoody-files. Reproduza-os por uma URL do Hoody Pipe com ?n=8. Oito engenheiros fazem curl no mesmo caminho e veem a cascata acontecer em sincronia — o post-mortem é um stream sincronizado, não um doc no Confluence.

Pipe·Arquivos

O 'me manda esse arquivo' mais rápido que você já digitou

Um colega pede um dump de 4 GB. O Slack rejeita, o Drive precisa de pedido de compartilhamento. Você digita curl -T file …; ele digita curl … > file. Os bytes vão direto entre os discos — sem barra de upload, sem link para compartilhar.

Pipe

Rode um LLM local e sirva-o à sua frota inteira

Uma GPU executa llama.cpp. Seus tokens fluem para um caminho de pipe com ?n=50. Cinquenta contêineres fazem curl na mesma URL e dividem o stream.

Pipe·Daemon

Um dashboard de métricas ao vivo sem backend de métricas

O loop de monitoramento de cada contêiner faz curl de uma métrica para uma URL de pipe. O dashboard faz curl na mesma URL com ?progress e renderiza o stream SSE.

Pipe

O cron job que se apaga sozinho quando você termina

POST em uma entrada gerenciada de cron com expires_at definido para 48 horas no futuro. O job roda no horário e depois se remove sozinho — sem lembrete, sem PR de limpeza, sem entrada órfã.

Cron

Tire um snapshot do contêiner logo antes da migração noturna

Uma entrada hoody-cron que dispara às 02:55 UTC, dá curl na URL de snapshots e nomeia o artefato como pre-migration-2026-05-04. Cinco minutos depois a migração roda. Se der certo, o snapshot fica parado e não custa nada. Se falhar, você restaura em 30 segundos com um único PATCH.

Cron·Snapshots

Um crontab separado para cada cliente, automaticamente

Cada tenant ganha seu próprio contêiner e seu próprio serviço hoody-cron. O resumo das 9h do cliente A dispara no horário mesmo quando o job do cliente B trava por 40 minutos, porque eles não estão no mesmo crontab.

Cron·Contêineres

Acorde um agente às 3h da manhã, aposente-o às 4h

Um cron noturno faz POST de uma requisição de spawn, o agente faz sua hora de trabalho e então um segundo cron desmonta o contêiner. O agente só existe quando há trabalho para ele fazer.

Cron·Agente·Contêineres

Rollups diários sem um orquestrador

Eventos brutos se acumulam em uma URL sqlite. Toda noite uma entrada de cron dá curl em um endpoint exec, o script roda o SQL de rollup e grava a tabela diária de volta. Sem DAG, sem Postgres do Airflow, sem dashboard de scheduler.

Cron·SQLite·Exec

Um crontab por branch, implantado junto com o código

Seu repositório versiona `.hoody/crontab`. O script de deploy faz PUT desse arquivo para a Cron API do novo contêiner. Cada branch ganha seu contêiner, seu sistema de arquivos, seu agendamento.

Cron·Contêineres

Escalonamento de plantão que expira junto com o turno

Faça POST de uma entrada cron com expires_at = fim do turno. Quando o turno termina, a entrada se apaga sozinha. O próximo plantonista posta a sua.

Cron·Notificações

Scrape por hora, resumo diário, arquivo semanal — um contêiner

Três linhas em um crontab: scrape do navegador a cada hora para SQLite, resumo exec diário, arquivamento semanal em arquivos. Servidor de tarifa fixa, três ritmos, nenhum serviço scheduler.

Cron·Navegador·SQLite·Arquivos

Deixe seus clientes trazerem o próprio agendamento cron

Os clientes fazem POST das próprias expressões de 5 campos; o crontab deles vive no contêiner deles, isolado. Você não valida contra uma fila global.

Cron·Contêineres

Agende o agente, não o script

Uma entrada cron de 5 campos faz curl no hoody-agent com um prompt em vez de rodar um script fixo. Hoje é o último dia do mês — o agente descobre. O formato dos dados mudou — o agente descobre.

Cron·Agente

Um heartbeat para os jobs silenciosos

Cada execução do cron faz POST de um heartbeat em um endpoint de notificações. Um segundo cron checa o último heartbeat e dispara alerta no silêncio. O silêncio é o alerta.

Cron·Notificações

Mantenha as últimas 24 horas como 24 snapshots

Um cron de hora em hora faz POST de um snapshot nomeado com a hora. Depois de 24 horas, cada novo snapshot sobrescreve o de ontem na mesma hora. A máquina do tempo de 24 andares.

Cron·Snapshots

Replay dos webhooks de hoje cedo no mesmo horário amanhã

Você capturou 30 minutos de tráfego real do Stripe em uma pasta hoody-files. Uma entrada de cron faz o replay contra staging às 9h em todos os dias úteis — mesmo volume, mesmos payloads, mesma pressão de horário.

Cron·Arquivos·Exec

Edite seu crontab pelo celular, no aeroporto

Abra a URL do cron no celular na área do portão. Toque numa linha, mude um único campo da expressão cron, aperte Salvar. O PATCH cai. O job dispara hoje à noite no novo horário. Sem sessão SSH, sem jump box, sem laptop.

Cron·Terminal

Um digest agendado que faz fan-out para 200 caixas de entrada

Cron às 9h faz POST para um script exec que monta o digest e faz curl numa URL de pipe com ?n=200. Duzentos destinatários acessam a mesma URL uma vez.

Cron·Exec·Pipe

Silencie o job instável sem perdê-lo

PATCH /entries/[id] [ enabled: false ]. O job permanece no seu crontab esperando ser corrigido. Sem deleção, sem reescrita, sem perda de contexto.

Cron

Um agente que avalia os agentes de ontem

Um cron noturno faz POST para o agente supervisor com os traços dos agentes de ontem vindos do SQLite. O supervisor pontua cada um. O cron é o supervisor.

Cron·Agente·SQLite

Jobs de limpeza que agendam a própria aposentadoria

O script de limpeza verifica se ainda há algo para limpar. Quando o diretório está vazio, ele faz DELETE na própria entrada do cron. Trabalho feito, job encerrado.

Cron·Arquivos

Renove seus certificados TLS sem uma sessão SSH

Cron semanal: POST para um script exec que roda o certbot, envia o novo certificado para o proxy via PATCH. Sem sessão de shell, sem chave, sem jump host.

Cron·Exec

Um canário semanal que tenta quebrar a produção

Domingo, 7h, um cron acorda um Hoody Agent em um container novo, contra um snapshot da produção. Ele roda o OWASP top vinte, faz fuzz na API e escreve um relatório de descobertas em uma URL até as 9h. Container se aposenta.

Cron·Agente·Navegador·Snapshots

O cemitério de projetos paralelos que você pode bancar

Onze projetos paralelos pela metade no Heroku são onze dynos a $5–7 cada. No Hoody, são onze contêineres em uma máquina bare-metal de $29. Ocioso custa zero, a URL acorda o contêiner em milissegundos, e o motor de xadrez que ninguém usa continua rodando.

Contêineres

Um ambiente de preview por pull request, o mês todo

Cada PR aberto ganha seu próprio clone de um snapshot. O contêiner acorda quando os revisores clicam no link; PRs ociosos não custam nada.

Contêineres·Snapshots

Rode um portfólio de 12 produtos em uma máquina bare-metal

Doze contêineres isolados, cada um seu próprio SaaS, compartilham um servidor de $49. As margens por produto saem do negativo para o saudável.

Contêineres

Acabe com o imposto do servidor de staging

Pare de pagar por uma duplicata da produção. Tire um snapshot do contêiner de prod, ramifique staging a partir dele sob demanda, congele de volta para o disco quando ninguém estiver testando. Três ambientes, uma máquina, uma conta.

Contêineres·Snapshots

Quarenta sites de clientes, um aluguel, um painel

Cada site de cliente vive em seu próprio contêiner; você cobra deles por site, paga o host uma vez. A matemática finalmente fecha para agências.

Contêineres·Espaços de trabalho

Substitua a fatura da E2B pelo bare metal que você já aluga

Seus agentes param de alugar computação por segundo da E2B/Modal/Daytona. Eles usam contêineres na máquina que você já tem.

Contêineres·Agente·Exec

Staging ocioso não custa nada, então staging para de ser deletado

O staging morria porque era caro mantê-lo. Quando ocioso é grátis, o staging continua vivo — até aquele que um colega tocou há 90 dias.

Contêineres·Snapshots

Sandboxes por cliente em escala de frota

Oitocentos clientes isolados em três servidores bare-metal — uma conta mensal de tarifa fixa, nenhuma métrica por tenant. Cada tenant ganha um contêiner real com seu próprio kernel namespace, sistema de arquivos e URL. Contêineres ociosos não custam nada além do servidor que você já aluga.

Contêineres·Snapshots·Exec

O cache de CI que não é uma linha de fatura do S3

Os arquivos de cache vivem em /files na máquina que você já aluga. Os workers fazem PUT e GET de tarballs por HTTP. Sem bucket S3, sem egress, sem terceiro fornecedor — os bytes nunca saem da máquina.

Arquivos·Contêineres

Cinquenta ambientes de demo para cinquenta calls de vendas

Cada prospect ganha uma cópia real e isolada do seu produto, com os dados dele. Clonado de um snapshot. Fica com ele por uma semana.

Contêineres·Snapshots

Um sandbox por cliente, automaticamente

What that single API call provisions

Signup triggers the container POST

Linux namespaces, not a WHERE clause

A unique URL back to your app

Per-tenant network rules cloned

Zero cost when idle

DELETE container = forget tenant

Multi-tenancy compartilhado vs contêiner por cliente

O que isso substitui

Leia os outros

Sessenta contêineres em um servidor

Faça o onboarding de um dev com um link

Endpoints de API que se materializam sob demanda

Computadores de ramificação como Git

VS Code de verdade no seu celular

Agentes de IA que criam outros agentes de IA

Acordar com um protótipo pronto

Correção de produção de emergência do seu telefone

Acompanhe logs de produção em uma URL que qualquer um pode curl

Envie um build para trinta workers de CI ao mesmo tempo

Veja seu agente pensar direto da cafeteria

Compartilhe sua tela com uma URL, não com um convite de reunião

Mova 200GB entre nuvens com dois curls

Envie a um colega o estado de um banco em uma linha

Faça streaming de tokens de LLM para qualquer coisa que leia HTTP

Uma barra de progresso que seu chefe pode acompanhar sem entrar

O fan-out de webhook que você não precisou construir

Um cache de CI que é só dois comandos curl

Uploads por arrastar e soltar direto no seu script

Transmita um workshop para 200 espectadores a partir do seu laptop

IPC entre contêineres sem o message broker

Acompanhe seu agente no trem, receba um aviso quando ele terminar

Um microfone via HTTP, em dois terminais

Cinco agentes, cinco pipes, um veredito

Reproduza o incidente desta manhã para o time inteiro

O 'me manda esse arquivo' mais rápido que você já digitou

Rode um LLM local e sirva-o à sua frota inteira

Um dashboard de métricas ao vivo sem backend de métricas

O cron job que se apaga sozinho quando você termina

Tire um snapshot do contêiner logo antes da migração noturna

Um crontab separado para cada cliente, automaticamente

Acorde um agente às 3h da manhã, aposente-o às 4h

Rollups diários sem um orquestrador

Um crontab por branch, implantado junto com o código

Escalonamento de plantão que expira junto com o turno

Scrape por hora, resumo diário, arquivo semanal — um contêiner

Deixe seus clientes trazerem o próprio agendamento cron

Agende o agente, não o script

Um heartbeat para os jobs silenciosos

Mantenha as últimas 24 horas como 24 snapshots

Replay dos webhooks de hoje cedo no mesmo horário amanhã

Edite seu crontab pelo celular, no aeroporto

Um digest agendado que faz fan-out para 200 caixas de entrada

Silencie o job instável sem perdê-lo

Um agente que avalia os agentes de ontem

Jobs de limpeza que agendam a própria aposentadoria

Renove seus certificados TLS sem uma sessão SSH

Um canário semanal que tenta quebrar a produção

O cemitério de projetos paralelos que você pode bancar

Um ambiente de preview por pull request, o mês todo

Rode um portfólio de 12 produtos em uma máquina bare-metal

Acabe com o imposto do servidor de staging

Quarenta sites de clientes, um aluguel, um painel

Substitua a fatura da E2B pelo bare metal que você já aluga

Staging ocioso não custa nada, então staging para de ser deletado

Sandboxes por cliente em escala de frota

O cache de CI que não é uma linha de fatura do S3

Cinquenta ambientes de demo para cinquenta calls de vendas