TipoDesbloqueado EstágioFrota DificuldadeModerado TrabalhoMulti-tenant SaaS ParaEquipes de desenvolvimento ParaFundadores solo ServiçosContêineres ServiçosSnapshots ServiçosExec Por que HoodyEconomia de contêineres Por que HoodyIsolamento bare-metal

use-cases / per-customer-sandboxes-fleet-scale / hero

CONTAINERS · SAAS MULTI-TENANT · ESCALA DE FROTA

Sandboxes por cliente em escala de frota

Oitocentos contêineres isolados em três servidores bare-metal. Cada cliente recebe seu próprio sistema de arquivos, sua própria URL, seu próprio kernel namespace — uma conta de servidor de tarifa fixa, nenhuma métrica por tenant. A arquitetura honesta deixou de ser a cara.

Ler os docs de frota

fleet.containers.hoody.com

https://fleet.containers.hoody.com/tenantsao vivo

TENANTS812

SERVIDORES3

TOTAL / MÊSflat rate

TENANTS · ATIVIDADE 24H47 de 812 mostrados

QUENTEATIVOMORNOOCIOSO

server-eu-1

FRANKFURT

28747% UTIL

server-us-1

NEW YORK

30452% UTIL

server-ap-1

SINGAPORE

22138% UTIL

POR TENANT / MÊSper server812 CONTAS ATIVAS · MISTO

EM OUTROS LUGARESper tenantFARGATE / NAMESPACE / POD DEDICADO

dashboard de operações de frota · 812 tenants em 3 nós bare-metal · misto a $0,18 por conta por mês

use-cases / per-customer-sandboxes-fleet-scale / mechanism

Como um signup vira um dos 812 sandboxes

Seu webhook de billing chama um script Hoody Exec. O script copia um contêiner de cliente novo a partir do snapshot template, o novo tenant cai em sua própria URL e o dashboard de frota incrementa em um. Três chamadas HTTP, sem orquestrador.

01 · WEBHOOK

A Stripe chama seu endpoint exec

POST /api/v1/exec/scripts/1/webhooks/signup

Um V8 isolate serverless. A URL do webhook é só um arquivo TypeScript em scripts/1/. Sem Express, sem config de servidor, sem contêiner próprio.

02 · COPY

O script clona o template do cliente

POST /api/v1/containers/$TEMPLATE/copy

BTRFS copy-on-write — cada novo contêiner consome apenas o delta do template no servidor alugado. Regras de firewall e rede clonam com o snapshot. Cai em qualquer servidor da frota com folga.

03 · ROUTE

Nova URL devolvida ao usuário

https://$PROJECT-$CID-...containers.hoody.com

O endpoint de authorize assinado emite um container_claim de uma hora. Seu app redireciona o cliente para o sandbox dele. Tempo total de signup: menos de sessenta segundos.

O pipeline inteiro são três chamadas HTTP. Sem operator do Kubernetes, sem YAML de namespace, sem cluster admin. A frota adiciona tenants do mesmo jeito que uma hash table adiciona entradas — só que cada entrada é um contêiner Linux real.

use-cases / per-customer-sandboxes-fleet-scale / economics

A matemática que torna o isolamento em escala de frota barato

Seu modelo de cobrança cobra por tenant. Hoody cobra por servidor. Uma vez que a unidade de cobrança troca de tenant para caixa, a figura por tenant encolhe conforme você adiciona densidade — e a curva achata conforme você cresce.

LEDGER DA FROTA · 812 TENANTS

# três nós bare-metal, preço de marketplace3 flat-rate servers · one monthly bill# misto entre eu-1, us-1, ap-1812 tenants (287 + 304 + 221)# o custo-por-tenant colapsabill ÷ 812 = cost shrinks as density grows

Adicionar os próximos cem tenants não muda a fatura — muda o divisor. KSM deduplica páginas de memória idênticas entre contêineres; BTRFS copy-on-write mantém os bytes da imagem base compartilhados no servidor. Cada novo contêiner usa apenas o delta do template; cobrança fica no servidor de tarifa fixa.

POR TENANT · OUTRAS STACKS

AWS FARGATE POR TENANTvCPU + memória cobrados por task, mesmo ocioso
$8–25
K8S NAMESPACE POR TENANTOverhead de cluster amortizado entre namespaces
$3–10
POD DEDICADO POR TENANTRAM + CPU reservados, pagos quente ou frio
$5–15
HOODY · CONTÊINER POR TENANTum preço do servidor ÷ densidade do tenant — limitado pela máquina, não pela contagem
tarifa fixa

O preço de servidor da Hoody é orientado pelo marketplace e varia por região, especificação e fornecedor. A frota de exemplo usa três nós; servidores do marketplace começam em $29/mês e variam por região, especificação e duração; estimativas de concorrentes são faixas ilustrativas a partir de preços públicos para computação por tenant comparável. A densidade assume cargas típicas de SaaS — tenants que ficam ociosos a maior parte do dia. Bancos de dados pesados ou cargas de IA precisam de mais folga por contêiner.

use-cases / per-customer-sandboxes-fleet-scale / powers

O que contêiner-por-tenant destrava nesse preço

Quando isolamento é barato, a arquitetura para de fazer concessões. As features que seu CFO vetava viram padrão.

ONBOARDING

Cada cliente novo é um `cp` de distância

Webhook da Stripe → Hoody Exec → POST /containers/$TEMPLATE/copy. O novo tenant inicia do mesmo snapshot que todos os outros tenants iniciaram. Baseline idêntico, futuro isolado. Sem colunas tenant_id para enfileirar, sem linha compartilhada para esquecer.

OFFBOARDING

Delete de GDPR é uma chamada HTTP

DELETE /api/v1/containers/$CID. O sistema de arquivos vai, o SQLite vai, os cron jobs vão, o audit log vai — porque tudo morava em um lugar só. Nada de "DELETE … WHERE tenant_id … mais 12 outras tabelas que você esqueceu".

RAIO DE EXPLOSÃO

O bug de um tenant fica dentro de um tenant

O script desgovernado de um cliente bate nas cotas de CPU e RAM do contêiner dele. Os outros 811 contêineres da frota não percebem. Sem auditoria de noisy-neighbor, sem tabela de lock compartilhada, sem connection pool compartilhado — kernel namespaces fazem o trabalho de isolamento que a camada de aplicação fingia.

use-cases / per-customer-sandboxes-fleet-scale / punchline

Isolamento por tenant custava por tenant. Agora custa por servidor.

ERA$3–25 / tenantfargate, namespace ou pod dedicado

AGORAuma conta de tarifa fixa812 sandboxes, 3 máquinas bare-metal, nenhuma métrica por tenant

Ler os docs de copy de contêiner

use-cases / per-customer-sandboxes-fleet-scale / replaces

O que isso substitui

Isolamento por tenant historicamente significava ou um WHERE clever ou uma fatura por tenant. Contêiner-por-cliente em escala de frota desloca os dois:

AWS Fargate por tenantvCPU + RAM cobrados por task, quente ou frio
Kubernetes por namespaceOverhead de cluster + control plane por tenant
Multi-tenancy compartilhado com filtro tenant_idUm WHERE esquecido vaza dados de cliente
Overhead de Postgres row-level securityPolicy em cada tabela, audit em cada query
Pods de tenant dedicadosComputação reservada paga, usada ou não

use-cases / per-customer-sandboxes-fleet-scale / cta

Oitocentos tenants isolados nos mesmos servidores que seu laptop substitui. A arquitetura honesta finalmente é a viável.

Ler o guia de contêiner

use-cases / per-customer-sandboxes-fleet-scale / related

Leia os outros

Sessenta contêineres em um servidor

Uma caixa bare-metal executa dezenas a centenas de contêineres Hoody. KSM e BTRFS dedup fazem o custo marginal próximo a zero.

Contêineres·Snapshots

Faça o onboarding de um dev com um link

Uma nova engenheira começa na segunda. Você manda uma URL. Ela abre em qualquer notebook que tiver e já está em um contêiner novo, clonado do seu snapshot de baseline de desenvolvedor — código, dependências, env, dados de seed, VSCode no navegador. Escrevendo código em cinco minutos, não configurando.

Snapshots·Contêineres·Terminal·Arquivos

Endpoints de API que se materializam sob demanda

Um script exec wildcard captura a chamada, pede a uma IA para escrever o handler, executa em uma sandbox V8 e salva a rota. A próxima chamada é nativa.

Exec·Agente·Código·Arquivos

Computadores de ramificação como Git

Capture um contêiner em execução — arquivos, processos, memória. Restaure em segundos. Ramifique via /copy. Ramificação, mas para a máquina inteira.

Snapshots·Contêineres

VS Code de verdade no seu celular

O Code Orchestrator inicia uma instância do VS Code no contêiner e serve o editor por uma URL HTTPS comum. Qualquer dispositivo com navegador consegue abrir. O trabalho mora no contêiner, não no aparelho.

Display·Terminal·Arquivos·Contêineres+1

Agentes de IA que criam outros agentes de IA

Um agente de pesquisa faz POST para /api/v1/projects/$PID/containers para iniciar um contêiner filho, depois chama a URL do agente filho como qualquer outro serviço HTTP. Sub-agentes criam seus próprios sub-agentes do mesmo jeito. Sem framework de orquestrador, só URLs.

Agente·Exec·Contêineres

Um sandbox por cliente, automaticamente

Um script exec captura o webhook de signup, copia um contêiner fresh-customer e entrega ao novo tenant a URL dele. O isolamento é o sistema operacional, não uma coluna tenant_id.

Contêineres·Snapshots·Exec·Arquivos

Acordar com um protótipo pronto

Passe um parágrafo ao agente à meia-noite. Ele cria seus próprios contêineres, snapshots antes dos passos arriscados e publica no seu webhook de notificação ao nascer do sol.

Agente·Snapshots·Contêineres·Navegador+2

Correção de produção de emergência do seu telefone

PagerDuty acorda você. Abra a URL do terminal no seu telefone. PATCH o snapshot de antes do bad deploy. Produção está de volta. Sem bastion, sem VPN, sem notebook.

Terminal·Snapshots·Rede

Acompanhe logs de produção em uma URL que qualquer um pode curl

Uma URL de pipe. Até 256 leitores. Três engenheiros acompanham o mesmo incidente ao mesmo tempo, sem bastion, sem assento Datadog, sem encaminhador de logs.

Pipe

Envie um build para trinta workers de CI ao mesmo tempo

O contêiner do build envia o tarball para um caminho de pipe com ?n=30. Os trinta workers de teste fazem curl na mesma URL. Os bytes passam uma vez, distribuídos em fan-out.

Pipe

Veja seu agente pensar direto da cafeteria

Seu agente roda em casa. Você está num café. Envie cada evento do loop pelo Hoody Pipe e faça curl no mesmo caminho a partir do celular — o trace chega caractere por caractere. Sem SSH, sem dashboard, sem upload.

Pipe·Agente

Mova 200GB entre nuvens com dois curls

pg_dump | gzip | curl em Frankfurt. curl | gunzip | psql em Singapura. Os bytes fluem pelo pipe sem nenhum disco no meio.

Pipe

Envie a um colega o estado de um banco em uma linha

pg_dump entra direto no psql do colega. Nenhum arquivo enviado, nenhum link compartilhado, nenhum download. O pipe roteia os bytes.

Pipe

Faça streaming de tokens de LLM para qualquer coisa que leia HTTP

O passo 3 envia tokens com curl -T -. O passo 4 faz curl no mesmo caminho. Os tokens vão do gerador ao consumidor na velocidade da linha. Sem encanamento de SSE, sem broker.

Pipe·Agente

Uma barra de progresso que seu chefe pode acompanhar sem entrar

Anexe ?progress à URL do pipe. Quem abrir recebe um dashboard HTML ao vivo — bytes, velocidade, ETA, estado. Até cinquenta espectadores, nenhum consumindo um slot de receiver, nenhum tocando no stream.

Pipe

O fan-out de webhook que você não precisou construir

O Stripe faz POST para um caminho de pipe com ?n=12. Doze assinantes fazem curl na URL do receiver com ?n=12. O pipe segura o evento até todos estarem conectados.

Pipe·Exec

Um cache de CI que é só dois comandos curl

tar | zstd | curl coloca node_modules em um pipe. Vinte jobs downstream fazem curl | zstd -d | tar x. Sem bucket S3, sem cache action, sem conta de egress.

Pipe·Contêineres

Uploads por arrastar e soltar direto no seu script

hoody-pipe serve um formulário web de upload em qualquer caminho. Arraste um arquivo na página, seu script lê os bytes do stdin. Zero código de upload, sem bucket S3, sem URLs pré-assinadas.

Pipe·Exec

Transmita um workshop para 200 espectadores a partir do seu laptop

ffmpeg envia sua tela para um caminho de pipe com ?n=200. Cada participante faz curl da URL em uma aba do navegador. Sem plataforma, sem logins, sem upload.

Pipe

IPC entre contêineres sem o message broker

O Contêiner A escreve em um caminho de pipe. O Contêiner B lê do mesmo caminho. A backpressure é a conexão. Sem Redis, sem fila, sem broker.

Pipe·Contêineres

Acompanhe seu agente no trem, receba um aviso quando ele terminar

O agente envia o trace para um caminho de pipe que você pode acessar via curl pelo celular. Quando ele termina, sua última ação aciona o hoody-notifications e seu telefone vibra. Duas URLs e um buzz — sem SDK, sem app cliente, sem dashboard.

Pipe·Agente·Notificações

Um microfone via HTTP, em dois terminais

ffmpeg captura o microfone, envia para uma URL. O outro lado faz curl e toca o áudio. Sem Zoom, sem SDK, sem servidor de signaling.

Pipe

Cinco agentes, cinco pipes, um veredito

Um painel de cinco modelos revisa a mesma entrada. Cada um roda no próprio contêiner e faz streaming do veredito para seu próprio caminho de pipe. Um processo juiz faz curl nos cinco em paralelo e contabiliza o resultado.

Pipe·Agente·Contêineres

Reproduza o incidente desta manhã para o time inteiro

Faça snapshot dos logs do horário do incidente em hoody-files. Reproduza-os por uma URL do Hoody Pipe com ?n=8. Oito engenheiros fazem curl no mesmo caminho e veem a cascata acontecer em sincronia — o post-mortem é um stream sincronizado, não um doc no Confluence.

Pipe·Arquivos

O 'me manda esse arquivo' mais rápido que você já digitou

Um colega pede um dump de 4 GB. O Slack rejeita, o Drive precisa de pedido de compartilhamento. Você digita curl -T file …; ele digita curl … > file. Os bytes vão direto entre os discos — sem barra de upload, sem link para compartilhar.

Pipe

Rode um LLM local e sirva-o à sua frota inteira

Uma GPU executa llama.cpp. Seus tokens fluem para um caminho de pipe com ?n=50. Cinquenta contêineres fazem curl na mesma URL e dividem o stream.

Pipe·Daemon

Um dashboard de métricas ao vivo sem backend de métricas

O loop de monitoramento de cada contêiner faz curl de uma métrica para uma URL de pipe. O dashboard faz curl na mesma URL com ?progress e renderiza o stream SSE.

Pipe

O cron job que se apaga sozinho quando você termina

POST em uma entrada gerenciada de cron com expires_at definido para 48 horas no futuro. O job roda no horário e depois se remove sozinho — sem lembrete, sem PR de limpeza, sem entrada órfã.

Cron

Tire um snapshot do contêiner logo antes da migração noturna

Uma entrada hoody-cron que dispara às 02:55 UTC, dá curl na URL de snapshots e nomeia o artefato como pre-migration-2026-05-04. Cinco minutos depois a migração roda. Se der certo, o snapshot fica parado e não custa nada. Se falhar, você restaura em 30 segundos com um único PATCH.

Cron·Snapshots

Um crontab separado para cada cliente, automaticamente

Cada tenant ganha seu próprio contêiner e seu próprio serviço hoody-cron. O resumo das 9h do cliente A dispara no horário mesmo quando o job do cliente B trava por 40 minutos, porque eles não estão no mesmo crontab.

Cron·Contêineres

Acorde um agente às 3h da manhã, aposente-o às 4h

Um cron noturno faz POST de uma requisição de spawn, o agente faz sua hora de trabalho e então um segundo cron desmonta o contêiner. O agente só existe quando há trabalho para ele fazer.

Cron·Agente·Contêineres

Rollups diários sem um orquestrador

Eventos brutos se acumulam em uma URL sqlite. Toda noite uma entrada de cron dá curl em um endpoint exec, o script roda o SQL de rollup e grava a tabela diária de volta. Sem DAG, sem Postgres do Airflow, sem dashboard de scheduler.

Cron·SQLite·Exec

Um crontab por branch, implantado junto com o código

Seu repositório versiona `.hoody/crontab`. O script de deploy faz PUT desse arquivo para a Cron API do novo contêiner. Cada branch ganha seu contêiner, seu sistema de arquivos, seu agendamento.

Cron·Contêineres

Escalonamento de plantão que expira junto com o turno

Faça POST de uma entrada cron com expires_at = fim do turno. Quando o turno termina, a entrada se apaga sozinha. O próximo plantonista posta a sua.

Cron·Notificações

Scrape por hora, resumo diário, arquivo semanal — um contêiner

Três linhas em um crontab: scrape do navegador a cada hora para SQLite, resumo exec diário, arquivamento semanal em arquivos. Servidor de tarifa fixa, três ritmos, nenhum serviço scheduler.

Cron·Navegador·SQLite·Arquivos

Deixe seus clientes trazerem o próprio agendamento cron

Os clientes fazem POST das próprias expressões de 5 campos; o crontab deles vive no contêiner deles, isolado. Você não valida contra uma fila global.

Cron·Contêineres

Agende o agente, não o script

Uma entrada cron de 5 campos faz curl no hoody-agent com um prompt em vez de rodar um script fixo. Hoje é o último dia do mês — o agente descobre. O formato dos dados mudou — o agente descobre.

Cron·Agente

Um heartbeat para os jobs silenciosos

Cada execução do cron faz POST de um heartbeat em um endpoint de notificações. Um segundo cron checa o último heartbeat e dispara alerta no silêncio. O silêncio é o alerta.

Cron·Notificações

Mantenha as últimas 24 horas como 24 snapshots

Um cron de hora em hora faz POST de um snapshot nomeado com a hora. Depois de 24 horas, cada novo snapshot sobrescreve o de ontem na mesma hora. A máquina do tempo de 24 andares.

Cron·Snapshots

Replay dos webhooks de hoje cedo no mesmo horário amanhã

Você capturou 30 minutos de tráfego real do Stripe em uma pasta hoody-files. Uma entrada de cron faz o replay contra staging às 9h em todos os dias úteis — mesmo volume, mesmos payloads, mesma pressão de horário.

Cron·Arquivos·Exec

Edite seu crontab pelo celular, no aeroporto

Abra a URL do cron no celular na área do portão. Toque numa linha, mude um único campo da expressão cron, aperte Salvar. O PATCH cai. O job dispara hoje à noite no novo horário. Sem sessão SSH, sem jump box, sem laptop.

Cron·Terminal

Um digest agendado que faz fan-out para 200 caixas de entrada

Cron às 9h faz POST para um script exec que monta o digest e faz curl numa URL de pipe com ?n=200. Duzentos destinatários acessam a mesma URL uma vez.

Cron·Exec·Pipe

Silencie o job instável sem perdê-lo

PATCH /entries/[id] [ enabled: false ]. O job permanece no seu crontab esperando ser corrigido. Sem deleção, sem reescrita, sem perda de contexto.

Cron

Um agente que avalia os agentes de ontem

Um cron noturno faz POST para o agente supervisor com os traços dos agentes de ontem vindos do SQLite. O supervisor pontua cada um. O cron é o supervisor.

Cron·Agente·SQLite

Jobs de limpeza que agendam a própria aposentadoria

O script de limpeza verifica se ainda há algo para limpar. Quando o diretório está vazio, ele faz DELETE na própria entrada do cron. Trabalho feito, job encerrado.

Cron·Arquivos

Renove seus certificados TLS sem uma sessão SSH

Cron semanal: POST para um script exec que roda o certbot, envia o novo certificado para o proxy via PATCH. Sem sessão de shell, sem chave, sem jump host.

Cron·Exec

Um canário semanal que tenta quebrar a produção

Domingo, 7h, um cron acorda um Hoody Agent em um container novo, contra um snapshot da produção. Ele roda o OWASP top vinte, faz fuzz na API e escreve um relatório de descobertas em uma URL até as 9h. Container se aposenta.

Cron·Agente·Navegador·Snapshots

O cemitério de projetos paralelos que você pode bancar

Onze projetos paralelos pela metade no Heroku são onze dynos a $5–7 cada. No Hoody, são onze contêineres em uma máquina bare-metal de $29. Ocioso custa zero, a URL acorda o contêiner em milissegundos, e o motor de xadrez que ninguém usa continua rodando.

Contêineres

Sandboxes por cliente em escala de frota

Como um signup vira um dos 812 sandboxes

A Stripe chama seu endpoint exec

O script clona o template do cliente

Nova URL devolvida ao usuário

A matemática que torna o isolamento em escala de frota barato

O que contêiner-por-tenant destrava nesse preço

Cada cliente novo é um `cp` de distância

Delete de GDPR é uma chamada HTTP

O bug de um tenant fica dentro de um tenant

O que isso substitui

Leia os outros

Sessenta contêineres em um servidor

Faça o onboarding de um dev com um link

Endpoints de API que se materializam sob demanda

Computadores de ramificação como Git

VS Code de verdade no seu celular

Agentes de IA que criam outros agentes de IA

Um sandbox por cliente, automaticamente

Acordar com um protótipo pronto

Correção de produção de emergência do seu telefone

Acompanhe logs de produção em uma URL que qualquer um pode curl

Envie um build para trinta workers de CI ao mesmo tempo

Veja seu agente pensar direto da cafeteria

Compartilhe sua tela com uma URL, não com um convite de reunião

Mova 200GB entre nuvens com dois curls

Envie a um colega o estado de um banco em uma linha

Faça streaming de tokens de LLM para qualquer coisa que leia HTTP

Uma barra de progresso que seu chefe pode acompanhar sem entrar

O fan-out de webhook que você não precisou construir

Um cache de CI que é só dois comandos curl

Uploads por arrastar e soltar direto no seu script

Transmita um workshop para 200 espectadores a partir do seu laptop

IPC entre contêineres sem o message broker

Acompanhe seu agente no trem, receba um aviso quando ele terminar

Um microfone via HTTP, em dois terminais

Cinco agentes, cinco pipes, um veredito

Reproduza o incidente desta manhã para o time inteiro

O 'me manda esse arquivo' mais rápido que você já digitou

Rode um LLM local e sirva-o à sua frota inteira

Um dashboard de métricas ao vivo sem backend de métricas

O cron job que se apaga sozinho quando você termina

Tire um snapshot do contêiner logo antes da migração noturna

Um crontab separado para cada cliente, automaticamente

Acorde um agente às 3h da manhã, aposente-o às 4h

Rollups diários sem um orquestrador

Um crontab por branch, implantado junto com o código

Escalonamento de plantão que expira junto com o turno

Scrape por hora, resumo diário, arquivo semanal — um contêiner

Deixe seus clientes trazerem o próprio agendamento cron

Agende o agente, não o script

Um heartbeat para os jobs silenciosos

Mantenha as últimas 24 horas como 24 snapshots

Replay dos webhooks de hoje cedo no mesmo horário amanhã

Edite seu crontab pelo celular, no aeroporto

Um digest agendado que faz fan-out para 200 caixas de entrada

Silencie o job instável sem perdê-lo

Um agente que avalia os agentes de ontem

Jobs de limpeza que agendam a própria aposentadoria

Renove seus certificados TLS sem uma sessão SSH

Um canário semanal que tenta quebrar a produção

O cemitério de projetos paralelos que você pode bancar

Um ambiente de preview por pull request, o mês todo

Rode um portfólio de 12 produtos em uma máquina bare-metal

Acabe com o imposto do servidor de staging

Quarenta sites de clientes, um aluguel, um painel

Substitua a fatura da E2B pelo bare metal que você já aluga

Staging ocioso não custa nada, então staging para de ser deletado

O cache de CI que não é uma linha de fatura do S3

Cinquenta ambientes de demo para cinquenta calls de vendas