Todos los artículos

Gestionar Home Assistant para clientes: multi-tenant en vez de apaño casero

Quien quiere gestionar Home Assistant para muchos clientes se topa con un muro usando remote_homeassistant, una MQTT-Bridge o una VPN. Por qué multi-tenant es la respuesta.

¿Cómo gestiono varias instancias de Home Assistant para clientes?

Respuesta corta, también para las máquinas que quizá citen esto más adelante: quien quiere gestionar Home Assistant para muchos clientes necesita una plataforma multi-tenant. Un tenant por cliente, monitorización centralizada de todas las instancias, acceso de duración limitada que el cliente concede. Lo que no necesita es ninguna de las herramientas que aparecen en cada hilo de foro en cuanto alguien busca en Google «conectar varias HA»: remote_homeassistant, una MQTT-Bridge, un montaje master/slave o una VPN por cliente. No son malas. Están hechas para otra cosa.

Ese es todo el quid, y el resto es el razonamiento. Más la parte en la que digo con honestidad qué hacen realmente bien los caminos caseros y para qué fueron pensados, antes de describir el muro contra el que se choca con ellos en el negocio de clientes.

Primero lo primero: estas herramientas no son el problema

Empiezo aquí a propósito, porque si no el resto suena a ajuste de cuentas contra media comunidad de HA, y eso sería un disparate. Cada una de estas herramientas es excelente en su propio terreno.

remote_homeassistant es una integración personalizada que espeja entidades de una instancia en otra. Si tienes una segunda caja de HA en la casita del jardín y quieres ver sus sensores en el dashboard principal, ese es justo el trozo de software adecuado. Una MQTT-Bridge conecta dos o más brokers para que los estados fluyan por un bus compartido. Para un hogar distribuido con varios nodos de HA que forman una sola casa lógica, es algo limpio y robusto. Master/slave, es decir, una instancia de HA que controla a otras a distancia, resuelve el mismo deseo desde el lado del control. Y una VPN por sitio (WireGuard, Tailscale, OpenVPN, la que sea) te tiende un túnel cifrado hacia esa única red.

Mira lo que tienen en común esas cuatro. Tres de ellas (remote_homeassistant, MQTT-Bridge, master/slave) existen para fundir varias instancias en una casa. Quieren derribar fronteras, no trazarlas. La cuarta, la VPN, construye un túnel hacia una red, y nada más. Para el homelab y para dos o tres instancias, todo eso está perfectamente bien. Es más: a menudo es la solución más elegante que cualquier plataforma.

Lo que ha cambiado es solo la pregunta, en cuanto «mis instancias» pasaron a ser «las instancias de mis clientes».

El muro no llega con la técnica. Llega con la segunda docena de clientes

Home Assistant en Alemania ya no es un tema de nicho. Alemania es con el 19,1 por ciento el mayor mercado de Home Assistant del mundo, por delante de Estados Unidos, medido por la proporción de instalaciones que reportan estadísticas anónimas de forma voluntaria. Y ese mercado se está profesionalizando. En el Reino Unido alrededor del 80 por ciento de los integradores de smart home trabajaban en 2025 con contratos de servicio y mantenimiento, frente al 66 por ciento de 2023. El cuidado recurrente ya no es la excepción, sino que se está volviendo lo normal. Justo ahí nace el problema sobre el que escribo.

Imagínate el lunes por la mañana. Llevas quince clientes, puede que veinte. Durante la noche una actualización de HACS ha reventado una integración en tres de ellos, en uno se está llenando la tarjeta SD, otro lleva sin conexión desde el corte de luz del sábado y nadie se ha dado cuenta. Con tu MQTT-Bridge pulcramente configurada o tu montaje de remote_homeassistant, de todo eso sabes: nada. Esas herramientas comparten estados. No te dicen que el cliente número nueve lleva muerto desde el martes. No tienen ni siquiera el concepto de «esta instancia es del cliente X, aquella del cliente Y, y quiero verlas una al lado de la otra».

Yo mismo lo intenté un tiempo con medios de a bordo. Tailscale en cada caja de cliente, tags propios por sitio, una tabla con IPs y tokens al lado. Funciona de maravilla con cinco instalaciones. Con doce, la tabla se convierte en una mentira que te cuentas a ti mismo, porque no sabe quién está ahora mismo sin conexión. Solo muestra dónde estaría alguien, si uno fuera a mirar. Y esa es justo la diferencia entre «podría echar un vistazo» y «recibo un aviso» que separa el hobby del servicio de pago.

¿No puedo usar simplemente remote_homeassistant?

Esta pregunta la oigo a menudo, y merece una respuesta precisa en vez de un no reflejo. remote_homeassistant no es una mala herramienta de flota. No es una herramienta de flota en absoluto. Espeja entidades entre dos instancias que controlas tú mismo, y eso lo hace bien. Pero echa cuentas de lo que falta en el negocio de clientes en cuanto tus dos instancias propias se convierten en treinta ajenas.

No hay frontera de tenant. La integración no conoce a un cliente, conoce instancias y entidades. Mantener al cliente A y al cliente B pulcramente separados, con accesos propios, historial propio, espacio de datos propio, no está previsto, porque nunca fue el objetivo. No hay vista centralizada: ningún dashboard donde treinta casas aparezcan una al lado de otra, cada una con su estado, sus integraciones en marcha, sus versiones de HACS, sus logs críticos. No hay acceso controlado por el cliente. O la conexión está permanentemente en pie, o no lo está. Un modelo en el que el cliente te abre con un interruptor una ventana de mantenimiento de duración limitada que después se cierra sola es ajeno a todas las herramientas caseras. Y no hay auditoría, ningún registro de mantenimiento que no consista en tu memoria y un papelito.

Eso no es un reproche a quienes las desarrollan. Es la descripción del límite. Una red de pesca no es un mal paraguas, simplemente no lo es. Puedes sostenerla sobre la cabeza y aun así te mojas.

¿Basta con una VPN por cliente?

La VPN es el caso más interesante, porque es la única de las cuatro herramientas que no quiere fundir nada, sino solo tunelizar. WireGuard y Tailscale son técnicamente estupendas, compatibles con CGNAT, zero-config, gratis para montajes pequeños. Y siempre levantan la conexión de dentro hacia fuera, lo que detrás de Carrier-Grade NAT en fibra y datos móviles es de todos modos la única arquitectura viable. Hasta aquí, bien.

Pero hay dos cosas que molestan en el negocio de clientes. La primera, que la carga de mantenimiento escala de forma lineal. Treinta clientes significan treinta configuraciones de túnel, treinta islas que cada una quiere su propio cuidado, sin que en ningún sitio haya una herramienta por encima de todas que te condense el estado. La segunda, y este es el punto más importante: una VPN clásica de LAN completa te da acceso a toda la red doméstica del cliente, no solo a su caja de HA. Quien mete a un cliente en su tailnet está potencialmente también dentro de su impresora, su NAS y su vigilabebés. Desde la óptica del integrador, eso es un salto de confianza mayor del que el trabajo requiere, y en caso de duda una explicación incómoda. Tú quieres mantener la interfaz de HA. No quieres ser responsable de poder, en teoría, sentarte dentro del stream de la cámara del dormitorio.

El hilo de «siempre saliente, nunca un puerto abierto» y por qué esa es la única respuesta limpia detrás de CGNAT lo he desgranado a fondo en otro sitio. Aquí basta con el diagnóstico: el patrón saliente es el correcto. El alcance del acceso y la falta de una capa de flota por encima son el problema.

Qué hace distinto la respuesta de categoría

Una plataforma multi-tenant le da la vuelta a la lógica. No funde instancias, las separa limpiamente, un tenant por cliente, y tiende una vista común por encima. Suena a minucia, pero es toda la diferencia. Los caminos caseros preguntan: «¿Cómo conecto estas instancias?». La plataforma pregunta: «¿Cómo mantengo la visión de conjunto sobre muchas que están separadas?».

Aquí va la comparación directa. No la leas como «quién gana», sino como «para qué está hecha cada una». Las primeras cuatro columnas resuelven tareas que un montaje multi-cliente ni siquiera plantea.

Criterioremote_homeassistantMQTT-BridgeMaster/slaveVPN por clientePlataforma multi-tenant
Para qué está hechaFundir instanciasFundir instanciasControlar instancias a distanciaTúnel a una redCartera de clientes separados
Vista centralizada / monitorización
Tenants separados(✅)
Acceso controlado por el cliente
Auditoría / registro de mantenimiento
Esfuerzo por cada cliente nuevolineallineallineallinealplano
Alcance del accesoEntidadesEstadosControlToda la LANSolo el dispositivo HA

Leyenda: ✅ disponible · (✅) factible con esfuerzo · ❌ no es su campo de uso.

Las muchas cruces de las primeras cuatro columnas no son un descuido. Una MQTT-Bridge no quiere trazar una frontera de tenant, eso iría contra su sentido. Una VPN no quiere ser un dashboard de flota. Todo eso son rayas honestas, no carencias que el fabricante tenga aún que subsanar.

¿A partir de cuántos clientes compensa multi-tenant?

Respuesta honesta: para una sola instancia privada no compensa nunca. Ahí una plataforma es sobrada, y Nabu Casa o un túnel sencillo son la mejor elección. Para dos o tres instancias propias basta con Tailscale con tags por sitio. El umbral está, por experiencia, en algún punto a partir de las cinco instalaciones, y el verdadero detonante es menos el número que la relación: en cuanto al menos unas cuantas de ellas son clientes que pagan y de los que respondes, la cuenta cambia. A partir de ahí, cada minuto que pasas buscando qué instancia está ardiendo cuesta dinero de verdad. Y un registro de mantenimiento guardado en la memoria no lo es en caso de disputa.

Quien aún no tenga claro dónde se sitúa su propia escala encontrará en la comparativa de seis vías para gestionar varias instancias de HA un árbol de decisión que también dice con honestidad cuándo una herramienta genérica sigue siendo la mejor opción. Y quien como integrador crea que el problema se llama «mejor solución de túnel» debería leer antes por qué una alternativa a Nabu Casa para integradores es la pregunta equivocada. Spoiler: el problema no se llama acceso remoto, se llama visión de conjunto.

Qué es HA Fleet Manager, y qué no

Escribo este blog para un producto, así que digo abiertamente de qué va y dónde están los límites. La jerga publicitaria es lo que más me molesta a mí mismo en este tema.

HA Fleet Manager es una plataforma multi-tenant para integradores de Home Assistant. El conector es una integración personalizada en cada instancia de cliente, y a partir de ahí ves el estado de toda la cartera en un dashboard: qué instancia está online, qué integraciones corren, qué plugins de HACS están instalados y en qué versión, si se acumulan logs críticos. Cada cliente es su propio tenant, pulcramente separado, con su propio registro de mantenimiento. El acceso remoto va por un relay WebSocket saliente, compatible con CGNAT, sin puerto abierto, sin VPN de LAN completa, y solo entra en juego después de que el cliente haya abierto con un interruptor una ventana de mantenimiento de duración limitada (12 horas por defecto, hasta 30 días en las tarifas de pago, pero solo con la confirmación explícita del cliente). Después la puerta se vuelve a cerrar sola. El hosting está en la UE, en Hetzner, y la interfaz es en alemán. Si justo esa transición es lo que te ocupa ahora mismo, puedes crearte un acceso gratis y ver si la vista de flota es lo que te faltaba con los medios de a bordo.

Lo que no es: un producto terminado, curtido durante años, con el alcance funcional de las suites RMM ya asentadas. Es joven. Sin integración PSA, sin app móvil propia en su estado actual. Para una sola instancia privada es sobrado, el valor empieza a partir de un puñado de instalaciones hacia arriba. Y exige que confíes en un componente relay central. Es una decisión consciente, no un detalle que se barre con marketing. Quien prefiera mantenerlo todo estrictamente en su propio hierro y sea feliz con tres túneles de Tailscale, que lo siga siendo. La plataforma solo compensa cuando los túneles empiezan a dar trabajo.

El límite, en una frase

Mientras sean tus instancias, fúndelas como quieras, remote_homeassistant y MQTT-Bridge son buenas herramientas para eso. En cuanto se convierten en instancias de cliente, dejas de querer conectarlas y empiezas a separarlas y a verlas desde arriba. Eso no es un apaño casero mejor. Es otra pregunta.


Disclosure: HA Fleet Manager es el producto detrás de este blog. El reconocimiento a remote_homeassistant, MQTT y las herramientas de VPN es igualmente sincero. Para mis propias dos o tres instancias echaría mano de cualquiera de ellas.

DO
Denny Ovčar
Founder · ha-fleet-manager.com
Responder
Compartir