diff --git a/ovh-cloud/docs/servicios.md b/ovh-cloud/docs/servicios.md
new file mode 100644
index 0000000..e90ecf3
--- /dev/null
+++ b/ovh-cloud/docs/servicios.md
@@ -0,0 +1,69 @@
+# Servicios
+
+## Ruta principal
+
+- `/home/vfadmin/`
+
+## Stack principal
+
+- `/home/vfadmin/docker-compose.yml`
+
+## Contenedores activos de referencia documentados
+
+- `mv_traefik`
+- `mv_authentik_server`
+- `mv_authentik_worker`
+- `mv_authentik_db`
+- `mv_whoami`
+- `mv_logout_page`
+- `mv_grafana_client1`
+
+## Contenedor LoRaWAN documentado
+
+- `mv_chirpstack_gateway_bridge`
+
+## Servicios funcionales consolidados
+
+### Traefik
+Papel:
+- frontal único
+- routers
+- middlewares
+- provider file para `/control/*`
+
+### Authentik
+Papel:
+- SSO
+- MFA
+- forward auth
+- control de acceso por tenant
+
+### Logout handler
+Papel:
+- cierre de sesión real bajo Auth Proxy
+
+### Tenant Grafana
+Papel:
+- dashboard del cliente
+- iframe a `/control/ui`
+- publicación por subdominio del cliente
+
+### Gateway Bridge
+Papel:
+- recibir tráfico UDP 1700 en OVH
+- publicar por MQTT hacia `platform-40` por Tailscale
+
+## Hardening consolidado
+
+OVH quedó endurecido con:
+- UFW
+- Edge Network Firewall de OVH
+- ajustes de SSH
+- fail2ban
+- desactivación de IPv6 en la fase trabajada
+
+## Observaciones
+
+- panel.mesavault.es se mantiene como panel base o pruebas, con recomendación de restringirlo a admins
+- auth.mesavault.es es el dominio de Authentik
+- clientX.panel.mesavault.es es el patrón de tenant cliente
\ No newline at end of file