Як мы скарацілі месячны рахунак за AWS прыкладна на $5,000 з дапамогай Claude Code
Уступ
З дапамогай Claude Code мы скарацілі месячны рахунак за AWS прыкладна на $5,000. На фоне слабай ены многія IT-кампаніі напэўна ламаюць галаву над апетытам AWS. Спадзяюся, наш кейс прыдасца.
| Мера | Эканомія за месяц |
|---|---|
| Міграцыя AWS Client VPN → Headscale VPN (уключаючы Private CA) | $1,178 |
| Чыстка Private CA і аптымізацыя ключоў шыфравання | $2,300 |
| Начное і выходное спыненне ECS у dev-асяроддзях | $988 |
| Купля RDS Reserved Instances | $811 |
| Кансалідацыя NAT Gateway | $267 |
| Пераход на Fargate Spot | $263 |
| Іншае (S3 lifecycle і г. д.) | $78 |
| Усяго | $5,885 |
Мы — IT-кампанія па распрацоўцы, у штаце якой каля 50 чалавек у В’етнаме і Японіі. Структура выдаткаў простая: ільвіная доля — фонд аплаты працы і рахункі за серверы AWS. Менавіта яны і фарміруюць асноўны адток сродкаў.
І вось да гэтага спіса нядаўна дадаўся новы артыкул — выдаткі на ШІ-агентаў, пачынаючы з Claude Code.
У нас Claude Code укаранёны па-сур’ёзнаму, дзеля павышэння эфектыўнасці працы. Premium-месца ў тагачасным Team Plan каштавала каля $150 на месяц на чалавека. Калі разгортваць гэта на ўсю кампанію, толькі гэты артыкул вылятае ў адчувальную суму.
Укараніць ШІ-інструменты і падняць прадукцыйнасць — рашэнне правільнае. Але калі з’яўляюцца новыя выдаткі, трэба перабалансаваць наяўныя. Мы IT-кампанія па распрацоўцы — пераглядаць у нас можна па сутнасці толькі дзве рэчы: фонд аплаты працы і сервернае.
Таму я ўзяўся за аптымізацыю выдаткаў на AWS.
Даручаем Claude Code шукаць «пах» выдаткаў
Цікава, што і сам гэты перагляд я даверыў Claude Code.
У нас Claude Code узброены навыкам працы з AWS CLI. Налада профіляў AWS, аўтарызацыя праз SSO, выкананне розных CLI-каманд — усё гэта Claude Code умее рабіць самастойна.
Першай справай я папрасіў яго крос-сканаваць нашы 19 AWS-акаўнтаў. Якая інфраструктура круціцца ў кожным з іх, колькі грошай яна з’ядае. І ці ёсць там штосьці з «пахам» — то-бок штосьці падазронае па выдатках.
У выніку Claude Code выявіў некалькі дакладных кропак паляпшэння. Штосьці можна было аптымізаваць дзякуючы таму, што гэта dev-асяроддзі; недзе ляжалі рэсурсы, якія наогул нікому не патрэбныя і проста забытыя; недзе адной наладай можна было сур’ёзна зрэзаць рахунак. Гэтыя пункты я перабіраў па адным, разбіраўся і закрываў.
Агульная карціна мерапрыемстваў
Базавая лінія — $30,398 за месяц на снежань 2025 года. У перыяд з канца 2025 года і да канца сакавіка 2026 года меры выкочваліся адна за адной. Частка мер — адмова ад VPN, выдаленне Private CA — поўнасцю адлюструюцца ў рахунку толькі з красавіка, таму ва ўсталяваным рэжыме эканомія ад снежаньскай базы складзе прыкладна $5,000–$6,000 за месяц.
Коратка па ключавых мерах.
1. Начное і выходное спыненне ECS у dev-асяроддзях (-$988/мес)
Зрабілі аўтаматычнае спыненне 55 ECS-сервісаў у dev-асяроддзях уночы і ў выхадныя. Dev-асяроддзі патрэбныя толькі ў працоўны час, а гналі мы іх 24/7 365 дзён у годзе. Здавалася б — відавочна, але менавіта такія рэчы і праходзяць паўз позіркам.
2. Міграцыя AWS Client VPN → Headscale VPN (-$1,178/мес)
Падрабязна пра гэта ніжэй. Гэта самае цікавае.
3. Чыстка Private CA і аптымізацыя ключоў шыфравання (-$2,300/мес)
У сувязі з адмовай ад AWS App Mesh Private CA стаў непатрэбны, і мы яго выдалілі. Паралельна перагледзелі схему кіравання ключамі шыфравання і збалансавалі кошт з патрабаваннямі бяспекі.
4. Купля RDS Reserved Instances (-$811/мес)
Купілі оптам RI на 5 інстансаў — dev, staging і production разам узятыя. Перадплата $10,675, зніжка 44%. Па разліках акупляецца прыкладна за 11 месяцаў.
5. Пераход на Fargate Spot (-$263/мес)
Перавялі ECS-сервісы dev-асяроддзя на Fargate Spot. У dev-асяроддзі рызыка перапынення Spot-інстанса цалкам прымальная.
6. Кансалідацыя NAT Gateway (-$267/мес)
У трох акаўнтах тры NAT Gateway звялі кожны да аднаго. 7 дзён маніторылі трафік у нявыкарыстоўваных AZ, упэўніліся, што ён нулявы — і знеслі.
Гісторыя міграцыі VPN — $1,178/мес ператварыліся ў $42/мес
Самым цікавым ва ўсім гэтым наборы была міграцыя VPN.
Доступ нашых інжынераў да dev-асяроддзяў кліентаў ідзе праз VPN. Першапачаткова выкарыстоўваўся AWS Client VPN. І раптам высветлілася, што абыходзіцца ён нам значна даражэй, чым мы думалі.
- AWS Client VPN (4 эндпойнты): $776/мес
- AWS Private CA (цэнтр сертыфікацыі): $402/мес
- Усяго: $1,178/мес
Шчыра кажучы, я і не меркаваў, што VPN з’ядае столькі. Гэта адзін з тых артыкулаў, на які я звярнуў увагу толькі пасля таго, як Claude Code прайшоўся па выдатках.
Варыянт пад назвай Headscale
У якасці замены мы абралі Headscale. Гэта open-source-сервер кіравання, сумяшчальны з Tailscale; на баку кліента выкарыстоўваецца звычайны Tailscale.
Канфігурацыя атрымалася такой:
- Сервер Headscale: 1 EC2 t3.small (~$21/мес)
- Аўтарызацыя: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/мес)
- Усяго: каля $42/мес
$1,178 ператварыліся ў $42. Зніжэнне на 96%.
Logto як падмурак аўтарызацыі
Скажу пару слоў і пра Logto, на якім у нас аўтарызацыя. Гэта OSS-падмурак аўтарызацыі з магчымасцю самастойнага хостынгу і прыстойнай падтрымкай OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, M2M-дадаткі — у self-hosted-версіі ўсё гэта даступнае бясплатна.
Для сур’ёзных знешніх сэрвісаў ёсць Logto Cloud, але ў ролі ўнутрыкарпаратыўнага падмурка аўтарызацыі ён неверагодна магутны. Каманда распрацоўкі бадзёра коціць абнаўленні — асабіста ў мяне гэты прадукт займае ганаровае месца.
Архітэктурны нюанс — не змяняць IP-адрасы
Самае важнае, што я ўлічваў пры міграцыі VPN, — не змяняць IP-адрасы, якія мы засвяцілі вонкі. У кліентаў нашы IP-адрасы прапісаныя ў файрволах праз whitelist, і калі яны раптам зменяцца — пачнецца катастрофа.
Рашэнне: размясцілі Headscale за NAT Gateway. Трафік VPN працягвае ісці вонкі праз ужо наяўны NAT Gateway, таму source IP не змяняецца.
Месяц догфудынгу
Пасля таго як усё было сабрана, мы не сталі рэзка пераключаць усю кампанію, а ўвялі месяц догфудынгу.
Скажу шчыра — праблем хапала. Абрывы злучэння, нестабільны Exit Node, асобныя прылады, якія не маглі пераз’яднацца — усё гэта было.
Гэтыя праблемы мы таксама разбіралі разам з Claude Code, адну за адной. Цюнінг параметраў ядра (павелічэнне UDP-буфераў, карэкціроўка таймаўтаў conntrack), разгортванне ўласнага DERP-рэлею, наладжванне працэдур кіравання нодамі і гэтак далей.
Задачы яшчэ застаюцца, але на цяперашні момант у dev-асяроддзях працуе стабільна.
Прадукцыйнасць
Прадукцыйнасць таксама праверылі.
- Спачатку: 11–14 Mbps (праз публічныя DERP-рэлеі)
- Пасля запуску ўласнага DERP: 106–134 Mbps
Хуткасць не горш, а то і лепш за AWS Client VPN.
Праверка эфекту ў Cost Explorer
Запусціць меру — не значыць закрыць тэму. Эфект мы абавязкова правяралі ў AWS Cost Explorer. І гэта таксама рабіў Claude Code праз CLI.
Напрыклад, пераход на Fargate Spot аказаўся цяжка адрозным у фільтрах Cost Explorer. Зніжка па Spot хаваецца ўнутры радка Fargate, таму патрэбна асобная праверка. Такія гісторыі «нібыта зрабілі, а эфекту не відаць» таксама развязваліся тым, што я прымушаў Claude Code капнуць глыбей.
Напрыканцы
Структура выдаткаў у эпоху ШІ змяняецца. З аднаго боку, у каштарыс дадаюцца такія інструменты, як Claude Code. З іншага — гэты ж інструмент можна накіраваць і на аптымізацыю інфраструктурных выдаткаў.
У нашым выпадку кошт укаранення Claude Code сапраўды вырас, але Claude Code сам жа адбіў гэтыя выдаткі і нават больш — за кошт скарачэння рахунку ў AWS. Інвестуем у ШІ, ШІ акупляе сябе скарачэннем выдаткаў. Гэты цыкл у нас ужо паціху раскруціўся.
Галоўная выснова гэтай практыкі: «спачатку зрабіць усё бачным». Перабраць 19 акаўнтаў уручную — нерэальна. Менавіта таму, што ў нас быў Claude Code з AWS CLI, які прайшоўся па ўсім адразу, і знайшлася такая жамчужына, як VPN, на якім непрыкметна выцякала больш за $1,000.
Магчыма, у вашым AWS-асяроддзі таксама дрэмле «пах» выдаткаў, які вы пакуль не злавілі.
У гэты раз я распавёў пераважна пра міграцыю VPN, але па жаданні магу напісаць асобныя артыкулы і па іншых мерах. Калі штосьці зацікавіць — пішыце ў каментарах, не саромейцеся.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app