Как с Claude Code намалихме месечната сметка за AWS с около $5,000
Въведение
С помощта на Claude Code намалихме месечната сметка за AWS с около $5,000. В днешните времена на слаба йена вярвам, че много софтуерни компании се борят с разходите за AWS. Надявам се нашият случай да е полезен.
| Мярка | Месечна икономия |
|---|---|
| Преминаване от AWS Client VPN към Headscale VPN (включително Private CA) | $1,178 |
| Разчистване на Private CA и оптимизация на криптиращите ключове | $2,300 |
| Нощно и съботно-неделно спиране на ECS в дев средата | $988 |
| Покупка на RDS Reserved Instances | $811 |
| Консолидация на NAT Gateway | $267 |
| Преминаване към Fargate Spot | $263 |
| Други (S3 lifecycle и др.) | $78 |
| Общо | $5,885 |
Ние сме софтуерна компания с около 50 служители във Виетнам и Япония. Разходната структура е проста: основните пера са заплатите и AWS сървърите. Тези две позиции изграждат основната част от разходите.
И ето че напоследък се появи нов разход — инструментите за AI агенти, начело с Claude Code.
За да повишим ефективността, въведохме сериозно Claude Code. По онова време premium място в Team Plan струваше около $150 на месец на човек. Разгърнато за цялата компания, само това става сериозна сума.
Въвеждането на AI инструменти заради по-висока продуктивност — смятам, че решението само по себе си е правилно. Но щом добавяме нов разход, трябва да преразгледаме и старите, за да запазим баланса. Като софтуерна фирма реално можем да преразгледаме само заплатите и сметката за сървъри.
Затова се захванахме с оптимизация на разходите за AWS.
Накарахме Claude Code да надуши „миризмата” на разходите
Интересното е, че и самият преглед на разходите поверихме на Claude Code.
В компанията сме дали на Claude Code вещина за AWS CLI. Конфигурация на AWS профили, SSO автентикация, изпълнение на разни CLI команди — Claude Code може да го прави автономно.
Първото, което направихме, беше да го пуснем да сканира всичките 19 AWS акаунта обхватно. Каква инфраструктура върви във всеки акаунт, колко струва тя и има ли някъде нещо, което „мирише” — има ли пера, за които интуицията казва „странно е”.
В резултат Claude Code изведе няколко ясни точки за подобрение. Неща, типични за дев среда, излишни ресурси, които висят, настройки, които с едно превключване дават голяма разлика. Тях ги обходихме една по една.
Обща картина на мерките
Базовата линия е $30,398 на месец през декември 2025 г. Мерките изпълнявахме последователно от края на 2025 до края на март 2026. Тъй като премахването на VPN-а и Private CA-а ще даде пълен ефект от април нататък, когато всичко заработи на 100%, очакваме месечна икономия от около $5,000–6 000 спрямо декемврийската база.
Накратко за основните мерки.
1. Нощно и съботно-неделно спиране на ECS в дев средата (−$988/мес.)
За 55 ECS услуги в дев средата настроихме автоматично спиране през нощта и през уикендите. Дев средата се използва само в работно време, а вървеше 24/7. Звучи очевидно, но е изненадващо често пренебрегвано.
2. Преминаване от AWS Client VPN към Headscale VPN (−$1,178/мес.)
По-долу има отделна секция. Това е най-интересната мярка.
3. Разчистване на Private CA и оптимизация на криптиращите ключове (−$2,300/мес.)
След като премахнахме AWS App Mesh, Private CA повече не ни беше нужен и го изтрихме. Освен това преразгледахме начина на управление на криптиращите ключове и балансирахме цена и изисквания за сигурност.
4. Покупка на RDS Reserved Instances (−$811/мес.)
Купихме на един път RI за общо 5 инстанции в дев, staging и продукция. Първоначална инвестиция $10,675, отстъпка 44%. По сметка се връща за около 11 месеца.
5. Преминаване към Fargate Spot (−$263/мес.)
ECS услугите в дев средата прехвърлихме към Fargate Spot. За дев среда рискът от прекъсване на Spot инстанция е приемлив.
6. Консолидация на NAT Gateway (−$267/мес.)
В 3 акаунта по 3 NAT Gateway-я бяха обединени в по 1. Трафика в неизползваните AZ наблюдавахме 7 дни и едва след потвърждение, че е нула, изтривахме.
Историята за миграцията на VPN — от $1,178/мес. към $42/мес.
Най-интересната мярка беше миграцията на VPN.
При нас достъпът до дев средите на клиентите се осъществява през VPN. Първоначално използвахме AWS Client VPN. Оказа се обаче, че разходът за Client VPN беше по-висок, отколкото предполагахме.
- AWS Client VPN (4 endpoint): $776/мес.
- AWS Private CA (CA за сертификати): $402/мес.
- Общо: $1,178/мес.
Честно казано, не подозирах, че VPN ни струва толкова. Това е едно от перата, които открихме чак след като Claude Code прегледа разходите.
Опцията Headscale
Като алтернатива избрахме Headscale. Open source версия на контролния сървър за Tailscale, докато на клиентската страна се ползва Tailscale.
Конфигурацията изглежда така:
- Headscale сървър: 1 EC2 t3.small (~$21/мес.)
- Автентикация: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/мес.)
- Общо: около $42/мес.
$1,178 стана $42. Намаление от 96%.
Logto като платформа за автентикация
Ще спомена накратко и Logto, който използваме за автентикация. Open source платформа за автентикация, която може да се self-host-ва, с напълно изградена поддръжка за OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, M2M приложения — всичко това в self-hosted версията е безплатно.
За сериозни външни услуги има и Logto Cloud, но като самостоятелна база за автентикация на вътрешни системи е изключително мощен. Екипът активно го развива и лично е продукт, който силно харесвам.
Ключов проектен принцип — да не сменим IP адресите
При миграцията на VPN най-голямата ни грижа беше да не променим публичните IP адреси. Нашите адреси са вписани в whitelist в защитните стени на клиентите; промяната им би предизвикала истинска беда.
Решение: разположихме Headscale зад NAT Gateway. Трафикът през VPN излиза през съществуващия NAT Gateway, така че изходните IP адреси остават същите.
Един месец dogfooding
След като построихме всичко, не превключихме директно цялата компания, а въведохме месец dogfooding.
Честно казано, проблеми имаше доста. Връзките се късаха, Exit Node не беше стабилен, при определени машини не успявахме да се преконектираме.
Тези проблеми ги решавахме един по един, отново с помощта на Claude Code. Настройка на ядрените параметри (разширение на UDP буфера, корекция на conntrack таймаутите), изграждане на собствен DERP relay сървър, оформяне на операционни процедури за управление на нодовете и т.н.
Има още какво да се прави, но в момента в дев средата работи стабилно.
Производителност
Проверихме и производителността.
- В началото: 11–14 Mbps (през публичен DERP relay)
- След собствен DERP: 106–134 Mbps
Скоростта е равна или по-висока от тази при AWS Client VPN.
Проверка на ефекта в Cost Explorer
Изпълнението на дадена мярка не е краят — обезателно проверявахме ефекта в AWS Cost Explorer. И тук работата я върши Claude Code през CLI.
Например преминаването към Fargate Spot е трудно видимо във филтрите на Cost Explorer. Spot отстъпката се „потапя” вътре в позицията Fargate, така че е нужна отделна проверка. Проблема „би трябвало да го има, но не се вижда” Claude Code също успя да изясни с по-дълбок анализ.
В заключение
Структурата на разходите в епохата на AI се променя. От една страна се добавят разходи за инструменти като Claude Code, но от друга самите тези инструменти могат да се използват за оптимизиране на инфраструктурните разходи.
В нашия случай разходът за Claude Code наистина се увеличи, но именно Claude Code сам реализира икономии в AWS, които многократно надминават собствения му разход. Инвестираш в AI, AI ти връща вложеното. Този цикъл при нас вече добре се завъртя.
Това, което научихме, е важността на „първо да визуализираме цялото”. Да прегледаш ръчно 19 акаунта не е реалистично. Тъкмо защото дадохме на Claude Code AWS CLI и го пуснахме да обходи всичко, успяхме да открием пера като VPN-а, за които „толкова сме плащали”.
Може би и във вашата AWS среда дреме някоя неподозирана разходна „миризма”.
Този път се съсредоточих върху VPN миграцията, но ако има интерес, с радост ще напиша отделни текстове и за останалите мерки. Ако ви е любопитно нещо конкретно, пишете спокойно в коментарите.
Masaki Kondo — Guide Inc. Vietnam, CEO https://koedesk.app