Kako smo uz Claude Code smanjili mjesečni račun za AWS za oko $5,000
Uvod
Uz pomoć Claude Codea smanjili smo mjesečni račun za AWS za oko $5,000. U vremenima slabog jena vjerujem da mnoge softverske firme muku muče s troškovima AWS-a. Nadam se da će vam naš primjer biti od koristi.
| Mjera | Mjesečna ušteda |
|---|---|
| Prelazak s AWS Client VPN-a na Headscale VPN (uključujući Private CA) | $1,178 |
| Sređivanje Private CA-a i optimizacija enkripcijskih ključeva | $2,300 |
| Gašenje razvojnog ECS okruženja noću i vikendima | $988 |
| Kupovina RDS Reserved Instances | $811 |
| Konsolidacija NAT Gatewaya | $267 |
| Prelazak na Fargate Spot | $263 |
| Ostalo (S3 lifecycle itd.) | $78 |
| Ukupno | $5,885 |
Mi smo softverska firma s oko 50 zaposlenih u Vijetnamu i Japanu. Struktura troškova je jednostavna: dominiraju plate i AWS serveri. Te dvije stavke čine većinu rashoda.
Tu se odnedavno pojavio novi trošak — alati za AI agente, predvođeni Claude Codeom.
Zbog povećanja efikasnosti u radu uveli smo Claude Code na ozbiljnom nivou. U to vrijeme premium sjedalo u Team Planu koštalo je oko $150 mjesečno po osobi. Proširi li se to na cijelu firmu, brojka brzo postaje impozantna.
Uvođenje AI alata radi veće produktivnosti — to smatram ispravnom odlukom. Ali ako dodajemo novi trošak, treba pogledati i staru stranu i uravnotežiti je. Kao softverska firma, jedino što stvarno možemo preispitati su plate i serveri.
Tako smo se posvetili optimizaciji AWS troškova.
Pustili smo Claude Code da nanjuši „smell” troška
Zanimljivo je to što smo i samu reviziju troškova prepustili Claude Codeu.
Claude Codeu smo dali vještinu za AWS CLI. Postavljanje profila, SSO autentifikacija, izvršavanje raznih CLI komandi — sve to Claude Code može odraditi samostalno.
Prvo što smo uradili bilo je da pretraži svih 19 AWS računa unakrsno. Kakva se infrastruktura na svakom računu vrti, koliko košta, i ima li negdje nešto što „smrdi” s troškovne strane.
Claude Code je izvukao nekoliko jasnih tačaka za poboljšanje. Stvari karakteristične za razvojno okruženje, suvišne resurse koji se vuku, postavke koje jednim potezom donose veliku razliku. Sve to smo redom istraživali i otklanjali.
Pregled svih mjera
Baseline je bio $30,398 mjesečno u decembru 2025. Mjere smo provodili redom od kraja 2025. do kraja marta 2026. Kako su ukidanje VPN-a i brisanje Private CA-a uštede koje će pun efekat postići tek od aprila, kada sve počne djelovati, očekujemo da ćemo u poređenju s decembarskom osnovicom uštediti oko $5,000–6.000 mjesečno.
Sažetak glavnih mjera.
1. Gašenje razvojnog ECS-a noću i vikendima (−$988/mj.)
Za 55 ECS servisa razvojnog okruženja postavili smo automatsko gašenje noću i vikendima. Razvojno okruženje koristi se samo u toku radnog vremena, a vrtjelo se 24/7. Stvar koja zvuči očito, ali se često previdi.
2. Prelazak s AWS Client VPN-a na Headscale VPN (−$1,178/mj.)
O ovome više dolje. Najzanimljivija mjera.
3. Sređivanje Private CA-a i optimizacija enkripcijskih ključeva (−$2,300/mj.)
Nakon ukidanja AWS App Mesha Private CA nam više nije bio potreban pa smo ga obrisali. Uz to smo preispitali način upravljanja enkripcijskim ključevima i uravnotežili trošak i sigurnosne zahtjeve.
4. Kupovina RDS Reserved Instances (−$811/mj.)
Jednokratno smo kupili RI-eve za ukupno 5 instanci u razvojnom, staging i produkcijskom okruženju. Inicijalni izdatak od $10,675, popust 44%. Po računici, vraća se za oko 11 mjeseci.
5. Prelazak na Fargate Spot (−$263/mj.)
ECS servise razvojnog okruženja prebacili smo na Fargate Spot. Za razvojno okruženje je rizik od prekida Spot instance prihvatljiv.
6. Konsolidacija NAT Gatewaya (−$267/mj.)
U 3 računa smo po 3 NAT Gatewaya konsolidirali u po 1. Saobraćaj u neiskorištenim AZ-ovima pratili smo 7 dana i tek nakon potvrde da je nula, brisali.
Priča o migraciji VPN-a — od $1,178/mj. na $42/mj.
Najzanimljivija mjera bila je migracija VPN-a.
Pristup razvojnim okruženjima klijenata kod nas se odvijao preko VPN-a. Originalno je to bio AWS Client VPN. Pokazalo se da je trošak Client VPN-a bio veći nego što smo mislili.
- AWS Client VPN (4 endpointa): $776/mj.
- AWS Private CA (CA za certifikate): $402/mj.
- Ukupno: $1,178/mj.
Iskreno, nisam ni slutio da nas VPN toliko košta. To je jedna od stavki koje smo otkrili tek kada smo Claude Codeu prepustili reviziju troška.
Opcija Headscale
Kao alternativu smo odabrali Headscale. Open source verzija kontrolnog servera za Tailscale, dok se na klijentskoj strani koristi Tailscale.
Postavili smo ovako:
- Headscale server: 1 EC2 t3.small (~$21/mj.)
- Autentifikacija: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/mj.)
- Ukupno: oko $42/mj.
$1,178 je postao $42. Smanjenje od 96%.
Logto kao platforma za autentifikaciju
Spomenut ću i Logto koji koristimo za autentifikaciju. Open source platforma za autentifikaciju koja se može self-hostati, s vrlo zaokruženom podrškom za OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, M2M aplikacije — sve to u self-hosted verziji dolazi besplatno.
Za ozbiljne servise prema van postoji i Logto Cloud, ali kao samostalna baza za autentifikaciju internih sistema izuzetno je moćan. Razvojni tim ga aktivno unaprjeđuje i lično mi je iznimno drag proizvod.
Ključni dizajnerski princip — ne mijenjati IP adresu
Pri migraciji VPN-a najveća briga bila je da javne IP adrese ostanu nepromijenjene. Naše adrese su na vatrozidima klijenata dodate u whitelist; promjena bi izazvala haos.
Rješenje: Headscale smo smjestili iza NAT Gatewaya. Saobraćaj preko VPN-a izlazi van kroz postojeći NAT Gateway, pa izvorne IP adrese ostaju iste.
Mjesec dana dogfoodinga
Nakon postavljanja nismo odmah prebacili cijelu firmu — uveli smo period od mjesec dana dogfoodinga.
Iskreno, problema je bilo dosta. Konekcije bi se prekidale, Exit Node nije bio stabilan, neki uređaji nisu uspijevali ponovo da se konektuju.
Sve te probleme smo, opet s Claude Codeom, rješavali jedan po jedan. Štelovanje kernel parametara (povećanje UDP bafera, podešavanje conntrack timeouta), izgradnja vlastitog DERP relay servera, uspostavljanje operativnih procedura za upravljanje čvorovima — i tako redom.
Izazova još ima, ali u trenutku pisanja radi stabilno u razvojnom okruženju.
Performanse
Provjerili smo i performanse.
- Početno: 11–14 Mbps (preko javnog DERP relaya)
- Nakon vlastitog DERP-a: 106–134 Mbps
Brzine su iste ili veće nego s AWS Client VPN-om.
Provjera efekta kroz Cost Explorer
Mjera nije gotova samim provođenjem — efekat smo redovno provjeravali u AWS Cost Exploreru. I to smo radili tako da Claude Code preko CLI-ja gleda brojke.
Tako smo, na primjer, otkrili da je prelazak na Fargate Spot teško vidljiv u Cost Explorerovim filterima. Spot popust se utopi unutar Fargate stavke, pa treba posebno provjeravati. „Trebalo bi se vidjeti, a ne vidi se” — i taj problem je Claude Code uspio razriješiti dubljom analizom.
Na kraju
Struktura troškova u AI eri se mijenja. S jedne strane se dodaju troškovi alata kao što je Claude Code, a s druge se upravo ti alati mogu koristiti za optimizaciju infrastrukturnih troškova.
U našem slučaju Claude Code je zaista donio dodatni trošak, ali je sam ostvario uštede na AWS-u koje ga višestruko premašuju. Uložiš u AI, AI ti vrati uloženo. Taj se ciklus kod nas lijepo pokrenuo.
Ono što smo naučili je važnost da se „prvo vizualizuje cjelina”. Ručno pregledati 19 računa praktično je nemoguće. Tek smo zato što smo Claude Codeu dali AWS CLI i pustili ga da prošeta unakrsno otkrili stavke poput VPN-a koja je „toliko koštala”.
Možda i u vašem AWS okruženju spava poneki neopaženi trošak.
Ovaj put smo se fokusirali na migraciju VPN-a, ali ako bude zahtjeva, rado ću napisati posebne tekstove i o ostalim mjerama. Bude li vas što zanimalo, slobodno komentirajte.
Masaki Kondo — Guide Inc. Vietnam, CEO https://koedesk.app