Com vam reduir uns $5,000 al mes a AWS amb Claude Code
Introducció
Amb Claude Code hem retallat aproximadament $5,000 al mes a la factura d’AWS. Amb el ien feble, sé que hi ha moltes empreses de desenvolupament que pateixen amb la factura d’AWS, així que espero que el cas de la nostra empresa pugui ser-vos d’utilitat.
| Mesura | Estalvi/mes |
|---|---|
| Migració d’AWS Client VPN → Headscale VPN (inclou Private CA) | $1,178 |
| Neteja de Private CA i optimització de claus de xifratge | $2,300 |
| Aturada nocturna i de cap de setmana de l’ECS de desenvolupament | $988 |
| Compra de Reserved Instances per a RDS | $811 |
| Consolidació de NAT Gateways | $267 |
| Migració a Fargate Spot | $263 |
| Altres (cicle de vida d’S3, etc.) | $78 |
| Total | $5,885 |
La nostra empresa és una companyia de desenvolupament de programari amb uns 50 treballadors entre el Vietnam i el Japó. L’estructura de costos és senzilla: les partides grans són els sous i els servidors d’AWS. Aquestes dues són la majoria de la despesa.
Hi ha aparegut, recentment, una despesa nova: la dels agents d’IA com Claude Code.
Vam adoptar Claude Code de manera seriosa per millorar la productivitat. En aquell moment, l’assenta Premium del Team Plan costava uns $150 per persona i mes. Si l’estens a tota l’empresa, la xifra puja ràpidament.
Adoptar eines d’IA per ser més productius és, en si mateix, una bona decisió. Però si afegim un cost nou, hem de revisar els costos existents per mantenir l’equilibri. Com a empresa de desenvolupament, només podem revisar dos blocs: sous i infraestructura.
Per això vam decidir centrar-nos en l’optimització de costos a AWS.
Fer que Claude Code “olori” els costos
El més interessant és que també vam fer servir Claude Code per a aquesta mateixa revisió de costos.
A casa nostra hem donat a Claude Code una habilitat per a AWS CLI. Configurar perfils, autenticació SSO, executar diverses ordres de CLI — tot això ho pot fer de manera autònoma.
El primer que li vaig fer fer va ser una exploració transversal dels nostres 19 comptes d’AWS. Quina infraestructura corre a cada compte, quant costa cada partida i quines fan mala “olor” — quines són sospitoses des del punt de vista del cost.
L’escaneig de Claude Code va destapar punts clars de millora. Optimitzacions específiques d’entorn de desenvolupament, recursos abandonats que ja no calien, configuracions que amb un sol clic permeten retallar costos significatius. Vam anar tombant aquests punts un per un.
Visió general de les mesures
La base de referència eren $30,398 al mes, mesurats el desembre de 2025. Entre finals de 2025 i finals de març de 2026 vam executar les mesures de manera seqüencial. Com que algunes accions —la baixa de la VPN o l’eliminació dels Private CA— no es reflecteixen del tot fins a l’abril, esperem que, amb tot en marxa, l’estalvi total sigui d’uns $5,000 a $6,000 al mes respecte a la base de desembre.
Tot seguit, un resum de les mesures principals.
1. Aturada nocturna i de cap de setmana de l’ECS de dev (-$988/mes)
Hem configurat els 55 serveis d’ECS de l’entorn de desenvolupament perquè s’aturin automàticament a la nit i els caps de setmana. L’entorn només es fa servir en horari laboral però funcionava 24/7. Sembla obvi, però és un detall que sovint passa per alt.
2. Migració d’AWS Client VPN → Headscale VPN (-$1,178/mes)
Ho explico més endavant. És la mesura més interessant.
3. Neteja de Private CA i optimització de claus de xifratge (-$2,300/mes)
Amb la retirada d’AWS App Mesh, els Private CA ja no eren necessaris i els vam eliminar. A més, vam revisar la gestió de claus per equilibrar cost i requisits de seguretat.
4. Compra de Reserved Instances per a RDS (-$811/mes)
Vam comprar de cop RIs per a un total de 5 instàncies (dev, staging i producció). Inversió prèvia de $10,675 amb un 44% de descompte. Calculem un retorn d’uns 11 mesos.
5. Pas a Fargate Spot Instances (-$263/mes)
Vam canviar els serveis ECS de l’entorn de dev a Fargate Spot. En un entorn de desenvolupament, el risc d’interrupció de les instàncies Spot és assumible.
6. Consolidació de NAT Gateways (-$267/mes)
En 3 comptes, vam consolidar 3 NAT Gateways en 1 cadascun. Vam monitorar 7 dies el trànsit de les AZ no utilitzades i, després de confirmar trànsit zero, els vam eliminar.
La història de la migració de VPN — de $1,178/mes a $42/mes
La mesura més divertida de totes va ser la migració de la VPN.
Fem servir VPN perquè el nostre personal pugui accedir als entorns de desenvolupament dels clients. Originàriament usàvem AWS Client VPN. Però el cost d’aquesta Client VPN era molt més alt del que ens pensàvem.
- AWS Client VPN (4 endpoints): $776/mes
- AWS Private CA (autoritat certificadora): $402/mes
- Total: $1,178/mes
Sincerament, no sabia que la VPN ens costés tant. Va ser una de les partides que només vam descobrir quan Claude Code va fer l’anàlisi de costos.
L’opció Headscale
Com a alternativa vam triar Headscale. És la versió de codi obert del servidor de control de Tailscale i permet seguir utilitzant el client de Tailscale tal qual.
L’arquitectura que vam muntar:
- Servidor Headscale: 1× EC2 t3.small (~$21/mes)
- Autenticació: Logto Self-Hosted (OIDC, 1× EC2 t3.small, ~$21/mes)
- Total: uns $42/mes
De $1,178 a $42. Una reducció del 96%.
Logto com a base d’autenticació
Una breu menció a Logto, que utilitzem per a l’autenticació. És una base d’autenticació de codi obert auto-hostatjable, amb un suport sòlid d’OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organitzacions i aplicacions M2M estan tots disponibles gratuïtament en la versió self-hosted.
Per a serveis dirigits al públic també hi ha Logto Cloud, però com a base d’autenticació única per a sistemes interns és molt potent. L’equip de desenvolupament continua actualitzant amb força i, personalment, és un producte que recomano molt.
Disseny — no canviar l’adreça IP
El més important en migrar la VPN era no canviar les adreces IP públiques. Els clients tenen la nostra IP a la llista blanca dels seus tallafocs i si canvia és un drama.
La solució: vam col·locar Headscale darrere del NAT Gateway existent. El trànsit que surt per la VPN segueix passant pel mateix NAT Gateway, així que l’IP d’origen no canvia.
Un mes de dogfooding
Després de construir-ho, en lloc d’una migració total i immediata, vam dedicar un mes a fer dogfooding.
Sincerament, hi va haver bastants problemes. Es tallaven les connexions, l’Exit Node era inestable, alguns dispositius no es podien reconnectar, etc.
Vam resoldre aquests problemes un a un amb el Claude Code. Ajust de paràmetres del kernel (ampliació dels buffers UDP, ajust dels temps d’espera de conntrack), construcció d’un servidor DERP propi, sistematització dels procediments de gestió de nodes, etc.
Encara queden temes pendents, però ara mateix funciona de manera estable en l’entorn de desenvolupament.
Rendiment
També vam comprovar el rendiment.
- Inici: 11-14 Mbps (via DERP relay públic)
- Després del DERP propi: 106-134 Mbps
Hem aconseguit una velocitat igual o superior a la d’AWS Client VPN.
Verificació a Cost Explorer
No n’hi ha prou amb executar la mesura: sempre validem l’efecte amb AWS Cost Explorer. Això també ho fa Claude Code via CLI.
Per exemple, vam descobrir que el pas a Fargate Spot és difícil de veure amb els filtres habituals de Cost Explorer. El descompte de Spot queda diluït dins la partida de Fargate, així que cal una comprovació específica. Aquest tipus de problemes — “ho hem fet però no veiem l’efecte” — també els resolem fent que el Claude Code aprofundeixi.
Per acabar
L’estructura de costos de l’era de la IA està canviant. D’una banda apareixen costos nous amb eines com Claude Code, però de l’altra aquesta mateixa eina ens permet optimitzar la infraestructura.
En el nostre cas, el cost d’incorporar Claude Code va pujar, però el mateix Claude Code va aconseguir un estalvi a AWS molt superior. Invertir en IA i fer que la IA recuperi el cost — aquest cicle ja ha començat a rodar.
La gran lliçó d’aquest treball és la importància de “primer fer visible tot el conjunt”. Investigar 19 comptes manualment no és realista. Justament perquè vam donar a Claude Code la AWS CLI i li vam fer fer un escaneig transversal, vam poder trobar costos com el de la VPN del tipus “tant ens estava costant?”.
Al teu entorn d’AWS també hi pot haver costos amb una “olor” sospitosa esperant a ser descoberts.
Aquesta vegada m’he centrat en la migració de VPN, però si voleu puc fer articles individuals per a la resta de mesures. Si alguna us interessa, deixeu un comentari sense compromís.
Masaki Kondo — CEO de Guide Inc. Vietnam https://koedesk.app