Jak jsme díky Claude Code snížili měsíční náklady na AWS přibližně o $5,000
Úvod
Díky Claude Code jsme snížili měsíční náklady na AWS přibližně o $5,000. V době slabého jenu řeší náklady AWS spousta vývojářských firem. Snad bude náš případ pro někoho užitečný.
| Opatření | Úspora/měs. |
|---|---|
| Migrace AWS Client VPN → Headscale VPN (včetně Private CA) | $1,178 |
| Úklid Private CA a optimalizace šifrovacích klíčů | $2,300 |
| Noční a víkendové vypínání ECS ve vývojových prostředích | $988 |
| Pořízení RDS Reserved Instance | $811 |
| Konsolidace NAT Gateway | $267 |
| Migrace na Fargate Spot | $263 |
| Ostatní (lifecycle S3 atd.) | $78 |
| Celkem | $5,885 |
Jsme softwarová firma s přibližně 50 lidmi ve Vietnamu a v Japonsku. Naše nákladová struktura je jednoduchá — největší položky jsou mzdy a serverové náklady AWS. Ty dvě tvoří většinu výdajů.
Nedávno k tomu přibyl nový náklad: nástroje typu AI agent v čele s Claude Code.
V naší firmě jsme Claude Code nasadili naplno kvůli efektivitě práce. V tu chvíli stálo premium místo v Team Planu asi $150/měsíc na osobu. Při celofiremním rozšíření je to už pořádná částka.
Nasadit AI a zvýšit produktivitu — to považuji za správné rozhodnutí. Když ale přibyde nový náklad, musíme vyvážit ty stávající. Jako vývojářská firma máme co revidovat hlavně mzdy a servery.
A proto jsme se pustili do optimalizace nákladů AWS.
Necháme Claude Code najít „pach“ nákladů
Zajímavé je, že i tu samotnou revizi nákladů jsme zadali Claude Code.
V naší firmě má Claude Code „skill“ pro AWS CLI. Konfigurace profilů AWS, SSO autentizace, spouštění CLI příkazů — Claude Code to umí autonomně.
První, co udělal, bylo přejet napříč všemi 19 účty AWS. Jaká infrastruktura na nich běží, kolik stojí, a jestli nejsou někde věci, které „smrdí“ — tj. vypadají podezřele.
Audit ukázal několik jasných oblastí ke zlepšení. Něco se hodilo k optimalizaci proto, že je to vývojové prostředí. Někde byly opomenuté zbytečné zdroje. Jindy stačila změna jednoho parametru pro velkou úsporu. Procházeli jsme to po jednom a uklízeli.
Celkový obraz opatření
Výchozí bod: $30,398/měsíc v prosinci 2025. Od konce roku 2025 do konce března 2026 jsme postupně realizovali jednotlivá opatření. Část (likvidace VPN, smazání Private CA atd.) se plně promítne až od dubna; až vše naběhne, předpokládáme úsporu zhruba $5,000–$6,000/měsíc vůči prosincové základně.
V kostce:
1. Noční a víkendové vypínání ECS ve vývoji (-$988/měs.)
55 ECS služeb ve vývojových prostředích jsme nastavili tak, aby se v noci a o víkendech automaticky vypínaly. Používali jsme je jen v pracovní době, ale běžely 24/7. Banální věc, kterou bývá snadné přehlédnout.
2. Migrace AWS Client VPN → Headscale VPN (-$1,178/měs.)
Podrobnosti dále. Nejzajímavější opatření z celé sady.
3. Úklid Private CA a optimalizace šifrovacích klíčů (-$2,300/měs.)
Po ukončení AWS App Mesh přestal být Private CA potřeba, takže jsme ho smazali. K tomu jsme přehodnotili správu šifrovacích klíčů a vyvážili náklady s bezpečnostními požadavky.
4. Pořízení RDS Reserved Instance (-$811/měs.)
RI pro 5 instancí (dev/staging/prod) jsme koupili jednorázově. Předem $10,675, sleva 44 %. Návratnost zhruba 11 měsíců.
5. Migrace na Fargate Spot Instance (-$263/měs.)
ECS služby vývojového prostředí jsme přepnuli na Fargate Spot. Ve vývoji je riziko přerušení Spot únosné.
6. Konsolidace NAT Gateway (-$267/měs.)
Na 3 účtech jsme po 3 NAT Gateway zkonsolidovali na 1. V nepoužívaných AZ jsme 7 dní monitorovali provoz — když byl nulový, smazali jsme.
Příběh migrace VPN — z $1,178/měs. na $42/měs.
Nejzábavnějším opatřením byla migrace VPN.
Pro přístup do klientských vývojových prostředí používáme VPN. Původně jsme měli AWS Client VPN. Jenže ten stál víc, než jsem čekal.
- AWS Client VPN (4 endpointy): $776/měs.
- AWS Private CA (certifikační autorita): $402/měs.
- Celkem: $1,178/měs.
Upřímně, nečekal jsem, že VPN stojí tolik. To byl jeden z bodů, na který jsme přišli teprve díky auditu Claude Code.
Volba: Headscale
Jako alternativu jsme zvolili Headscale. Je to open-source řídicí server kompatibilní s Tailscale; na klientské straně se používá nezměněný Tailscale.
Architektura:
- Headscale server: 1× EC2 t3.small (~$21/měs.)
- Autentizace: Logto Self-Hosted (OIDC, 1× EC2 t3.small, ~$21/měs.)
- Celkem: asi $42/měs.
$1,178 se mění na $42. Úspora 96 %.
Logto jako autentizační platforma
Krátce o autentizační platformě Logto. OSS řešení se selfhostem, OAuth 2.0 / OIDC pokryté pevně. Google SSO, GitHub SSO, MFA, Organizations, M2M aplikace — v selfhost verzi to vše zdarma.
Pro skutečné externí služby je tu i Logto Cloud, ale jako jednotná interní autentizační platforma je Logto neobyčejně silné. Tým ho aktivně rozvíjí a osobně mu hodně fandím.
Klíčový designový bod — nezměnit IP adresu
Při migraci VPN bylo nejdůležitější nezměnit veřejné IP adresy. Naše IP máme nahrané v whitelistech firewallů u klientů; jejich změna by byla velký problém.
Řešení: Headscale jsme umístili za stávající NAT Gateway. Provoz přes VPN ven prochází existujícím NAT Gatewayem, takže zdrojová IP zůstává stejná.
Měsíc dogfoodingu
Po nasazení jsme nešli rovnou k celofiremnímu přepnutí. Zařadili jsme měsíc dogfoodingu.
Upřímně řečeno, problémů bylo dost. Vypadávalo spojení, Exit Node nebyl stabilní, některá zařízení se nemohla znovu připojit.
Každý z těchto problémů jsme řešili s Claude Code. Ladění parametrů jádra (zvětšení UDP bufferů, úprava conntrack timeoutů), vlastní DERP relay server, operativní postupy pro správu uzlů atd.
Pár otázek zůstává, ale aktuálně to ve vývojových prostředích běží stabilně.
Výkon
Zkontrolovali jsme i výkon.
- Na začátku: 11–14 Mbps (veřejný DERP relay)
- Po nasazení vlastního DERP: 106–134 Mbps
Rychlost srovnatelná s AWS Client VPN, ne-li lepší.
Ověření efektu v Cost Exploreru
Opatření jsme nikdy nenechali doběhnout bez ověření — vždy jsme efekt validovali v AWS Cost Exploreru. I tady nám asistoval Claude Code přes CLI.
Například migraci na Fargate Spot je ve standardních filtrech Cost Exploreru těžké uvidět. Sleva Spot se schová v položce Fargate, takže je nutné samostatné ověření. „Udělali jsme to, ale efekt nevidíme“ — i takové problémy jsme nechali Claude Code rozkrýt.
Závěrem
Nákladová struktura éry AI se mění. Z jedné strany přibývají náklady na nástroje typu Claude Code, z druhé strany ty samé nástroje slouží i k optimalizaci infrastruktury.
V našem případě se náklad na Claude Code skutečně zvýšil, ale Claude Code nám sám vygeneroval úspory AWS, které ten náklad výrazně převyšují. Investovat do AI a AI si na sebe vydělá — tenhle koloběh se u nás rozjel.
Z této zkušenosti plyne jedna lekce: „nejdřív zviditelnit celek“. Ručně projít 19 účtů je nereálné. Teprve když dostal Claude Code AWS CLI a prošel je napříč, objevili jsme věci jako VPN — „tolik to stálo?“.
Ve vašem AWS prostředí pravděpodobně dřímá ještě nějaký nepoznaný „pach“ nákladů.
Dnes jsem se zaměřil hlavně na migraci VPN, ale o ostatních opatřeních rád napíšu samostatné články, pokud bude zájem. Když vás něco zaujme, napište do komentářů.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app