Sådan skar vi omkring $5,000 af AWS-regningen med Claude Code
Indledning
Vi reducerede vores månedlige AWS-omkostninger med omkring $5,000 ved hjælp af Claude Code. Med den nuværende valuta-situation er det nok mange udviklingsfirmaer, der mærker presset fra AWS-regningen. Forhåbentlig kan vores erfaring være til nytte.
| Tiltag | Besparelse/måned |
|---|---|
| Migrering fra AWS Client VPN til Headscale VPN (inkl. Private CA) | $1,178 |
| Oprydning i Private CA og optimering af krypteringsnøgler | $2,300 |
| Nedlukning af ECS i udviklingsmiljøet om natten og i weekenden | $988 |
| Køb af reserverede instanser til RDS | $811 |
| Konsolidering af NAT Gateway | $267 |
| Skift til Fargate Spot | $263 |
| Diverse (S3-livscyklus m.fl.) | $78 |
| I alt | $5,885 |
Vi er et udviklingsfirma med omkring 50 medarbejdere i Vietnam og Japan. Omkostningsstrukturen er enkel: lønninger og AWS-serveromkostninger fylder klart mest.
Oven i det er der dukket en ny post op: udgifter til AI-agentværktøjer som Claude Code.
For at strømline arbejdet rullede vi Claude Code ud i fuld skala. Dengang kostede en Premium-plads på Team Plan cirka $150 om måneden per person. Skal det dække hele virksomheden, løber det hurtigt op.
At investere i AI-værktøjer og hæve produktiviteten er den rigtige beslutning. Men når der kommer nye omkostninger ind, må man genbesøge de eksisterende og finde balancen. Som udviklingsfirma har vi reelt kun to større poster at justere på: lønninger og serveromkostninger.
Sådan endte vi med at gå i gang med AWS-omkostningsoptimering.
Lad Claude Code snuse omkostningernes “smell” frem
Det sjove er, at selve gennemgangen også blev udført af Claude Code.
Vi har givet Claude Code en AWS CLI-skill. Den kan selv håndtere AWS-profiler, SSO-login og diverse CLI-kommandoer.
Først lod vi den scanne vores 19 AWS-konti på tværs. Hvad kører der i hver konto, hvad koster det, og er der nogen poster, der lugter — har en “smell” af spild?
Claude Code’s analyse pegede på en række tydelige forbedringsområder. Optimeringer, der kun giver mening i et udviklingsmiljø; ressourcer, der bare ligger og kører uden formål; ting, der kunne reduceres voldsomt med en enkelt indstilling. Vi tog dem en ad gangen og lukkede hullerne.
Det samlede overblik
Baseline var $30,398 om måneden i december 2025. Vi gennemførte tiltagene løbende fra slutningen af 2025 til slutningen af marts 2026. Nogle tiltag — som VPN-udskiftningen og sletningen af Private CA — slår først fuldt igennem fra april, så det forventede samlede fald, når alt er aktivt, lander på omkring $5,000–6.000/måned sammenlignet med december-baseline.
Her er hovedtiltagene i kort form.
1. Nedlukning af ECS i udviklingsmiljøet om natten og i weekenden (-$988/måned)
Vi opsatte automatisk stop af 55 ECS-services i udviklingsmiljøet om natten og i weekenden. Udviklingsmiljøet bruges kun i arbejdstiden, men kørte 24/7. Det lyder banalt, men det er den slags, man let overser.
2. Migrering fra AWS Client VPN til Headscale VPN (-$1,178/måned)
Mere om det nedenfor. Det er det mest spændende tiltag.
3. Oprydning i Private CA og optimering af krypteringsnøgler (-$2,300/måned)
Da AWS App Mesh blev udfaset, fik vi ikke længere brug for Private CA og slettede den. Samtidig gennemgik vi forvaltningen af krypteringsnøgler og fandt en bedre balance mellem omkostning og sikkerhedskrav.
4. Køb af reserverede instanser til RDS (-$811/måned)
Vi købte RI’er til i alt 5 instanser fordelt over dev, staging og prod på én gang. En investering på $10,675 op front med 44 % rabat — tilbagebetalt på cirka 11 måneder.
5. Skift til Fargate Spot Instance (-$263/måned)
Vi skiftede ECS-services i udviklingsmiljøet til Fargate Spot. I et udviklingsmiljø er Spot-afbrydelser en acceptabel risiko.
6. Konsolidering af NAT Gateway (-$267/måned)
I tre konti slog vi tre NAT Gateways sammen til én pr. konto. Vi monitorerede trafikken i den ubrugte AZ i syv dage og slettede den, da den var nul.
Historien om VPN-migreringen — fra $1,178/måned til $42/måned
Det mest interessante tiltag var VPN-migreringen.
Vi bruger VPN til at give adgang til vores kunders udviklingsmiljøer. Hidtil havde vi kørt på AWS Client VPN. Men det viste sig at koste langt mere, end vi havde regnet med.
- AWS Client VPN (4 endpoints): $776/måned
- AWS Private CA (certifikatautoritet): $402/måned
- I alt: $1,178/måned
Helt ærligt — at VPN’en kostede så meget, havde vi ikke set komme. Det var en af de poster, vi først opdagede, da Claude Code gennemgik regningen.
Headscale som alternativ
Vi valgte Headscale som afløser. Det er en open source-controller til Tailscale, og på klientsiden bruger man den almindelige Tailscale-app.
Vores opsætning:
- Headscale-server: 1 EC2 t3.small (~$21/måned)
- Autentificering: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/måned)
- I alt: ca. $42/måned
Fra $1,178 til $42. En reduktion på 96 %.
Logto som identitetsplatform
Lidt om Logto, som vi bruger til autentificering. Det er en open source identitetsplatform, som man kan hoste selv, med solid OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations og M2M-apps er alle helt gratis i den selvhostede version.
Til eksterne produktionsservices kunne man overveje Logto Cloud, men som intern identitetsstack i en virksomhed er den selvhostede version skarp. Udviklingsteamet leverer hyppige opdateringer, og det er ærligt talt et af mine favoritprodukter for tiden.
Designprincip — IP-adressen skal ikke ændre sig
Det vigtigste hensyn under migreringen var, at vores udgående IP-adresse ikke måtte ændre sig. Vores IP er whitelisted hos kunder rundt omkring, og ændres den, bliver der ravage.
Løsningen var at placere Headscale bag den eksisterende NAT Gateway. Al VPN-trafik forlader stadig vores netværk via samme NAT Gateway, så kildens IP ændrer sig ikke.
En måneds dogfooding
Vi rullede ikke ud til alle på én gang. Vi kørte en måneds dogfooding først.
Helt ærligt: Der var en del problemer. Forbindelser, der blev tabt; en ustabil Exit Node; bestemte enheder, der ikke kunne genoprette forbindelse.
Også her løste vi tingene én ad gangen sammen med Claude Code. Tuning af kernel-parametre (større UDP-buffere, justering af conntrack-timeouts), opsætning af en egen DERP-relayserver, etablering af procedurer for node-håndtering osv.
Der er stadig udfordringer, men opsætningen kører nu stabilt for udviklingsmiljøet.
Ydelse
Vi målte også performance:
- Indledningsvis: 11-14 Mbps (via offentlig DERP-relay)
- Efter egen DERP: 106-134 Mbps
Det er mindst på højde med AWS Client VPN.
Verifikation via Cost Explorer
Vi stoppede ikke ved at gennemføre tiltagene — vi verificerede effekten i AWS Cost Explorer hver gang. Også her brugte vi Claude Code og CLI.
For eksempel viste det sig, at skiftet til Fargate Spot er svært at se i Cost Explorer’s standardfiltre — Spot-rabatten gemmer sig inde i Fargate-posten og kræver en mere finjusteret aflæsning. Den slags “effekten burde være der, men jeg kan ikke se den”-problemer fik vi løst ved at lade Claude Code bore i tallene.
Til sidst
Omkostningsstrukturen i AI-æraen er under forandring. Værktøjer som Claude Code lægger nye udgifter til, men de samme værktøjer kan optimere infrastrukturomkostninger.
For os er omkostningen til Claude Code helt sikkert vokset, men Claude Code har selv betalt mere end den koster i AWS-besparelser. Investér i AI, lad AI tjene investeringen hjem. Den loop er begyndt at fungere fint hos os.
Hovederfaringen i denne omgang var betydningen af at få det fulde overblik først. At gennemgå 19 konti i hånden er ikke realistisk. Det var netop fordi vi gav Claude Code AWS CLI og lod den lave en bred scanning, at vi opdagede ting som VPN-regningen — “kostede den virkelig så meget?”.
Der ligger måske en omkostnings-smell og sover i jeres AWS-miljø også.
I dag fokuserede vi på VPN-migreringen, men jeg skriver gerne en separat artikel om hvert af de øvrige tiltag, hvis nogen er interesseret. Skriv endelig en kommentar.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app