Πώς με το Claude Code μειώσαμε τον μηνιαίο λογαριασμό AWS κατά περίπου $5,000
Εισαγωγή
Με τη βοήθεια του Claude Code μειώσαμε τον μηνιαίο λογαριασμό για το AWS κατά περίπου $5,000. Στις σημερινές εποχές αδύναμου γιεν, πιστεύω ότι αρκετές εταιρείες ανάπτυξης λογισμικού παλεύουν με τα κόστη του AWS. Ελπίζω η περίπτωσή μας να σας φανεί χρήσιμη.
| Δράση | Μηνιαία εξοικονόμηση |
|---|---|
| Μετάβαση από AWS Client VPN σε Headscale VPN (με Private CA) | $1,178 |
| Εξυγίανση του Private CA και βελτιστοποίηση κλειδιών κρυπτογράφησης | $2,300 |
| Νυχτερινό και Σαββατοκύριακο shutdown του ECS στο dev | $988 |
| Αγορά RDS Reserved Instances | $811 |
| Ενοποίηση NAT Gateway | $267 |
| Μετάβαση σε Fargate Spot | $263 |
| Άλλα (S3 lifecycle κ.λπ.) | $78 |
| Σύνολο | $5,885 |
Είμαστε εταιρεία ανάπτυξης λογισμικού με περίπου 50 άτομα στο Βιετνάμ και την Ιαπωνία. Η δομή κόστους μας είναι απλή: κυριαρχούν οι μισθοί και οι servers του AWS. Αυτές οι δύο κατηγορίες αποτελούν το μεγαλύτερο μέρος των εξόδων.
Όμως, πρόσφατα προστέθηκε ένα νέο κόστος — τα εργαλεία AI agents, με κορυφαίο το Claude Code.
Για βελτίωση της αποδοτικότητας της εργασίας, εισαγάγαμε σε σοβαρή κλίμακα το Claude Code. Τότε, η premium θέση στο Team Plan ήταν περίπου $150 τον μήνα ανά άτομο. Αν επεκταθεί σε ολόκληρη την εταιρεία, και μόνο αυτό γίνεται ένα σημαντικό ποσό.
Η εισαγωγή AI εργαλείων για αύξηση παραγωγικότητας — θεωρώ ότι η ίδια η απόφαση είναι σωστή. Αλλά αν προστίθεται νέο κόστος, πρέπει να επανεξετάσουμε και τα υπάρχοντα έξοδα ώστε να διατηρηθεί η ισορροπία. Ως εταιρεία λογισμικού, ρεαλιστικά μπορούμε να επανεξετάσουμε μόνο τους μισθούς και τους server.
Έτσι λοιπόν, επικεντρωθήκαμε στη βελτιστοποίηση κόστους του AWS.
Αφήνουμε το Claude Code να μυρίσει το «smell» του κόστους
Το ενδιαφέρον είναι ότι και την ίδια την επανεξέταση του κόστους την αναθέσαμε στο Claude Code.
Στην εταιρεία έχουμε δώσει στο Claude Code skill για το AWS CLI. Ρύθμιση profile AWS, SSO authentication, εκτέλεση διάφορων CLI εντολών — όλα αυτά το Claude Code μπορεί να τα κάνει αυτόνομα.
Το πρώτο που κάναμε ήταν να το αφήσουμε να σαρώσει εγκάρσια και τους 19 AWS λογαριασμούς. Σε κάθε λογαριασμό ποια υποδομή τρέχει, πόσο κοστίζει, και αν υπάρχει κάπου κάτι που να «μυρίζει» από πλευράς κόστους.
Ως αποτέλεσμα, το Claude Code έβγαλε στην επιφάνεια αρκετά καθαρά σημεία προς βελτίωση. Πράγματα που μπορούν να γίνουν πιο αποδοτικά μόνο στο dev, πόροι που έχουν μείνει αχρησιμοποίητοι, ρυθμίσεις που με ένα κλικ φέρνουν τεράστια διαφορά. Τα δουλέψαμε ένα προς ένα.
Συνολική εικόνα των δράσεων
Η baseline ήταν $30,398 τον μήνα τον Δεκέμβριο 2025. Τις δράσεις τις εκτελέσαμε διαδοχικά από τα τέλη του 2025 ως τα τέλη Μαρτίου 2026. Επειδή η κατάργηση του VPN και η διαγραφή του Private CA θα φέρουν πλήρη αποτελέσματα από τον Απρίλιο και μετά, όταν όλα είναι σε πλήρη ισχύ, αναμένουμε σε σχέση με τη βάση Δεκεμβρίου εξοικονόμηση περίπου $5,000–6.000 τον μήνα.
Σύντομη παρουσίαση των βασικών δράσεων.
1. Νυχτερινό και Σαββατοκύριακο shutdown του ECS στο dev (−$988/μήνα)
Για 55 ECS services του dev περιβάλλοντος ρυθμίσαμε αυτόματη παύση τα βράδια και τα Σαββατοκύριακα. Το dev περιβάλλον χρησιμοποιείται μόνο σε ώρες γραφείου, αλλά έτρεχε 24/7. Πράγμα προφανές, αλλά εκπληκτικά συχνά αγνοείται.
2. Μετάβαση από AWS Client VPN σε Headscale VPN (−$1,178/μήνα)
Αναλύεται παρακάτω. Η πιο ενδιαφέρουσα δράση.
3. Εξυγίανση Private CA και βελτιστοποίηση κλειδιών κρυπτογράφησης (−$2,300/μήνα)
Με την κατάργηση του AWS App Mesh, ο Private CA έπαψε να μας είναι απαραίτητος και τον διαγράψαμε. Επιπλέον, επανεξετάσαμε τον τρόπο διαχείρισης των κλειδιών κρυπτογράφησης και ισορροπήσαμε κόστος και απαιτήσεις ασφαλείας.
4. Αγορά RDS Reserved Instances (−$811/μήνα)
Αγοράσαμε εφάπαξ RI για 5 instances συνολικά σε dev, staging και production. Αρχικό κόστος $10,675, έκπτωση 44%. Σύμφωνα με τους υπολογισμούς, αποσβένεται σε περίπου 11 μήνες.
5. Μετάβαση σε Fargate Spot (−$263/μήνα)
Τα ECS services του dev τα γυρίσαμε σε Fargate Spot. Για dev περιβάλλον το ρίσκο διακοπής Spot instance είναι αποδεκτό.
6. Ενοποίηση NAT Gateway (−$267/μήνα)
Σε 3 λογαριασμούς, τα 3 NAT Gateway ανά λογαριασμό τα ενοποιήσαμε σε 1. Παρακολουθήσαμε για 7 ημέρες την κίνηση των μη χρησιμοποιούμενων AZ και, μόνο αφού επιβεβαιώσαμε ότι ήταν μηδενική, τα διαγράψαμε.
Η ιστορία της μετάβασης VPN — από $1,178/μήνα σε $42/μήνα
Η πιο ενδιαφέρουσα δράση ήταν η μετάβαση του VPN.
Στην εταιρεία η πρόσβαση στα dev περιβάλλοντα των πελατών γίνεται μέσω VPN. Αρχικά χρησιμοποιούσαμε AWS Client VPN. Αποδείχθηκε όμως ότι το κόστος του Client VPN ήταν μεγαλύτερο από όσο νομίζαμε.
- AWS Client VPN (4 endpoints): $776/μήνα
- AWS Private CA (CA πιστοποιητικών): $402/μήνα
- Σύνολο: $1,178/μήνα
Ειλικρινά, δεν πίστευα ότι το VPN μάς κόστιζε τόσο. Είναι μία από τις θέσεις που ανακαλύψαμε μόνο αφότου αφήσαμε το Claude Code να ψάξει τα κόστη.
Η επιλογή Headscale
Ως εναλλακτική επιλέξαμε το Headscale. Open source έκδοση του control server του Tailscale, με τον client να παραμένει ο Tailscale.
Στήσαμε την παρακάτω αρχιτεκτονική:
- Headscale server: 1 EC2 t3.small (~$21/μήνα)
- Authentication: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/μήνα)
- Σύνολο: περίπου $42/μήνα
Τα $1,178 έγιναν $42. Μείωση κατά 96%.
Το Logto ως βάση authentication
Θα αναφερθώ λίγο και στο Logto που χρησιμοποιούμε για authentication. Open source πλατφόρμα authentication που μπορεί να φιλοξενηθεί self-hosted, με πλήρη υποστήριξη OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, M2M εφαρμογές — όλα αυτά στη self-hosted έκδοση παρέχονται δωρεάν.
Για σοβαρές υπηρεσίες προς το εξωτερικό υπάρχει και το Logto Cloud, αλλά ως αυτόνομη βάση authentication για εσωτερικά συστήματα είναι εξαιρετικά ισχυρό. Η ομάδα ανάπτυξης το αναβαθμίζει συνέχεια και προσωπικά είναι ένα προϊόν που υποστηρίζω θερμά.
Κρίσιμη σχεδιαστική αρχή — να μην αλλάξουν οι IP
Στη μετάβαση του VPN η μεγαλύτερη έγνοια ήταν να μην αλλάξουν οι δημόσιες IP. Οι διευθύνσεις μας είναι καταχωρημένες σε whitelist στα firewalls των πελατών μας· αν άλλαζαν, θα γινόταν χαμός.
Λύση: τοποθετήσαμε το Headscale πίσω από το NAT Gateway. Η κίνηση μέσω VPN βγαίνει προς τα έξω από το υπάρχον NAT Gateway, οπότε οι IP προέλευσης παραμένουν ίδιες.
Ένας μήνας dogfooding
Μετά την υλοποίηση, αντί να μεταφέρουμε αμέσως όλη την εταιρεία, ορίσαμε ένα διάστημα ενός μήνα dogfooding.
Ειλικρινά, προβλήματα υπήρξαν αρκετά. Συνδέσεις που κόβονταν, αστάθεια στο Exit Node, συγκεκριμένα μηχανήματα που δεν επανασυνδέονταν.
Αυτά τα προβλήματα, ξανά με τη βοήθεια του Claude Code, τα λύσαμε ένα προς ένα. Tuning των παραμέτρων του kernel (αύξηση του UDP buffer, ρύθμιση των conntrack timeouts), στήσιμο δικού μας DERP relay server, οργάνωση των διαδικασιών διαχείρισης κόμβων κ.λπ.
Υπάρχουν ακόμα ζητήματα, αλλά αυτή τη στιγμή λειτουργεί σταθερά στο dev.
Επιδόσεις
Επιβεβαιώσαμε και τις επιδόσεις.
- Αρχικά: 11–14 Mbps (μέσω δημόσιου DERP relay)
- Μετά τον δικό μας DERP: 106–134 Mbps
Οι ταχύτητες είναι ίσες ή ανώτερες από το AWS Client VPN.
Επαλήθευση του αποτελέσματος στο Cost Explorer
Η ολοκλήρωση κάθε δράσης δεν σήμαινε το τέλος — επιβεβαιώναμε πάντα το αποτέλεσμα μέσω AWS Cost Explorer. Και εδώ αφήνουμε το Claude Code να ελέγξει μέσω CLI.
Για παράδειγμα, η μετάβαση σε Fargate Spot είναι δύσκολο να φανεί στα φίλτρα του Cost Explorer. Η έκπτωση Spot «κρύβεται» μέσα στην κατηγορία Fargate, οπότε χρειάζεται ξεχωριστή επιβεβαίωση. Το πρόβλημα «το έκανα αλλά δεν φαίνεται» κατάφερε το Claude Code να το ξεμπερδέψει με βαθύτερη ανάλυση.
Επίλογος
Η δομή κόστους στην εποχή του AI αλλάζει. Από τη μία προστίθενται κόστη εργαλείων όπως το Claude Code, από την άλλη όμως τα ίδια αυτά εργαλεία μπορούν να χρησιμοποιηθούν για βελτιστοποίηση του κόστους υποδομών.
Στην περίπτωσή μας, το κόστος εισαγωγής του Claude Code πράγματι αυξήθηκε, αλλά το ίδιο το Claude Code έφερε σε αντάλλαγμα μείωση κόστους AWS που το ξεπερνά κατά πολύ. Επενδύεις σε AI, και με AI ανακτάς το κόστος. Αυτός ο κύκλος έχει αρχίσει να γυρίζει όμορφα.
Αυτό που μάθαμε από όλο αυτό είναι η σημασία του «πρώτα να καταγράψουμε τη συνολική εικόνα». Το να ελέγξει κανείς χειροκίνητα 19 λογαριασμούς δεν είναι ρεαλιστικό. Ακριβώς επειδή δώσαμε στο Claude Code το AWS CLI και το αφήσαμε να σαρώσει εγκάρσια, βρήκαμε θέσεις όπως το VPN, για τις οποίες είπαμε «τόσο πληρώναμε».
Ίσως και στο δικό σας AWS περιβάλλον να κοιμάται κάποιο «smell» κόστους που δεν έχετε ακόμη παρατηρήσει.
Αυτή τη φορά εστίασα στη μετάβαση VPN, αλλά αν υπάρχει ενδιαφέρον για τις άλλες δράσεις, ευχαρίστως να γράψω ξεχωριστά άρθρα. Αν υπάρχει κάτι που σας τραβάει το ενδιαφέρον, σχολιάστε ελεύθερα.
Masaki Kondo — Guide Inc. Vietnam, CEO https://koedesk.app