Kuidas me vähendasime Claude Code'iga AWS-i kuist arvet umbes $5,000 võrra
Sissejuhatus
Vähendasime Claude Code’iga AWS-i kuist arvet umbes $5,000 võrra. Praegusel nõrga jeeni ajastul on kindlasti palju tarkvaraarendusettevõtteid, kelle peavalu on AWS-i kulu. Loodan, et meie näide on kasuks.
| Meede | Kokkuhoid kuus |
|---|---|
| AWS Client VPN → Headscale VPN migratsioon (sh Private CA) | $1,178 |
| Private CA puhastus ja krüpteerimisvõtmete optimeerimine | $2,300 |
| Arenduskeskkondade ECS-i öine ja nädalavahetuse peatamine | $988 |
| RDS Reserved Instances’i ost | $811 |
| NAT Gateway konsolideerimine | $267 |
| Üleminek Fargate Spot’ile | $263 |
| Muu (S3 lifecycle jm) | $78 |
| Kokku | $5,885 |
Oleme tarkvaraarendusettevõte, kus Vietnamis ja Jaapanis töötab kokku umbes 50 inimest. Kulustruktuur on lihtne: lõviosa moodustavad palgafond ja AWS-i serveriarved. Just need kaks katavad enamiku väljaminekutest.
Ja sellesse nimekirja on viimasel ajal lisandunud uus rida — kulutused AI-agentidele, alustades Claude Code’ist.
Meil on Claude Code tõsiselt kasutusele võetud, et tööefektiivsust tõsta. Toonase Team Plan’i premium-koht maksis umbes $150 inimese kohta kuus. Kui seda ettevõtteüleselt rakendada, läheb ainuüksi see kena summa.
AI-tööriistade kasutuselevõtt ja tootlikkuse tõstmine on iseenesest õige otsus. Aga kui tekib uus kulu, tuleb olemasolevaid kulusid tasakaalustada. Me oleme tarkvaraarendusettevõte — sisuliselt saab üle vaadata vaid kahte asja: palgafondi ja serverikulu.
Niisiis võtsin AWS-i kulude optimeerimise ette.
Lasen Claude Code’il “haisu” otsida
Huvitav on see, et ka selle ülevaatamise enda usaldasin Claude Code’ile.
Meie Claude Code’il on AWS CLI oskus külge pandud. AWS-i profiilide seadistamine, SSO-autentimine, mitmesuguste CLI-käskude käivitamine — kõik see toimib Claude Code’i poolt iseseisvalt.
Esimese asjana lasin tal meie 19 AWS-kontot ristskaneerida. Milline infra igas neist töötab, kui palju see maksab. Ja kas seal on midagi “haisuga” — midagi kulukalt kahtlast.
Selle tulemusena tuli Claude Code’i välja mitu selget parandamiskohta. Midagi sai optimeerida just selle pärast, et tegemist on arenduskeskkonnaga; kuskil seisid ressursid, mida keegi ei kasutanud ja olid lihtsalt unustatud; mõnel juhul sai ühe sätte muutmisega arvet märkimisväärselt kärpida. Need punktid ma võtsin ükshaaval ette, uurisin ja sulgesin.
Meetmete üldpilt
Lähtepunkt — $30,398 kuus 2025. aasta detsembri seisuga. Ajavahemikul 2025. aasta lõpust kuni 2026. aasta märtsi lõpuni viidi meetmed üksteise järel ellu. Osa meetmetest — VPN-i kaotamine, Private CA kustutamine — kajastub arves täies mahus alles aprillist, nii et stabiilses olekus on detsembri lähtetasemest kokkuhoid umbes $5,000–$6,000 kuus.
Lühidalt põhimeetmetest.
1. Arenduskeskkondade ECS-i öine ja nädalavahetuse peatamine (-$988/kuu)
Tegime 55 arenduskeskkonna ECS-teenusele automaatse peatamise ööseks ja nädalavahetuseks. Arenduskeskkondi vajatakse ainult tööajal, aga töötasid nad 24/7 365 päeva aastas. Näiliselt ilmselge asi, aga just sellised märkamata libisevad.
2. AWS Client VPN → Headscale VPN migratsioon (-$1,178/kuu)
Sellest pikemalt allpool. See on kõige huvitavam.
3. Private CA puhastus ja krüpteerimisvõtmete optimeerimine (-$2,300/kuu)
Kuna AWS App Mesh kasutusest välja võeti, polnud Private CA-d enam vaja ja kustutasime selle. Samal ajal vaatasime üle krüpteerimisvõtmete haldusmudeli ja tasakaalustasime hinna turvanõuetega.
4. RDS Reserved Instances’i ost (-$811/kuu)
Ostsime hulgi RI-d viiele instansile — dev, staging ja production kokku. Ettemakse $10,675, allahindlus 44%. Arvestuste järgi tasub end ära umbes 11 kuuga.
5. Üleminek Fargate Spot’ile (-$263/kuu)
Viisime arenduskeskkonna ECS-teenused Fargate Spot’ile üle. Arenduskeskkonnas on Spot-instansi katkestamise risk täiesti vastuvõetav.
6. NAT Gateway konsolideerimine (-$267/kuu)
Kolmes kontos kärpisime kolm NAT Gateway’d ükshaaval üheks. Seitse päeva monitoorisime kasutuseta AZ-de liiklust, veendusime, et see on null — ja kustutasime.
VPN-i migratsiooni lugu — $1,178/kuu muutus $42/kuus
Kõige huvitavam kogu komplektis oli VPN-i migratsioon.
Meie insenerid pääsevad klientide arenduskeskkondadesse VPN-i kaudu. Algselt kasutati AWS Client VPN’i. Ja äkki selgus, et see läheb meile palju kallimaks, kui arvasime.
- AWS Client VPN (4 lõpp-punkti): $776/kuu
- AWS Private CA (sertifitseerimiskeskus): $402/kuu
- Kokku: $1,178/kuu
Ausalt öeldes ei oodanud ma, et VPN nii palju sööb. See on üks neist ridadest, millele ma tähelepanu pöörasin alles pärast seda, kui Claude Code kulusid läbi käis.
Headscale-nimeline võimalus
Asendajaks valisime Headscale. See on Tailscale’iga ühilduv avatud lähtekoodiga juhtimisserver; kliendipoolel kasutatakse tavalist Tailscale’i.
Konfiguratsioon sai selline:
- Headscale-server: 1 EC2 t3.small (~$21/kuu)
- Autentimine: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/kuu)
- Kokku: umbes $42/kuu
$1,178 muutus $42-ks. Kärbe 96%.
Logto kui autentimise vundament
Räägin paar sõna ka Logto kohta, mille peale meie autentimine on ehitatud. See on iseseisvalt majutatav avatud lähtekoodiga autentimisvundament hea OAuth 2.0 / OIDC toega. Google SSO, GitHub SSO, MFA, Organizations, M2M-rakendused — self-hosted versioonis on kõik see tasuta saadaval.
Tõsisteks välisteks teenusteks on Logto Cloud, kuid sisemise süsteemi autentimisvundamendina on see uskumatult tugev. Arendustiim katsetab uuendustega väga hoogsalt — isiklikult on see toode mu südames erilisel kohal.
Arhitektuuri nüanss — IP-aadresse mitte muuta
Kõige tähtsam, mida VPN-i migratsioonis arvestasin, oli mitte muuta neid IP-aadresse, mille me välja oleme avaldanud. Klientide tulemüürides on meie IP-aadressid valgesse nimekirja kantud, ja kui need äkki muutuvad, läheb asi kihvti.
Lahendus: paigutasime Headscale NAT Gateway taha. VPN-i liiklus läheb edasi olemasoleva NAT Gateway kaudu välja, nii et lähte-IP ei muutu.
Üks kuu dogfoodingut
Pärast kõige kokkupanemist ei läinud me järsult kogu firmaga üle, vaid jätsime ühe kuu dogfooding’uks.
Aus jutt — probleeme oli omajagu. Katkenud ühendused, ebastabiilne Exit Node, üksikud seadmed, mis taasühenduda ei suutnud — kõik see oli olemas.
Need probleemid lahendasime samuti üheskoos Claude Code’iga, üks ühe haaval. Kerneli parameetrite häälestus (UDP-puhvrite suurendamine, conntracki ajalimiitide korrigeerimine), oma DERP-edastusserveri ülespanek, sõlmede haldamise protseduuride häälestamine ja muu.
Ülesandeid on veel, kuid praegu töötab arenduskeskkondades stabiilselt.
Jõudlus
Jõudlust kontrollisime samuti.
- Esialgu: 11–14 Mbps (avalike DERP-edastussõlmede kaudu)
- Pärast oma DERP-i kasutuselevõttu: 106–134 Mbps
Kiirus on AWS Client VPN’iga vähemalt samas pulgas.
Mõju kontroll Cost Explorer’is
Meetme käivitamisega lugu ei lõpe — mõju kontrollime tingimata AWS Cost Explorer’is. Ka selle pani Claude Code CLI kaudu paika.
Näiteks Fargate Spot’ile üleminek osutus Cost Explorer’i filtrites raskesti eristatavaks. Spot-soodustus peidab end Fargate’i rea sisse, nii et eraldi kontroll on vajalik. Sellised lood “tegime, aga mõju ei paista” lahendasid samuti see, et lasin Claude Code’il sügavamale kaevata.
Lõpetuseks
AI-ajastu kulustruktuur muutub. Ühest küljest lisanduvad eelarvesse sellised tööriistad nagu Claude Code. Teisalt — sama tööriista saab kasutada ka infrastruktuurikulude optimeerimiseks.
Meie puhul Claude Code’i juurutamise kulu kindlasti kasvas, kuid Claude Code ise teenis selle ja enamgi tagasi AWS-i arve vähenemise näol. Investeerime AI-sse, AI tasub end vähenenud kuludega tagasi. See tsükkel on meil juba tasapisi käima saanud.
Selle harjutuse peamine õppetund: “kõigepealt teha kõik nähtavaks”. 19 konto käsitsi läbikäimine pole realistlik. Just tänu sellele, et meil oli Claude Code AWS CLI’ga, mis kõik korraga läbi käis, leidsime sellise pärli nagu VPN, kus märkamatult voolas igakuiselt välja üle $1,000.
Võimalik, et ka teie AWS-keskkonnas magab kuluhais, mida te pole veel märganud.
Seekord rääkisin peamiselt VPN-i migratsioonist, kuid soovi korral võin kirjutada eraldi artikleid ka teiste meetmete kohta. Kui miski huvi pakub, jätke julgesti kommentaar.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app