Näin leikkasimme AWS-laskusta noin $5,000 kuukaudessa Claude Coden avulla
Aluksi
Vähensimme kuukausittaisia AWS-kustannuksiamme noin $5,000 Claude Coden avulla. Nykyisellä valuuttatilanteella moni kehittäjäyritys kärsii varmasti AWS-laskusta. Toivottavasti meidän tapauksemme on hyödyksi.
| Toimenpide | Säästö/kk |
|---|---|
| Siirtymä AWS Client VPN → Headscale VPN (sis. Private CA) | $1,178 |
| Private CA:n siivous ja salausavainten optimointi | $2,300 |
| Kehitysympäristön ECS:n alasajo öisin ja viikonloppuisin | $988 |
| RDS:n varattujen instanssien hankinta | $811 |
| NAT Gatewayn konsolidointi | $267 |
| Siirtymä Fargate Spotiin | $263 |
| Muu (S3-elinkaaret yms.) | $78 |
| Yhteensä | $5,885 |
Olemme kehitysyhtiö, jonka noin 50 työntekijää jakautuvat Vietnamiin ja Japaniin. Kustannusrakenne on yksinkertainen: palkat ja AWS-palvelinkulut muodostavat suurimman osan menoista.
Tähän on tullut viime aikoina uusi erä: Claude Coden kaltaisten AI-agenttityökalujen kustannukset.
Otimme Claude Coden täysipainoiseen käyttöön työn tehostamiseksi. Tuolloin Team Planin Premium-paikka maksoi noin $150/kk/henkilö. Skaalattuna koko yritykseen siitä tulee jo merkittävä summa.
Tekoälytyökaluihin sijoittaminen ja tuottavuuden nostaminen on oikea päätös. Mutta kun uusia kustannuksia syntyy, on käytävä läpi olemassa olevat ja löydettävä tasapaino. Kehitysyhtiönä meillä on käytännössä vain kaksi suurta erää säädettävänä: palkat ja palvelinkulut.
Niinpä päätimme paneutua AWS-kustannusten optimointiin.
Annetaan Claude Coden nuuhkia kustannusten “smell”
Hauskaa on, että itse läpikäynninkin teki Claude Code.
Olemme antaneet Claude Codelle AWS CLI -skillin. Se pystyy itsenäisesti hoitamaan AWS-profiilit, SSO-kirjautumiset ja monenlaiset CLI-komennot.
Aloitimme antamalla sen skannata 19 AWS-tiliämme rinnakkain. Mitä infraa kussakin tilissä pyörii, paljonko se maksaa ja löytyykö kustannuksissa kohteita, jotka “haisevat” — joissa on smell.
Claude Coden läpikäynti paljasti useita selviä parannuskohteita. Kehitysympäristön tehostuksia, resursseja, jotka olivat unohtuneet pyörimään turhaan, ja asioita, jotka pienenivät massiivisesti yhdellä asetuksella. Kävimme ne läpi yksi kerrallaan.
Kokonaiskuva
Vertailupohja oli $30,398 kuukaudessa joulukuussa 2025. Toimenpiteet vietiin maaliin järjestyksessä loppuvuoden 2025 ja maaliskuun 2026 lopun välillä. Jotkin toimenpiteet — kuten VPN:n alasajo ja Private CA:n poisto — vaikuttavat täysimääräisesti vasta huhtikuusta alkaen, joten kaiken ollessa voimassa odotettavissa on noin $5,000–6 000/kk vähennys joulukuun vertailupohjasta.
Päätoimet lyhyesti.
1. Kehitysympäristön ECS:n alasajo öisin ja viikonloppuisin (-$988/kk)
Asetimme automaattisen pysäytyksen kehitysympäristön 55 ECS-palvelulle öiksi ja viikonlopuiksi. Kehitysympäristöä käytetään vain työaikana, mutta se pyöri ympäri vuorokauden vuoden jokaisena päivänä. Itsestäänselvältä kuulostava asia, joka silti unohtuu.
2. Siirtymä AWS Client VPN → Headscale VPN (-$1,178/kk)
Kerron tästä lisää alla. Tämä on toimenpiteistä mielenkiintoisin.
3. Private CA:n siivous ja salausavainten optimointi (-$2,300/kk)
AWS App Meshin käytöstä poistuessa Private CA muuttui tarpeettomaksi ja poistimme sen. Lisäksi tarkastelimme salausavainten hallintatapaa ja optimoimme tasapainoa kustannuksen ja tietoturvavaatimusten välillä.
4. RDS:n varattujen instanssien hankinta (-$811/kk)
Ostimme RI:t yhteensä 5 instanssille — dev, staging ja prod — yhdellä kertaa. $10,675:n ennakkosijoitus, 44 %:n alennus, takaisinmaksu noin 11 kuukaudessa.
5. Siirtymä Fargate Spot Instanceen (-$263/kk)
Vaihdoimme kehitysympäristön ECS-palvelut Fargate Spotiin. Kehitysympäristössä Spot-katkokset ovat hyväksyttävä riski.
6. NAT Gatewayn konsolidointi (-$267/kk)
Yhdistimme kolmen tilin osalta kolme NAT Gatewayta yhteen per tili. Seurasimme käyttämättömän AZ:n liikennettä seitsemän päivää ja poistimme sen, kun liikennettä ei ollut.
VPN-migraation tarina — $1,178/kk muuttui $42/kk:ksi
Kaikista toimenpiteistä mielenkiintoisin oli VPN-migraatio.
Käytämme VPN:ää asiakkaiden kehitysympäristöjen käyttöön. Alun perin ajoimme AWS Client VPN:llä. Mutta sen kustannukset osoittautuivat odotettua suuremmiksi.
- AWS Client VPN (4 päätepistettä): $776/kk
- AWS Private CA (varmenneautoriteetti): $402/kk
- Yhteensä: $1,178/kk
Rehellisesti sanottuna emme olisi arvanneet VPN:n maksavan näin paljon. Tämä oli yksi niistä eristä, jotka huomasimme vasta kun Claude Code kävi kustannukset läpi.
Vaihtoehto Headscale
Korvaajaksi valitsimme Headscalen. Se on Tailscalen avoimen lähdekoodin kontrollipalvelin, ja asiakaspuolella käytetään tavallista Tailscale-asiakasohjelmaa.
Kokoonpanomme:
- Headscale-palvelin: 1 kpl EC2 t3.small (~$21/kk)
- Autentikointi: Logto Self-Hosted (OIDC, 1 kpl EC2 t3.small, ~$21/kk)
- Yhteensä: noin $42/kk
$1,178 → $42. 96 % säästö.
Logto autentikoinnin alustana
Lyhyesti Logtosta, jota käytämme autentikointiin. Se on itsehostattavissa oleva avoimen lähdekoodin autentikointialusta, jossa OAuth 2.0 / OIDC on hyvin tuettuna. Google SSO, GitHub SSO, MFA, Organizations ja M2M-sovellukset ovat kaikki itsehostatussa versiossa täysin ilmaisia.
Ulkoisille tuotantopalveluille Logto Cloud on yksi vaihtoehto, mutta sisäisen järjestelmäautentikoinnin runkona itsehostattu versio on todella vahva. Kehitystiimi tekee jatkuvasti päivityksiä, ja se on minun suosikkituotteitani tällä hetkellä.
Suunnitteluperiaate — IP-osoitetta ei saa vaihtaa
Migraatiossa tärkein periaate oli, että ulospäin näkyvä IP-osoitteemme ei saa muuttua. Asiakkaiden palomuureissa on IP-osoitteemme whitelistissa, ja jos se vaihtuu, syntyy kaaos.
Ratkaisu oli sijoittaa Headscale olemassa olevan NAT Gatewayn taakse. VPN-liikenne kulkee ulos saman NAT Gatewayn kautta kuin ennen, joten lähde-IP pysyy samana.
Kuukauden dogfooding
Emme siirtyneet kerralla koko yrityksen voimin. Otimme ensin kuukauden dogfooding-jakson.
Rehellisesti: ongelmia oli runsaasti. Yhteyksiä katkesi, Exit Node oli epävakaa, tietyt päätelaitteet eivät pystyneet yhdistämään uudestaan.
Nekin ratkaisimme Claude Coden kanssa yksi kerrallaan. Kernel-parametrien viritys (UDP-puskureiden suurennus, conntrackin aikakatkaisujen säätö), oman DERP-relay-palvelimen pystytys, nodejen hallintaprosessien luonti jne.
Haasteita on yhä, mutta nykyisellään asetelma pyörii vakaasti kehitysympäristössä.
Suorituskyky
Tarkistimme myös suorituskyvyn:
- Alkuvaiheessa: 11-14 Mbps (julkisen DERP-relayn kautta)
- Oman DERP:n jälkeen: 106-134 Mbps
AWS Client VPN:ää vastaava tai nopeampi.
Verifiointi Cost Explorerissa
Toimenpiteiden tekoon ei jääty, vaan jokainen vaihe varmistettiin AWS Cost Explorerissa. Tämänkin osan teki Claude Code CLI:n kautta.
Havaitsimme esimerkiksi, että Fargate Spot -siirtoa on vaikea nähdä Cost Explorerin tavallisilla suodattimilla. Spot-alennus piiloutuu Fargate-erän sisään ja vaatii tarkempaa tarkastelua. Tällaiset “tein varmasti toimenpiteen, mutta vaikutusta ei näy” -ongelmat saimme ratkaistua antamalla Claude Coden kaivaa dataan.
Lopuksi
Tekoälyajan kustannusrakenne muuttuu. Claude Coden kaltaiset työkalut tuovat uusia kuluja, mutta samat työkalut auttavat optimoimaan infrastruktuurikustannuksia.
Meillä Claude Coden kustannus toki nousi, mutta Claude Code itse on tuonut takaisin sitäkin suuremmat AWS-säästöt. Sijoita tekoälyyn, anna tekoälyn maksaa sijoitus takaisin. Tämä kierre on alkanut pyöriä meillä hyvin.
Tämän projektin tärkein oppi oli kokonaisuuden näkyväksi tekemisen merkitys. 19 tilin manuaalinen läpikäynti ei ole realistista. Juuri siksi, että annoimme Claude Codelle AWS CLI:n ja annoimme sen tehdä laajan skannauksen, löysimme esimerkiksi VPN-laskun kohdalta — “maksoiko se todella näin paljon?”.
Sinunkin AWS-ympäristössäsi voi nukkua kustannus-smell, jota et ole vielä huomannut.
Tällä kertaa keskityin VPN-migraatioon, mutta jos jokin toinen toimenpide kiinnostaa, kirjoitan siitä mielelläni erillisen artikkelin. Jätä rohkeasti kommentti.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app