Como reducimos uns $5,000 ao mes en AWS con Claude Code
Introdución
Con Claude Code recortamos uns $5,000 ao mes na factura de AWS. Co ien débil, sei que hai moitas empresas de desenvolvemento que sofren coa factura de AWS, así que agardo que o caso da nosa empresa vos sexa de utilidade.
| Medida | Aforro/mes |
|---|---|
| Migración de AWS Client VPN → Headscale VPN (inclúe Private CA) | $1,178 |
| Limpeza de Private CA e optimización de claves de cifrado | $2,300 |
| Parada nocturna e de fin de semana do ECS de desenvolvemento | $988 |
| Compra de Reserved Instances para RDS | $811 |
| Consolidación de NAT Gateways | $267 |
| Migración a Fargate Spot | $263 |
| Outros (ciclo de vida de S3, etc.) | $78 |
| Total | $5,885 |
A nosa empresa é unha compañía de desenvolvemento de software con uns 50 traballadores entre o Vietnam e o Xapón. A estrutura de custos é sinxela: as partidas grandes son os salarios e os servidores de AWS. Estas dúas conforman a maior parte do gasto.
Apareceu hai pouco unha nova partida: a dos axentes de IA, encabezados por Claude Code.
Adoptamos Claude Code de maneira seria para mellorar a produtividade. Naquel momento, o asento Premium do Team Plan custaba uns $150 por persoa e mes. Se o estendes a toda a empresa, a cifra dispárase rapidamente.
Adoptar ferramentas de IA para ser máis produtivos é, en si, unha boa decisión. Pero se aparecen custos novos hai que revisar os existentes para manter o equilibrio. Como empresa de desenvolvemento, só podemos revisar dous bloques: salarios e infraestrutura.
Por iso decidimos centrarnos na optimización de custos en AWS.
Facer que Claude Code “olfacto” os custos
O máis interesante é que esta mesma revisión de custos tamén lla encomendamos a Claude Code.
Na nosa empresa demos a Claude Code unha habilidade para AWS CLI. Configurar perfís, autenticación SSO, executar diversos comandos da CLI — todo isto pode facelo de maneira autónoma.
O primeiro que lle pedín foi unha exploración transversal das nosas 19 contas de AWS. Que infraestrutura corre en cada conta, canto custa cada partida e cales fan mala “olor” — cales son sospeitosas desde o punto de vista do custo.
A análise de Claude Code destapou puntos claros de mellora. Optimizacións específicas de entornos de desenvolvemento, recursos abandonados que xa non eran necesarios, configuracións que cun só clic permiten recortar custos significativos. Fomos derrubando estes puntos un a un.
Visión xeral das medidas
A base de referencia eran $30,398 ao mes, medidos en decembro de 2025. Entre finais de 2025 e finais de marzo de 2026 executamos as medidas de maneira secuencial. Como algunhas accións — a baixa da VPN ou a eliminación dos Private CA — non se reflicten ao 100% até abril, agardamos que, con todo en marcha, o aforro total sexa duns $5,000 a $6,000 ao mes respecto á base de decembro.
A continuación, un resumo das medidas principais.
1. Parada nocturna e de fin de semana do ECS de dev (-$988/mes)
Configuramos os 55 servizos de ECS do entorno de desenvolvemento para que se detivesen automaticamente á noite e nas fins de semana. O entorno só se usa en horario laboral pero funcionaba 24/7. Parece obvio, pero é un detalle que adoita pasarse por alto.
2. Migración de AWS Client VPN → Headscale VPN (-$1,178/mes)
Explícoo máis adiante. É a medida máis interesante.
3. Limpeza de Private CA e optimización de claves de cifrado (-$2,300/mes)
Coa retirada de AWS App Mesh, os Private CA xa non eran necesarios e eliminámolos. Ademais, revisamos a xestión das claves para equilibrar custo e requisitos de seguridade.
4. Compra de Reserved Instances para RDS (-$811/mes)
Compramos de golpe RIs para un total de 5 instancias (dev, staging e produción). Investimento previo de $10,675 cun 44% de desconto. Cálculo de retorno duns 11 meses.
5. Paso a Fargate Spot Instances (-$263/mes)
Cambiamos os servizos ECS do entorno de dev a Fargate Spot. Nun entorno de desenvolvemento, o risco de interrupción das instancias Spot é asumible.
6. Consolidación de NAT Gateways (-$267/mes)
En 3 contas, consolidamos 3 NAT Gateways en 1 cada unha. Monitorizamos 7 días o tráfico das AZ non utilizadas e, despois de confirmar tráfico cero, eliminámolos.
A historia da migración de VPN — de $1,178/mes a $42/mes
A medida máis divertida de todas foi a migración da VPN.
Usamos VPN para que o noso persoal poida acceder aos entornos de desenvolvemento dos clientes. Orixinalmente utilizabamos AWS Client VPN. Pero o custo desa Client VPN era moito máis alto do que pensabamos.
- AWS Client VPN (4 endpoints): $776/mes
- AWS Private CA (autoridade certificadora): $402/mes
- Total: $1,178/mes
Sinceramente, non sabía que a VPN nos custase tanto. Foi unha das partidas que só descubrimos cando Claude Code fixo a análise de custos.
A opción Headscale
Como alternativa escollemos Headscale. É a versión de código aberto do servidor de control de Tailscale e permite seguir empregando o cliente de Tailscale tal cal.
A arquitectura que montamos:
- Servidor Headscale: 1× EC2 t3.small (~$21/mes)
- Autenticación: Logto Self-Hosted (OIDC, 1× EC2 t3.small, ~$21/mes)
- Total: uns $42/mes
De $1,178 a $42. Unha redución do 96%.
Logto como base de autenticación
Unha breve mención a Logto, que utilizamos para autenticación. É unha base de autenticación de código aberto auto-hospedable, cun soporte sólido de OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizacións e aplicacións M2M están todos dispoñibles gratuitamente na versión self-hosted.
Para servizos dirixidos ao público tamén existe Logto Cloud, pero como base única de autenticación para sistemas internos é moi potente. O equipo de desenvolvemento segue actualizando con forza e, persoalmente, é un produto que recomendo moito.
Deseño — non cambiar o enderezo IP
O máis importante ao migrar a VPN era non cambiar os enderezos IP públicos. Os clientes teñen o noso IP na lista branca dos seus firewalls e se cambia é un drama.
A solución: colocamos Headscale detrás do NAT Gateway existente. O tráfico que sae pola VPN segue pasando polo mesmo NAT Gateway, así que o IP de orixe non cambia.
Un mes de dogfooding
Despois de construílo, no canto dunha migración total e inmediata, dedicamos un mes ao dogfooding.
Sinceramente, houbo bastantes problemas. Cortábanse as conexións, o Exit Node era inestable, algúns dispositivos non se podían reconectar, etc.
Resolvemos estes problemas un a un co Claude Code. Axuste de parámetros do kernel (ampliación dos buffers UDP, axuste dos tempos de espera de conntrack), construción dun servidor DERP propio, sistematización dos procedementos de xestión de nodos, etc.
Aínda quedan temas pendentes, pero agora mesmo funciona de maneira estable no entorno de desenvolvemento.
Rendemento
Tamén comprobamos o rendemento.
- Inicio: 11-14 Mbps (vía DERP relay público)
- Despois do DERP propio: 106-134 Mbps
Conseguimos unha velocidade igual ou superior á de AWS Client VPN.
Verificación en Cost Explorer
Non abonda con executar a medida: sempre validamos o efecto con AWS Cost Explorer. Tamén isto o fai Claude Code vía CLI.
Por exemplo, descubrimos que o paso a Fargate Spot é difícil de ver nos filtros habituais de Cost Explorer. O desconto de Spot queda diluído dentro da partida de Fargate, así que cómpre unha comprobación específica. Este tipo de problemas — “fixémolo pero non vemos o efecto” — tamén os resolvemos facendo que Claude Code afonde.
Para rematar
A estrutura de custos da era da IA está cambiando. Por un lado aparecen custos novos con ferramentas como Claude Code, pero por outro esta mesma ferramenta permítenos optimizar a infraestrutura.
No noso caso, o custo de incorporar Claude Code subiu, pero o propio Claude Code conseguiu un aforro en AWS moi superior. Investir en IA e facer que a IA recupere o custo — ese ciclo xa empezou a rodar.
A gran lección deste traballo é a importancia de “primeiro visibilizar todo o conxunto”. Investigar 19 contas manualmente non é realista. Precisamente porque lle demos a Claude Code a AWS CLI e lle fixemos facer un escaneo transversal puidemos atopar custos como o da VPN do tipo “tanto nos estaba custando?”.
No teu entorno de AWS tamén pode haber custos cunha “olor” sospeitosa esperando a ser descubertos.
Esta vez centreime na migración de VPN, pero se vos interesa podo facer artigos individuais para o resto de medidas. Se algunha vos interesa, deixade un comentario sen compromiso.
Masaki Kondo — CEO de Guide Inc. Vietnam https://koedesk.app