Kako smo uz Claude Code smanjili mjesečni račun za AWS za otprilike $5,000
Uvod
Uz pomoć Claude Codea smanjili smo mjesečni račun za AWS za otprilike $5,000. U vremenima slabog jena vjerujem da puno softverskih tvrtki muku muči s AWS troškovima. Nadam se da će vam naš primjer biti od koristi.
| Mjera | Mjesečna ušteda |
|---|---|
| Prelazak s AWS Client VPN-a na Headscale VPN (uključujući Private CA) | $1,178 |
| Sređivanje Private CA-a i optimizacija ključeva enkripcije | $2,300 |
| Gašenje razvojnog ECS okruženja noću i vikendima | $988 |
| Kupnja RDS Reserved Instances | $811 |
| Konsolidacija NAT Gatewaya | $267 |
| Prelazak na Fargate Spot | $263 |
| Ostalo (S3 lifecycle itd.) | $78 |
| Ukupno | $5,885 |
Mi smo softverska tvrtka s oko 50 zaposlenika u Vijetnamu i Japanu. Struktura troškova je jednostavna: dominiraju plaće i AWS serveri. Te dvije stavke čine većinu rashoda.
A zatim se pojavio novi trošak — alati za AI agente, predvođeni Claude Codeom.
U cilju povećanja učinkovitosti uveli smo Claude Code na ozbiljnoj razini. U to vrijeme premium sjedalo u Team Planu koštalo je oko $150 mjesečno po osobi. Raširi li se to na cijelu tvrtku, brojka brzo postaje impozantna.
Uvođenje AI alata radi veće produktivnosti — to smatram ispravnom odlukom. No ako uvodimo novi trošak, treba uravnotežiti staru stranu. Kao softverska tvrtka, jedino što stvarno možemo preispitati su plaće i serveri.
Stoga smo se posvetili optimizaciji AWS troškova.
Pustili smo Claude Code da nanjuši „smell” troška
Zanimljivo je to što smo i samu reviziju troškova prepustili Claude Codeu.
Claude Codeu smo dali vještinu za AWS CLI. Postavljanje profila, SSO autentifikaciju, izvršavanje raznih CLI naredbi — sve to Claude Code može odraditi samostalno.
Prvo što smo napravili bilo je da pretraži svih 19 AWS računa unakrsno. Kakva se infrastruktura na svakom računu vrti, koliko košta i ima li negdje nešto što „smrdi” s troškovne strane.
Claude Code je izlučio nekoliko jasnih točaka za poboljšanje. Stvari karakteristične za razvojno okruženje, suvišne resurse koji se vuku, postavke koje jednim potezom rade veliku razliku. Sve smo to redom istraživali i otklanjali.
Pregled svih mjera
Baseline je bio $30,398 mjesečno u prosincu 2025. Mjere smo provodili redom od kraja 2025. do kraja ožujka 2026. Kako su ukidanje VPN-a i brisanje Private CA-a uštede koje će pun učinak postići tek od travnja, kad sve počne djelovati, očekujemo da ćemo u odnosu na prosinačku osnovicu uštediti otprilike $5,000–6.000 mjesečno.
Sažetak glavnih mjera.
1. Gašenje razvojnog ECS-a noću i vikendima (−$988/mj.)
Za 55 ECS servisa razvojnog okruženja postavili smo automatsko gašenje noću i vikendima. Razvojno okruženje koristi se samo u radno vrijeme, a vrtjelo se 24/7. Stvar koja zvuči očigledno, ali se često previdi.
2. Prelazak s AWS Client VPN-a na Headscale VPN (−$1,178/mj.)
O ovome više dolje. Najzanimljivija mjera.
3. Sređivanje Private CA-a i optimizacija ključeva enkripcije (−$2,300/mj.)
Nakon ukidanja AWS App Mesha Private CA više nam nije bio potreban pa smo ga obrisali. Uz to smo preispitali način upravljanja ključevima enkripcije i uravnotežili trošak i sigurnosne zahtjeve.
4. Kupnja RDS Reserved Instances (−$811/mj.)
Jednokratno smo kupili RI-eve za ukupno 5 instanci u razvojnom, staging i produkcijskom okruženju. Inicijalni izdatak od $10,675, popust 44%. Računica kaže da se vraća za otprilike 11 mjeseci.
5. Prelazak na Fargate Spot (−$263/mj.)
ECS servise razvojnog okruženja prebacili smo na Fargate Spot. Za razvojno okruženje rizik prekida Spot instance je prihvatljiv.
6. Konsolidacija NAT Gatewaya (−$267/mj.)
U 3 računa smo 3 NAT Gatewaya konsolidirali u po 1. Promet u neiskorištenim AZ-ovima pratili smo 7 dana i tek nakon potvrde da je nula, brisali.
Priča o migraciji VPN-a — od $1,178/mj. na $42/mj.
Najzanimljivija mjera bila je migracija VPN-a.
Pristup razvojnim okruženjima klijenata kod nas se odvijao preko VPN-a. Izvorno je to bio AWS Client VPN. Pokazalo se da je trošak Client VPN-a bio veći nego što smo mislili.
- AWS Client VPN (4 endpointa): $776/mj.
- AWS Private CA (CA za certifikate): $402/mj.
- Ukupno: $1,178/mj.
Iskreno, nisam ni slutio da nas VPN toliko košta. To je jedna od stavki koje smo otkrili tek kad smo Claude Codeu prepustili reviziju troška.
Opcija Headscale
Kao alternativu odabrali smo Headscale. Open source verzija kontrolnog servera za Tailscale, dok se na klijentskoj strani koristi Tailscale.
Postavili smo ovako:
- Headscale server: 1 EC2 t3.small (~$21/mj.)
- Autentifikacija: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/mj.)
- Ukupno: oko $42/mj.
$1,178 je postao $42. Smanjenje od 96%.
Logto kao platforma za autentifikaciju
Spomenut ću i Logto koji koristimo za autentifikaciju. Open source platforma za autentifikaciju koja se može self-hostati, s vrlo zaokruženom podrškom za OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, M2M aplikacije — sve to u self-hosted verziji dolazi besplatno.
Za ozbiljne servise prema van postoji i Logto Cloud, ali kao samostalna baza autentifikacije za interne sustave izuzetno je moćan. Razvojni tim ga aktivno unaprjeđuje i osobno mi je iznimno drag proizvod.
Ključni dizajnerski princip — ne mijenjati IP adresu
Pri migraciji VPN-a najveća briga bila je da javne IP adrese ostanu nepromijenjene. Naše su adrese na vatrozidima klijenata dodane u whitelist; promjena bi izazvala kaos.
Rješenje: Headscale smo smjestili iza NAT Gatewaya. Promet preko VPN-a izlazi van kroz postojeći NAT Gateway, pa izvorne IP adrese ostaju iste.
Mjesec dana dogfoodinga
Nakon postavljanja nismo odmah prebacili cijelu tvrtku — uveli smo razdoblje od mjesec dana dogfoodinga.
Iskreno, problema je bilo poprilično. Konekcije bi se prekidale, Exit Node nije bio stabilan, neki uređaji nisu uspijevali ponovno se spojiti.
Sve te probleme smo, opet s Claude Codeom, rješavali jedan po jedan. Štimanje kernel parametara (povećanje UDP bufera, podešavanje conntrack timeouta), izgradnja vlastitog DERP relay servera, uspostava operativnih procedura za upravljanje čvorovima — i tako redom.
Izazovi i dalje postoje, ali u trenutku pisanja radi stabilno u razvojnom okruženju.
Performanse
Provjerili smo i performanse.
- Početno: 11–14 Mbps (preko javnog DERP relaya)
- Nakon vlastitog DERP-a: 106–134 Mbps
Brzine su iste ili veće nego s AWS Client VPN-om.
Provjera učinka kroz Cost Explorer
Mjera nije gotova samim provođenjem — učinak smo redovito provjeravali u AWS Cost Exploreru. I to smo radili tako da Claude Code preko CLI-ja gleda brojke.
Tako smo, primjerice, otkrili da je prelazak na Fargate Spot teško vidljiv u Cost Explorerovim filterima. Spot popust se utopi unutar Fargate stavke, pa treba zasebno potvrđivati. „Trebali bismo vidjeti učinak, a ne vidi se” — taj problem je Claude Code uspio razriješiti dubljom analizom.
Na kraju
Struktura troškova u AI eri se mijenja. S jedne strane dodaju se troškovi alata poput Claude Codea, a s druge strane upravo se ti alati mogu koristiti za optimizaciju infrastrukturnih troškova.
U našem slučaju Claude Code je doista donio dodatni trošak, ali je sam ostvario uštede na AWS-u koje ga višestruko premašuju. Uložiš u AI, AI ti vrati uloženo. Taj se ciklus kod nas lijepo pokrenuo.
Ono što smo naučili je važnost da se „prvo vizualizira cjelina”. Ručno pregledati 19 računa praktički je nemoguće. Tek smo zato što smo Claude Codeu dali AWS CLI i pustili ga da prošeta unakrsno otkrili stavke poput VPN-a koja je „toliko koštala”.
Možda i u vašem AWS okruženju spava poneki neopaženi trošak.
Ovaj put smo se usredotočili na migraciju VPN-a, ali budem li imao zahtjeva, rado ću posebne tekstove napisati i o ostalim mjerama. Bude li vas što zanimalo, slobodno komentirajte.
Masaki Kondo — Guide Inc. Vietnam, CEO https://koedesk.app