Claude Code-dal körülbelül $5,000-rel csökkentettük az AWS havi költségeit
Bevezető
A Claude Code segítségével körülbelül $5,000-rel csökkentettük az AWS havi költségeit. A jelenlegi gyenge jen mellett sok szoftvercég küzd az AWS-számlákkal. Remélem, hasznos lesz nektek a mi esetünk.
| Intézkedés | Megtakarítás/hó |
|---|---|
| AWS Client VPN → Headscale VPN migráció (Private CA-val együtt) | $1,178 |
| Private CA rendezése és titkosító kulcsok optimalizálása | $2,300 |
| ECS éjszakai és hétvégi leállítása fejlesztői környezetekben | $988 |
| RDS Reserved Instance vásárlása | $811 |
| NAT Gateway konszolidálása | $267 |
| Fargate Spotra váltás | $263 |
| Egyéb (S3 lifecycle stb.) | $78 |
| Összesen | $5,885 |
Mintegy 50 fős szoftvercég vagyunk Vietnamban és Japánban. A költségszerkezetünk egyszerű — a legnagyobb tételek a bérek és az AWS szerverek. Ezek adják a kiadások nagy részét.
Mostanában új költség is megjelent: a Claude Code-féle AI-ügynök eszközök költsége.
A cégnél a munka hatékonyítása érdekében komolyan bevezettük a Claude Code-ot. Annak idején a Team Plan prémium ülése körülbelül $150/hó/fő volt. Ha ezt cégszinten kiterjesztjük, már így is komoly összegre rúg.
Bevezetni az AI-t és növelni a produktivitást — ezt helyes döntésnek tartom. De ha új költség jelenik meg, a meglévőket is felül kell vizsgálni, hogy egyensúlyban maradjunk. Szoftvercégként reálisan csak a bérek és a szerverköltség marad.
Így aztán nekiestünk az AWS-költségek optimalizálásának.
Hadd „szimatolja ki” a Claude Code a költségszagokat
Az érdekes az, hogy a költségfelülvizsgálatot is a Claude Code-ra bíztuk.
A cégnél a Claude Code-nak van egy „skill”-je az AWS CLI használatára. AWS profilok beállítása, SSO-autentikáció, CLI parancsok futtatása — mindezt önállóan elvégzi.
Először is végigjáratta vele a 19 AWS-fiókunkat. Milyen infrastruktúra fut, és mennyibe kerül. És hol vannak olyan tételek, amelyek „szagosak” — gyanúsak.
Az átvilágítás több jól meghatározható javítási pontot mutatott. Olyat, amit fejlesztői környezet lévén lehet optimalizálni. Régóta ott porosodó, már szükségtelen erőforrásokat. Olyat, ami egyetlen beállítás cseréjével hatalmas megtakarítást ad. Egyenként végigmentünk rajtuk.
Az intézkedések teljes képe
A bázisszint: havi $30,398 2025 decemberében. 2025 vége és 2026 március vége között fokozatosan futtattuk le az intézkedéseket. Egy részük (VPN megszüntetése, Private CA törlése stb.) áprilistól lép teljesen életbe; amikor minden hat, havi $5,000–$6,000 megtakarítást várunk a decemberi bázishoz képest.
Röviden:
1. ECS éjszakai és hétvégi leállítása fejlesztői környezetben (-$988/hó)
55 fejlesztői ECS szolgáltatást úgy állítottunk be, hogy éjszaka és hétvégén automatikusan leálljon. Csak munkaidőben használtuk, mégis 24/7 ment. Egyszerű dolog, mégis könnyen átsiklik felette az ember.
2. AWS Client VPN → Headscale VPN migráció (-$1,178/hó)
Részletek alább. Ez volt a legizgalmasabb tétel.
3. Private CA rendezése és titkosító kulcsok optimalizálása (-$2,300/hó)
Az AWS App Mesh megszüntetésével a Private CA feleslegessé vált, és töröltük. Mellette átvizsgáltuk a titkosító kulcsok kezelését, és kiegyensúlyoztuk a költségeket a biztonsági követelményekkel.
4. RDS Reserved Instance vásárlása (-$811/hó)
Dev/staging/prod összesen 5 instance-ra szóló RI-t vásároltunk egyszerre. $10,675 előzetes befektetés, 44%-os kedvezmény. Körülbelül 11 hónap alatt térül meg.
5. Fargate Spot Instance-re átállás (-$263/hó)
A fejlesztői környezet ECS szolgáltatásait Fargate Spotra váltottuk. Fejlesztői környezetben a Spot megszakítás kockázata vállalható.
6. NAT Gateway konszolidálása (-$267/hó)
3 fiókban a 3-3 NAT Gateway-t 1-1-re konszolidáltuk. A nem használt AZ-k forgalmát 7 napig figyeltük, és nulla forgalom esetén töröltük.
A VPN migráció története — $1,178/hó-ról $42/hó-ra
A legizgalmasabb intézkedés a VPN migrációja volt.
VPN-t használunk az ügyfeleink fejlesztői környezeteibe való hozzáféréshez. Eredetileg AWS Client VPN-t futtattunk. De ennek a költsége nagyobb volt, mint vártam.
- AWS Client VPN (4 endpoint): $776/hó
- AWS Private CA (tanúsítvány-hatóság): $402/hó
- Összesen: $1,178/hó
Őszintén szólva nem gondoltam volna, hogy a VPN ennyibe kerül. Ez egyike azoknak a tételeknek, amelyekre a Claude Code-féle audit hívta fel a figyelmem.
A választás: Headscale
Alternatívaként a Headscale-t választottuk. Ez a Tailscale nyílt forráskódú kontrollszervere; kliens oldalon a sima Tailscale használható.
A felépítés:
- Headscale szerver: 1 db EC2 t3.small (~$21/hó)
- Authentikáció: Logto Self-Hosted (OIDC, 1 db EC2 t3.small, ~$21/hó)
- Összesen: kb. $42/hó
$1,178-ból $42 lett. 96%-os megtakarítás.
Logto mint autentikációs platform
Pár szó az autentikációhoz használt Logto platformról is. Saját szerveren futtatható OSS megoldás, OAuth 2.0 / OIDC rendben tárolt. Google SSO, GitHub SSO, MFA, Organizations, M2M alkalmazások — selfhost verzióban mind ingyen.
Komolyabb külső szolgáltatáshoz van Logto Cloud is, de belső autentikációs platformnak rendkívül erős. A fejlesztőcsapat is lendületesen fejleszti, személyesen nagyon kedvelem.
A tervezés kulcspontja — ne változzon az IP-cím
A VPN migrációnál a legfontosabb az volt, hogy a publikus IP-cím ne változzon. Az ügyfelek tűzfalai a mi IP-címeinket whitelisten tartják; ha változik, nagy baj.
A megoldás: a Headscale-t a meglévő NAT Gateway mögé telepítettük. A VPN-en keresztüli forgalom a meglévő NAT Gateway-n megy ki, így a forrás-IP nem változik.
Egy hónap dogfooding
A felépítés után nem rögtön váltottunk cégszinten. Egy hónapos dogfooding időszakot iktattunk be.
Őszintén, jócskán akadtak problémák. Megszakadt a kapcsolat, az Exit Node instabil volt, bizonyos gépekről nem lehetett újra csatlakozni — ilyen hibák jöttek elő.
Mindezeket a problémákat a Claude Code-dal együtt oldottuk meg. Kernel paramétereinek hangolása (UDP bufferek növelése, conntrack timeout állítása), saját DERP relay szerver kiépítése, a node-kezelés operációs eljárásrendjének kialakítása stb.
Még maradtak teendők, de jelenleg a fejlesztői környezetekben stabilan működik.
Teljesítmény
A teljesítményt is leellenőriztük.
- Kezdetben: 11–14 Mbps (publikus DERP relay)
- Saját DERP építése után: 106–134 Mbps
AWS Client VPN-nel azonos vagy annál jobb sebesség.
A hatás ellenőrzése Cost Explorerrel
Egy intézkedést sosem hagytunk magára — mindig leellenőriztük a hatást az AWS Cost Explorer segítségével. Ezt is Claude Code-dal csináltuk CLI-n keresztül.
Például a Fargate Spotra váltást a Cost Explorer standard szűrőivel nehéz látni. A Spot kedvezmény a Fargate tétel alá rejtőzik, így külön kell ellenőrizni. „Megcsináltuk, de a hatás nem látszik” — az ilyen problémákat is a Claude Code-dal túrtuk fel.
Végszó
Az AI-korszak költségszerkezete változik. Egyrészt új költségek jelennek meg, mint a Claude Code, másrészt ugyanezek az eszközök az infrastruktúra költségoptimalizálására is használhatók.
A mi esetünkben a Claude Code bevezetésének költsége valóban nőtt, de a Claude Code maga ennél nagyobb AWS-megtakarítást hozott. Befektetni az AI-ba, és az AI hozza vissza a költségeit — ez a körforgás elindult.
A mostani munkából egy fontos tanulság: „először tegyük láthatóvá a teljes egészet”. 19 fiókot kézzel végigjárni irreális. Csak azért, mert a Claude Code AWS CLI-jal végigfutott rajtuk, derült ki, mint a VPN esetében, hogy „ennyibe került?”.
A ti AWS környezetetekben is alighanem ott szunnyadnak még észre nem vett költségszagok.
Most főleg a VPN migrációról beszéltem, de a többi intézkedésről is szívesen írok külön cikket, ha van rá igény. Ha van olyan, ami érdekel, írjatok bátran kommentet.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app