Come abbiamo tagliato la bolletta AWS di circa $5,000 al mese con Claude Code
Introduzione
Con Claude Code abbiamo abbattuto la bolletta mensile AWS di circa $5,000. Visto il contesto di cambio attuale, immagino che molte società di sviluppo software stiano soffrendo per i costi AWS. Spero che il nostro caso possa essere d’aiuto.
| Intervento | Risparmio/mese |
|---|---|
| Migrazione AWS Client VPN → Headscale VPN (inclusa Private CA) | $1,178 |
| Pulizia di Private CA e ottimizzazione delle chiavi di cifratura | $2,300 |
| Spegnimento notturno e nei weekend degli ECS di sviluppo | $988 |
| Acquisto di Reserved Instance RDS | $811 |
| Consolidamento dei NAT Gateway | $267 |
| Migrazione a Fargate Spot | $263 |
| Altro (lifecycle di S3, ecc.) | $78 |
| Totale | $5,885 |
Guide Inc. Vietnam è una società di sviluppo software con circa 50 persone distribuite tra Vietnam e Giappone. La nostra struttura dei costi è semplice: pesano gli stipendi e i server AWS.
Negli ultimi tempi si è aggiunta una nuova voce: i costi degli strumenti di agenti di IA, in primis Claude Code.
Abbiamo adottato Claude Code in modo serio per aumentare la produttività del team. All’epoca, il posto premium del Team Plan costava circa $150/mese per persona. Esteso a tutta l’azienda, la cifra cresce in fretta.
Adottare strumenti di IA per aumentare la produttività è, a mio avviso, la scelta giusta. Però, se entrano costi nuovi, è necessario riequilibrare rivedendo i costi esistenti. Come società di sviluppo software, le leve che possiamo muovere sono sostanzialmente stipendi e server.
Ci siamo quindi messi al lavoro sull’ottimizzazione dei costi AWS.
Far fiutare a Claude Code gli «smell» di costo
La cosa curiosa è che questa stessa revisione dei costi l’abbiamo affidata a Claude Code.
Da noi Claude Code dispone di uno skill per AWS CLI. Configurazione dei profili AWS, autenticazione SSO, esecuzione di comandi CLI: tutto questo può farlo in autonomia.
La prima cosa è stata fargli fare una scansione trasversale dei nostri 19 account AWS. Quale infrastruttura gira in ciascun account, quanto costa e se ci sono voci che odorano — che cioè danno la sensazione di qualcosa che non va sul piano dei costi.
Claude Code ha fatto emergere diversi punti di miglioramento chiari. Cose ottimizzabili solo negli ambienti di sviluppo. Risorse non più necessarie rimaste lì dimenticate. Casi in cui basta una singola impostazione per ottenere grossi risparmi. Le abbiamo affrontate una a una.
Il piano complessivo
La nostra baseline a dicembre 2025 era di $30,398/mese. Tra fine 2025 e fine marzo 2026 abbiamo eseguito gli interventi in sequenza. Alcuni — dismissione del VPN, eliminazione della Private CA — danno il pieno effetto solo a partire da aprile, quindi a regime ci aspettiamo un risparmio di circa $5,000–$6,000/mese rispetto alla baseline di dicembre.
Qui un riepilogo veloce delle azioni principali.
1. Spegnimento notturno e nei weekend degli ECS di sviluppo (-$988/mese)
Abbiamo impostato 55 servizi ECS di sviluppo per spegnersi automaticamente di notte e nei weekend. L’ambiente di sviluppo si usa solo in orario lavorativo, ma girava 24/7. Ovvio col senno di poi, facile da lasciar correre nella pratica.
2. Migrazione AWS Client VPN → Headscale VPN (-$1,178/mese)
Descritto più sotto. L’intervento più interessante.
3. Pulizia di Private CA e ottimizzazione delle chiavi di cifratura (-$2,300/mese)
Con la dismissione di AWS App Mesh la Private CA non era più necessaria, quindi l’abbiamo eliminata. Inoltre abbiamo rivisto la gestione delle chiavi di cifratura per trovare un equilibrio migliore tra costo e requisiti di sicurezza.
4. Acquisto di Reserved Instance RDS (-$811/mese)
Abbiamo comprato in un’unica tornata le RI per un totale di 5 istanze su dev, staging e produzione. $10,675 di investimento iniziale, sconto del 44 %, payback in circa 11 mesi.
5. Migrazione a Fargate Spot (-$263/mese)
Abbiamo spostato i servizi ECS di sviluppo su Fargate Spot. Per i workload di sviluppo, il rischio di interruzione di Spot è accettabile.
6. Consolidamento dei NAT Gateway (-$267/mese)
In 3 account abbiamo consolidato 3 NAT Gateway in uno per account. Abbiamo monitorato il traffico sulle AZ non utilizzate per 7 giorni, verificato che fosse zero e solo dopo abbiamo proceduto con l’eliminazione.
La migrazione del VPN: da $1,178/mese a $42/mese
L’intervento più interessante è stato la migrazione del VPN.
Usiamo i VPN per accedere agli ambienti di sviluppo dei nostri clienti. In origine usavamo AWS Client VPN. È venuto fuori che questo Client VPN ci costava molto più del previsto.
- AWS Client VPN (4 endpoint): $776/mese
- AWS Private CA (autorità di certificazione): $402/mese
- Totale: $1,178/mese
Onestamente, non avrei mai detto che il VPN ci costasse così tanto. È una delle voci emerse solo dopo aver fatto fare a Claude Code l’analisi dei costi.
La scelta Headscale
Come sostituto abbiamo scelto Headscale: un control server open source per Tailscale. Lato client si continua a usare Tailscale così com’è.
La nostra configurazione:
- Server Headscale: 1 EC2 t3.small (~$21/mese)
- Autenticazione: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/mese)
- Totale: circa $42/mese
$1,178 diventano $42. Riduzione del 96 %.
Logto come backbone di autenticazione
Un appunto su Logto, il backbone di autenticazione che usiamo. È una piattaforma di autenticazione open source, self-hostable, con un supporto serio di OAuth 2.0 / OIDC. SSO Google, SSO GitHub, MFA, Organizations, applicazioni M2M: nella self-hosted edition è tutto gratuito.
Per servizi esterni di livello esiste Logto Cloud, ma come backbone unico di autenticazione per i sistemi interni è davvero potente. Il team rilascia nuove versioni con costanza e, personalmente, sono un fan convinto del prodotto.
Punto di design — non cambiare l’IP in uscita
La cosa più importante nella migrazione del VPN era non cambiare l’indirizzo IP pubblico. I nostri clienti hanno i nostri IP nelle whitelist dei firewall; cambiarli sarebbe stato un disastro.
Soluzione: abbiamo collocato Headscale dietro il NAT Gateway esistente. Il traffico del VPN continua a uscire attraverso lo stesso NAT Gateway, quindi l’IP sorgente non cambia.
Un mese di dogfooding
Una volta pronto, non abbiamo migrato di colpo tutta l’azienda: abbiamo fatto un mese pieno di dogfooding.
Per essere onesti, di problemi ce ne sono stati parecchi. Connessioni che cadevano, exit node instabili, alcune macchine che non riuscivano a riconnettersi.
Abbiamo risolto questi punti uno per uno insieme a Claude Code: tuning dei parametri del kernel (ampliamento dei buffer UDP, regolazione dei timeout di conntrack), allestimento di un nostro server relay DERP, formalizzazione delle procedure operative per la gestione dei nodi.
C’è ancora margine di miglioramento, ma allo stato attuale gira in modo stabile nell’ambiente di sviluppo.
Performance
Abbiamo verificato anche le performance.
- Inizialmente: 11-14 Mbps (tramite relay DERP pubblico)
- Dopo il nostro DERP: 106-134 Mbps
Siamo allo stesso livello, se non meglio, di AWS Client VPN.
Verifica degli effetti su Cost Explorer
Eseguire gli interventi non basta: abbiamo sempre verificato l’effetto su AWS Cost Explorer, anche qui facendo guidare la CLI da Claude Code.
Una scoperta: il passaggio a Fargate Spot è difficile da vedere con i filtri standard di Cost Explorer. Lo sconto Spot finisce sepolto dentro la voce Fargate, bisogna andarlo a cercare apposta. Anche questi casi del tipo «abbiamo fatto l’intervento ma l’effetto non si vede» Claude Code li può scavare per te.
In chiusura
La struttura dei costi nell’era dell’IA sta cambiando. Spuntano nuove voci come Claude Code, ma proprio questi stessi strumenti possono essere puntati sull’ottimizzazione dei costi infrastrutturali.
Nel nostro caso Claude Code ha sì aumentato i costi, ma lo stesso Claude Code ha fatto risparmiare molto di più sui costi AWS. Si investe in IA e l’IA ripaga: questo ciclo sta iniziando a girare bene.
Quello che ho imparato soprattutto in questa tornata è l’importanza di rendere visibile il quadro completo per prima cosa. Andare in 19 account a mano non è realistico. Solo perché Claude Code aveva in mano l’AWS CLI e poteva fare scansioni trasversali, sono saltate fuori cose come «davvero il VPN ci costava così tanto?».
Forse anche nel vostro ambiente AWS dorme ancora qualche odore di costo che nessuno ha notato.
Stavolta mi sono concentrato sulla migrazione del VPN; se vi interessano gli altri interventi, posso volentieri farne articoli dedicati. Fatemi sapere nei commenti che cosa vorreste leggere.
Masaki Kondo — CEO di Guide Inc. Vietnam https://koedesk.app