Како со Claude Code ја намаливме месечната сметка за AWS за околу $5,000
Вовед
Со помош на Claude Code ја намаливме месечната сметка за AWS за околу $5,000. Во денешните времиња на слаб јен, верувам дека многу софтверски компании се борат со трошоците за AWS. Се надевам нашиот случај ќе ви биде од корист.
| Мерка | Месечна заштеда |
|---|---|
| Премин од AWS Client VPN кон Headscale VPN (вклучително Private CA) | $1,178 |
| Чистење на Private CA и оптимизација на криптографските клучеви | $2,300 |
| Ноќно и викенд гасење на ECS во дев опкружувањето | $988 |
| Купување на RDS Reserved Instances | $811 |
| Консолидација на NAT Gateway | $267 |
| Премин кон Fargate Spot | $263 |
| Друго (S3 lifecycle итн.) | $78 |
| Вкупно | $5,885 |
Ние сме софтверска компанија со околу 50 вработени во Виетнам и Јапонија. Структурата на трошоците е едноставна: доминираат платите и AWS серверите. Овие две ставки го прават најголемиот дел од расходите.
Туку, неодамна се појави нов трошок — алатките за AI агенти, со Claude Code на чело.
За зголемување на ефикасноста го воведовме Claude Code на сериозно ниво. Тогаш premium седиштето во Team Plan чинеше околу $150 месечно по лице. Распослано на целата компанија, само тоа станува сериозна сума.
Воведување на AI алатки заради поголема продуктивност — мислам дека самата одлука е правилна. Но штом додаваме нов трошок, мора да ги преиспитаме и старите за да се одржи рамнотежа. Како софтверска компанија, реално можеме да преиспитаме само плати и сметка за сервери.
Затоа се зафативме со оптимизација на трошоците за AWS.
Дозволивме Claude Code да го намириса „smell-от” на трошокот
Интересно е тоа што и самиот преглед на трошоците му го доверивме на Claude Code.
Во компанијата му дадовме на Claude Code вештина за AWS CLI. Поставување на профили, SSO автентификација, извршување на разни CLI команди — Claude Code тоа го прави автономно.
Првото што го направивме беше да го пуштиме да ги скенира сите 19 AWS сметки попречно. Каква инфраструктура работи на секоја сметка, колку чини и дали некаде нешто „смрди” од трошочна страна.
Како резултат, Claude Code извлече неколку јасни точки за подобрување. Работи карактеристични за дев опкружувањето, излишни ресурси што стојат, поставки што со едно превклучување носат голема разлика. Тие ги обработувавме една по една.
Општа слика на мерките
Основната линија беше $30,398 месечно во декември 2025. Мерките ги изведувавме редум од крајот на 2025 до крајот на март 2026. Бидејќи укинувањето на VPN-от и бришењето на Private CA ќе го дадат полниот ефект дури од април, кога сè ќе работи во полна сила, очекуваме месечна заштеда од околу $5,000–6.000 во однос на декемвриската основа.
Кратко за главните мерки.
1. Ноќно и викенд гасење на ECS во дев (−$988/мес.)
За 55 ECS услуги во дев опкружувањето поставивме автоматско гасење ноќе и за викенди. Дев опкружувањето се користи само во работно време, а работеше 24/7. Звучи очигледно, но често се пропушта.
2. Премин од AWS Client VPN кон Headscale VPN (−$1,178/мес.)
Подолу има посебна секција. Тоа е најинтересната мерка.
3. Чистење на Private CA и оптимизација на криптографските клучеви (−$2,300/мес.)
По укинувањето на AWS App Mesh, Private CA веќе не ни беше потребен и го избришавме. Дополнително, го преразгледавме начинот на управување со криптографските клучеви и ја урамнотеживме цената и безбедносните барања.
4. Купување на RDS Reserved Instances (−$811/мес.)
Купивме одеднаш RI за вкупно 5 инстанци во дев, staging и продукција. Почетна инвестиција $10,675, попуст 44%. По пресметка, се враќа за околу 11 месеци.
5. Премин кон Fargate Spot (−$263/мес.)
ECS услугите во дев опкружувањето ги префрливме на Fargate Spot. За дев опкружување ризикот од прекин на Spot инстанца е прифатлив.
6. Консолидација на NAT Gateway (−$267/мес.)
Во 3 сметки, по 3 NAT Gateway-и ги обединивме во по 1. Сообраќајот во неискористените AZ-и го следевме 7 дена и, дури по потврда дека е нула, ги бришевме.
Приказната за миграцијата на VPN — од $1,178/мес. кон $42/мес.
Најинтересна мерка беше миграцијата на VPN.
Кај нас, пристапот до дев опкружувањата на клиентите се одвиваше преку VPN. Првично користевме AWS Client VPN. Се покажа дека трошокот за Client VPN беше поголем отколку што мислевме.
- AWS Client VPN (4 endpoint): $776/мес.
- AWS Private CA (CA за сертификати): $402/мес.
- Вкупно: $1,178/мес.
Искрено, не претпоставував дека VPN ни чини толку. Тоа е една од ставките што ги откривме дури откако Claude Code го пушти прегледот.
Опцијата Headscale
За алтернатива го избравме Headscale. Open source верзија на контролниот сервер за Tailscale, додека на клиентската страна се користи Tailscale.
Конфигурацијата изгледа вака:
- Headscale сервер: 1 EC2 t3.small (~$21/мес.)
- Автентификација: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/мес.)
- Вкупно: околу $42/мес.
$1,178 стана $42. Намалување од 96%.
Logto како платформа за автентификација
Ќе спомнам и за Logto што го користиме за автентификација. Open source платформа за автентификација што може да се self-host-ира, со сосема развиена поддршка за OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, M2M апликации — сето тоа во self-hosted верзијата е бесплатно.
За сериозни услуги кон надвор постои и Logto Cloud, но како самостојна база за автентификација на внатрешни системи е извонредно моќен. Развојниот тим активно го унапредува и лично го имам како многу омилен производ.
Клучен дизајнерски принцип — да не ги менуваме IP адресите
При миграцијата на VPN, најголемата грижа беше јавните IP адреси да останат непроменети. Нашите адреси се впишани во whitelist кај заштитните ѕидови на клиентите; нивно менување би предизвикало вистинска беља.
Решение: Headscale го сместивме зад NAT Gateway. Сообраќајот преку VPN излегува низ постојниот NAT Gateway, па изворните IP адреси остануваат исти.
Еден месец dogfooding
По изградбата, наместо одеднаш да ја пребацуваме целата компанија, воведовме период од еден месец dogfooding.
Искрено, проблеми имаше доста. Конекциите се прекинуваа, Exit Node не беше стабилен, кај одредени уреди не успевавме повторно да се поврземе.
Тие проблеми ги решававме еден по еден, повторно со помош на Claude Code. Подесување на параметрите на кернелот (зголемување на UDP буферот, подесување на conntrack timeout), изградба на сопствен DERP relay сервер, оформување на оперативни процедури за управување со јазли итн.
Има уште работа, но во моментов работи стабилно во дев опкружувањето.
Перформанси
Ги проверивме и перформансите.
- На почеток: 11–14 Mbps (преку јавен DERP relay)
- По сопствен DERP: 106–134 Mbps
Брзините се исти или повисоки од оние со AWS Client VPN.
Проверка на ефектот преку Cost Explorer
Самото изведување на мерката не е крај — ефектот секогаш го проверувавме во AWS Cost Explorer. И тука Claude Code преку CLI ги гледа бројките.
На пример, премин кон Fargate Spot тешко се гледа преку филтрите на Cost Explorer. Spot попустот се „удавува” во ставката Fargate, па е потребна посебна проверка. Проблемот „би требало да се види, а не се гледа” Claude Code исто така успеа да го разреши со подлабока анализа.
На крајот
Структурата на трошоците во ерата на AI се менува. Од една страна се додаваат трошоци за алатки како Claude Code, но од друга, токму тие алатки можат да се користат за оптимизација на инфраструктурните трошоци.
Во нашиот случај, Claude Code навистина донесе дополнителен трошок, но самиот тој оствари заштеди на AWS што го надминуваат повеќекратно. Инвестираш во AI, AI ти го враќа вложеното. Тој циклус кај нас веќе убаво се заврте.
Тоа што го научивме е важноста на „прво целината да се визуализира”. Рачно да се прегледаат 19 сметки е практично невозможно. Токму затоа што му дадовме на Claude Code AWS CLI и го пуштивме да прошета попречно, успеавме да најдеме ставки како VPN-от за кои „толку плаќавме”.
Можеби и во вашата AWS средина дреме некоја непрепознаена „миризба” на трошок.
Овој пат се фокусирав на VPN миграцијата, но ако има интерес, со задоволство ќе напишам посебни текстови и за останатите мерки. Ако ви е интересно нешто, слободно коментирајте.
Masaki Kondo — Guide Inc. Vietnam, CEO https://koedesk.app