Kisah memangkas kira-kira $5,000 sebulan kos AWS berkat Claude Code
Pendahuluan
Saya berjaya memangkas kira-kira $5,000 sebulan dari kos AWS berkat Claude Code. Dalam keadaan yen yang lemah seperti sekarang, saya yakin banyak syarikat pembangunan sistem yang turut bertarung dengan bil AWS. Semoga kisah syarikat kami ini dapat dijadikan rujukan.
| Inisiatif | Penjimatan/bln |
|---|---|
| Migrasi AWS Client VPN → Headscale VPN (termasuk Private CA) | $1,178 |
| Perapian Private CA dan pengoptimuman kunci penyulitan | $2,300 |
| Mematikan ECS persekitaran dev pada waktu malam dan hujung minggu | $988 |
| Pembelian RDS Reserved Instance | $811 |
| Penyatuan NAT Gateway | $267 |
| Migrasi ke Fargate Spot | $263 |
| Lain-lain (S3 lifecycle, dsb.) | $78 |
| Jumlah | $5,885 |
Syarikat kami ialah syarikat pembangunan sistem dengan lebih kurang 50 kakitangan di Vietnam dan Jepun. Struktur kosnya mudah: yang besar ialah kos buruh dan kos pelayan AWS. Dua perkara ini menyerap sebahagian besar perbelanjaan.
Kemudian baru-baru ini, satu lagi kos baru menyertai senarai: kos untuk alat AI agent seperti Claude Code.
Syarikat kami telah memperkenalkan Claude Code secara serius demi pengoptimuman kerja. Ketika itu, kerusi premium Team Plan sekitar $150 sebulan per orang. Untuk diperluas ke seluruh syarikat, jumlahnya tidak kecil.
Memperkenalkan alat AI untuk meningkatkan produktiviti — pada saya itu satu keputusan yang betul. Namun jika ada kos baru, kos sedia ada perlu disemak semula untuk mengekalkan keseimbangan. Sebagai syarikat pembangunan sistem, yang boleh dirombak hanyalah kos buruh dan kos pelayan.
Maka, saya memutuskan untuk menumpukan perhatian kepada pengoptimuman kos AWS.
Membiarkan Claude Code menghidu “bau” kos
Yang menarik, semakan kos ini sendiri pun saya serahkan kepada Claude Code.
Di syarikat kami, Claude Code telah dilengkapi skill AWS CLI. Daripada tetapan profile AWS, pengesahan SSO, hingga menjalankan pelbagai arahan CLI — semuanya boleh dilakukan oleh Claude Code secara autonomi.
Perkara pertama yang saya lakukan ialah mengimbas 19 akaun AWS secara menyeluruh. Apa infrastruktur yang sedang berjalan di setiap akaun, dan berapa kosnya. Kemudian, mana yang berbau pelik dari segi kos.
Daripada hasil yang Claude Code keluarkan, beberapa titik penambahbaikan yang jelas mula kelihatan. Ada yang khusus boleh dioptimumkan kerana ia persekitaran dev, ada sumber yang sebenarnya tidak perlu tetapi dibiarkan, ada yang cukup satu tetapan sahaja untuk pengurangan besar. Saya selidik satu demi satu, kemudian selesaikan.
Gambaran keseluruhan inisiatif pemangkasan
Garis dasarnya ialah $30,398 sebulan pada Disember 2025. Dari penghujung 2025 hingga akhir Mac 2026, saya melaksanakan setiap inisiatif secara berperingkat. Beberapa inisiatif seperti pembatalan VPN dan pemadaman Private CA hanya terpapar sepenuhnya mulai April, jadi apabila semuanya berkesan, dijangka memangkas kira-kira $5,000 hingga $6,000 sebulan dari garis dasar Disember.
Berikut ringkasan pendek inisiatif utama.
1. Mematikan ECS dev pada waktu malam dan hujung minggu (-$988/bln)
Saya buat agar 55 ECS service di persekitaran dev dimatikan secara automatik pada waktu malam dan hujung minggu. Persekitaran dev hanya digunakan dalam waktu pejabat, tetapi sebelum ini ia berjalan 24 jam 365 hari. Perkara asas, tetapi mengejutkan sekali ia kerap terlepas pandang.
2. Migrasi AWS Client VPN → Headscale VPN (-$1,178/bln)
Akan dihuraikan dengan lebih lanjut di bawah. Ini inisiatif yang paling menarik.
3. Perapian Private CA dan pengoptimuman kunci penyulitan (-$2,300/bln)
Berikutan AWS App Mesh ditamatkan, Private CA juga sudah tidak perlu lagi lantas dipadam. Selain itu, saya juga menyemak semula cara pengurusan kunci penyulitan, lalu mengoptimumkan keseimbangan antara kos dan keperluan keselamatan.
4. Pembelian RDS Reserved Instance (-$811/bln)
Membeli RI sekali gus untuk jumlah 5 instance dev/staging/prod. Pelaburan awal $10,675 dengan kadar diskaun 44%. Mengikut pengiraan, modal akan pulang dalam masa kira-kira 11 bulan.
5. Migrasi ke Fargate Spot Instance (-$263/bln)
Saya menukar ECS service persekitaran dev kepada Fargate Spot. Untuk persekitaran dev, risiko gangguan Spot instance masih boleh diterima.
6. Penyatuan NAT Gateway (-$267/bln)
Pada 3 akaun, masing-masing mempunyai 3 NAT Gateway, saya satukan menjadi 1. Sebelum memadam, saya memantau trafik AZ yang tidak digunakan selama 7 hari, mengesahkan ia sifar, kemudian baru padamkannya.
Kisah migrasi VPN — Dari $1,178/bln kepada $42/bln
Inisiatif yang paling menarik antara semua ialah migrasi VPN.
Syarikat kami menggunakan VPN untuk mengakses persekitaran dev pelanggan. Pada asalnya kami menggunakan AWS Client VPN. Namun kos Client VPN ini ternyata jauh lebih tinggi daripada yang saya bayangkan.
- AWS Client VPN (4 endpoint): $776 sebulan
- AWS Private CA (CA pengeluar sijil): $402 sebulan
- Jumlah: $1,178 sebulan
Sejujurnya, saya tidak menyangka VPN boleh memakan kos sebesar itu. Ini salah satu pos yang baru saya sedari selepas Claude Code memeriksa kos.
Pilihan bernama Headscale
Sebagai pengganti, saya memilih Headscale. Ia adalah pelayan kawalan sumber terbuka untuk Tailscale; di pihak klien kita masih boleh menggunakan Tailscale seperti biasa.
Konfigurasinya seperti berikut:
- Pelayan Headscale: 1 EC2 t3.small (~$21 sebulan)
- Pengesahan: Logto Self-Hosted (pengesahan OIDC, 1 EC2 t3.small, ~$21 sebulan)
- Jumlah: kira-kira $42 sebulan
Daripada $1,178 menjadi $42. Pengurangan 96%.
Logto sebagai asas pengesahan
Saya juga ingin sentuh sedikit tentang Logto yang saya gunakan untuk pengesahan. Ia merupakan asas pengesahan OSS yang boleh di-self-host, dengan OAuth 2.0 / OIDC yang lengkap. Google SSO, GitHub SSO, MFA, Organizations, aplikasi M2M — semuanya percuma dalam versi self-host.
Untuk perkhidmatan luaran yang serius ada pilihan Logto Cloud, tetapi untuk berdiri sebagai asas pengesahan sistem dalaman, Logto sangat kuat. Pasukan pembangunannya juga rajin mengeluarkan kemas kini, dan secara peribadi saya benar-benar menyokong produk ini.
Titik reka bentuk — Jangan ubah alamat IP
Perkara yang paling saya jaga semasa migrasi VPN ialah jangan ubah alamat IP yang didedahkan kepada dunia luar. Tembok api pelanggan telah memasukkan IP kami ke dalam whitelist, jadi jika ia berubah keadaan akan menjadi haru-biru.
Sebagai penyelesaian, saya meletakkan Headscale di bawah NAT Gateway. Trafik melalui VPN tetap keluar melalui NAT Gateway yang sedia ada, jadi alamat IP sumber tidak berubah.
Dogfooding selama sebulan
Setelah selesai dibina, saya tidak terus mengalihkan seluruh syarikat, sebaliknya menyediakan tempoh dogfooding selama sebulan.
Sejujurnya, masalahnya agak banyak. Sambungan terputus, Exit Node tidak stabil, peranti tertentu tidak boleh bersambung semula — bermacam-macam masalah timbul.
Masalah-masalah ini juga saya selesaikan satu demi satu bersama Claude Code. Penalaan parameter kernel (memperbesar buffer UDP, menyelaras timeout conntrack), membina pelayan DERP relay sendiri, menyusun prosedur operasi pengurusan node, dan sebagainya.
Masih banyak yang perlu dipertingkatkan, tetapi pada masa kini ia sudah berjalan stabil di persekitaran dev.
Aspek prestasi
Saya juga mengesahkan prestasinya.
- Awal: 11–14 Mbps (melalui public DERP relay)
- Selepas DERP sendiri: 106–134 Mbps
Kelajuannya setara atau melebihi AWS Client VPN.
Pengesahan kesan dengan Cost Explorer
Tidak cukup dengan hanya melaksanakan inisiatif — saya juga mengesahkan kesannya menggunakan AWS Cost Explorer. Bahagian ini turut saya minta Claude Code lakukan melalui CLI.
Sebagai contoh, migrasi ke Fargate Spot rupa-rupanya sukar dilihat melalui penapis Cost Explorer. Diskaun Spot tersembunyi di dalam item Fargate, jadi pemeriksaan berasingan diperlukan. Masalah seperti “katanya sudah dilakukan tetapi kesannya tidak kelihatan” juga dapat diselesaikan dengan meminta Claude Code menyiasat lebih mendalam.
Penutup
Struktur kos di era AI sedang berubah. Di satu pihak, kos baru muncul untuk alat seperti Claude Code, di pihak yang lain, alat itu sendiri boleh digunakan untuk mengoptimumkan kos infrastruktur.
Dalam kes syarikat kami, kos perkenalan Claude Code memang meningkat, tetapi Claude Code sendiri membantu memangkas kos AWS lebih besar daripada itu. Melabur dalam AI, kemudian menutup kosnya dengan AI — kitaran ini sudah mula berputar dengan baik.
Yang saya pelajari daripada usaha ini ialah pentingnya “memvisualkan keseluruhan terlebih dahulu”. Menyiasat 19 akaun secara manual tidaklah realistik. Kerana Claude Code dilengkapi AWS CLI dan diminta mengimbas merentas akaun, barulah penemuan seperti VPN — “rupa-rupanya sebanyak ini” — itu boleh berlaku.
Mungkin di persekitaran AWS anda juga ada “bau” kos yang anda belum sedari, masih tersembunyi di sana.
Kali ini saya bercerita banyak tentang migrasi VPN, tetapi jika ada permintaan, saya akan menulis artikel berasingan untuk inisiatif yang lain. Jika ada yang menarik perhatian anda, jangan segan-segan tinggalkan komen.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app