Jak dzięki Claude Code zmniejszyliśmy miesięczny rachunek AWS o około $5,000
Wstęp
Dzięki Claude Code zmniejszyliśmy miesięczny rachunek AWS o około $5,000. W czasach słabego jena wiele firm software’owych martwi się o koszty AWS. Mam nadzieję, że nasz przypadek będzie pomocny.
| Działanie | Oszczędność/mies. |
|---|---|
| Migracja AWS Client VPN → Headscale VPN (wraz z Private CA) | $1,178 |
| Uporządkowanie Private CA i optymalizacja kluczy szyfrujących | $2,300 |
| Nocne i weekendowe wyłączanie ECS w środowiskach deweloperskich | $988 |
| Zakup RDS Reserved Instance | $811 |
| Konsolidacja NAT Gateway | $267 |
| Migracja na Fargate Spot | $263 |
| Pozostałe (cykl życia S3 itp.) | $78 |
| Razem | $5,885 |
Jesteśmy firmą software’ową zatrudniającą około 50 osób w Wietnamie i Japonii. Nasza struktura kosztów jest prosta — duże pozycje to pensje i serwery AWS. Te dwie kategorie stanowią większość wydatków.
Ostatnio doszedł nowy koszt: narzędzia z rodziny agentów AI, na czele z Claude Code.
W naszej firmie wdrożyliśmy Claude Code na poważnie, aby zwiększyć efektywność pracy. Wówczas miejsce premium w Team Plan kosztowało około $150/miesiąc na osobę. Przy wdrożeniu w całej firmie to już całkiem solidna kwota.
Wdrożenie narzędzi AI w celu zwiększenia produktywności — uważam, że to słuszna decyzja. Ale jeśli pojawia się nowy koszt, trzeba zrównoważyć go przeglądem dotychczasowych. Jako firma software’owa mamy do przeglądu tak naprawdę tylko dwie kategorie: pensje i serwery.
Dlatego zabraliśmy się za optymalizację kosztów AWS.
Niech Claude Code wywęszy „zapaszki” kosztowe
Co ciekawe, sam ten przegląd kosztów też zleciliśmy Claude Code.
W firmie wyposażyliśmy Claude Code w „umiejętność” obsługi AWS CLI. Konfiguracja profili AWS, autoryzacja przez SSO, wykonywanie różnych komend CLI — Claude Code potrafi to wszystko robić autonomicznie.
Pierwsze, co zrobiliśmy, to puściliśmy go z przekrojowym skanowaniem 19 naszych kont AWS. Jaka infrastruktura na nich działa, ile kosztuje. I gdzie są pozycje, które „pachną” podejrzanie.
W wyniku audytu wyszło kilka jasnych obszarów do poprawy. Coś, co można było zoptymalizować, bo to środowisko developerskie. Niewykorzystywane zasoby, które ktoś po prostu zostawił. Coś, co jednym ustawieniem da ogromne oszczędności. Krok po kroku rozpracowaliśmy każdą z tych pozycji.
Pełny obraz oszczędności
Linia bazowa to $30,398/miesiąc w grudniu 2025. Między końcem 2025 a końcem marca 2026 stopniowo wdrażaliśmy poszczególne działania. Pełny efekt części z nich (likwidacja VPN, usunięcie Private CA itd.) widoczny będzie dopiero od kwietnia, więc gdy wszystko zadziała, oczekujemy oszczędności rzędu $5,000–$6,000/miesiąc względem grudniowej bazy.
W skrócie:
1. Nocne i weekendowe wyłączanie ECS w środowiskach dev (-$988/mies.)
55 serwisów ECS w środowiskach deweloperskich konfigurowanych tak, by automatycznie wyłączały się w nocy i w weekendy. Korzystaliśmy z nich tylko w godzinach pracy, ale działały 24/7. Oczywista rzecz, a często przeoczana.
2. Migracja AWS Client VPN → Headscale VPN (-$1,178/mies.)
Szczegóły poniżej. To najciekawsze z naszych działań.
3. Uporządkowanie Private CA i optymalizacja kluczy szyfrujących (-$2,300/mies.)
Po likwidacji AWS App Mesh Private CA stał się zbędny i go usunęliśmy. Dodatkowo przejrzeliśmy zarządzanie kluczami szyfrującymi i zrównoważyliśmy koszty z wymaganiami bezpieczeństwa.
4. Zakup RDS Reserved Instance (-$811/mies.)
Jednorazowy zakup RI dla 5 instancji łącznie (dev/staging/prod). Inwestycja $10,675 z góry, rabat 44%. Zwrot w około 11 miesięcy.
5. Migracja na Fargate Spot Instance (-$263/mies.)
Serwisy ECS w środowiskach dev przełączyliśmy na Fargate Spot. W środowiskach deweloperskich ryzyko przerwania Spot jest akceptowalne.
6. Konsolidacja NAT Gateway (-$267/mies.)
Na 3 kontach skonsolidowaliśmy po 3 NAT Gateway w 1. Przez 7 dni monitorowaliśmy ruch w nieużywanych AZ — gdy okazał się zerowy, usuwaliśmy.
Historia migracji VPN — z $1,178/mies. do $42/mies.
Najciekawszym z działań była migracja VPN.
Używamy VPN do dostępu do środowisk klienckich. Wcześniej korzystaliśmy z AWS Client VPN. Ale jego koszt okazał się większy, niż się spodziewałem.
- AWS Client VPN (4 endpointy): $776/mies.
- AWS Private CA (urząd certyfikacji): $402/mies.
- Razem: $1,178/mies.
Szczerze — nie sądziłem, że VPN tyle kosztuje. To była jedna z pozycji odkrytych dopiero przez audyt Claude Code.
Wybór: Headscale
Jako alternatywę wybraliśmy Headscale. To open-source’owy serwer sterujący zgodny z Tailscale; po stronie klienta używamy bez zmian klienta Tailscale.
Architektura:
- Serwer Headscale: 1× EC2 t3.small (~$21/mies.)
- Uwierzytelnianie: Logto Self-Hosted (OIDC, 1× EC2 t3.small, ~$21/mies.)
- Razem: około $42/mies.
$1,178 zmienia się w $42. Redukcja o 96%.
Logto jako platforma uwierzytelniania
Słowo o platformie uwierzytelniania Logto. To OSS-owe, samodzielnie hostowane rozwiązanie z solidnym OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, aplikacje M2M — wszystko to w wersji self-hosted jest za darmo.
Dla typowych usług zewnętrznych jest też Logto Cloud, ale jako wewnętrzna platforma uwierzytelniania Logto jest naprawdę mocne. Zespół rozwija produkt w solidnym tempie i osobiście bardzo mu kibicuję.
Kluczowy element projektowy — niezmienność adresu IP
Najważniejsze przy migracji VPN było niezmienienie publicznego adresu IP. Nasze adresy IP są wpisane do white-listy firewalli klientów; ich zmiana to spore zamieszanie.
Rozwiązanie: umieściliśmy Headscale za NAT Gateway. Ruch przez VPN wychodzi przez istniejący NAT Gateway, więc źródłowy IP się nie zmienia.
Miesiąc dogfoodingu
Po wdrożeniu nie przełączyliśmy od razu całej firmy. Wprowadziliśmy miesiąc dogfoodingu.
Powiem szczerze: problemów było sporo. Rozłączenia, niestabilność Exit Node, niemożność ponownego połączenia z konkretnych urządzeń.
Każdy z tych problemów rozwiązywaliśmy z Claude Code. Tuning parametrów kernela (powiększenie buforów UDP, dostosowanie timeoutów conntrack), własny serwer DERP relay, procedury operacyjne zarządzania węzłami i tak dalej.
Zostały jeszcze wyzwania, ale na ten moment środowiska deweloperskie działają stabilnie.
Wydajność
Sprawdziliśmy też wydajność.
- Początkowo: 11–14 Mbps (publiczny DERP relay)
- Po wdrożeniu własnego DERP: 106–134 Mbps
Prędkości na poziomie AWS Client VPN albo lepszym.
Weryfikacja efektów w Cost Explorer
Działania nie kończą się na wdrożeniu — efekty zawsze weryfikowaliśmy w AWS Cost Explorer. Tu też pomagał nam Claude Code przez CLI.
Na przykład migrację na Fargate Spot trudno zobaczyć w standardowych filtrach Cost Explorer. Zniżka Spot kryje się w pozycji Fargate — trzeba szukać osobno. Takie „zrobiliśmy, ale efektu nie widać” problemy też daliśmy do rozgryzienia Claude Code.
Na koniec
Struktura kosztów ery AI się zmienia. Z jednej strony dochodzą koszty narzędzi typu Claude Code, z drugiej strony same te narzędzia służą do optymalizacji kosztów infrastruktury.
W naszym przypadku koszt wdrożenia Claude Code rzeczywiście wzrósł, ale Claude Code sam wygenerował większe niż jego cena oszczędności na AWS. Zainwestować w AI, AI-em zwracać sobie koszty — ten obieg zaczął się u nas kręcić.
Z tego doświadczenia płynie jeden wniosek: „najpierw zwizualizuj całość”. Ręczne przejrzenie 19 kont jest po prostu niewykonalne. Tylko dzięki temu, że Claude Code z AWS CLI zrobił przekrojowe skanowanie, mogliśmy odkryć rzeczy takie jak VPN — „aż tyle to kosztowało?”.
W Waszym środowisku AWS pewnie też drzemią koszty, których jeszcze nie dostrzegliście.
Dziś skupiłem się głównie na migracji VPN, ale chętnie napiszę osobne artykuły o pozostałych działaniach, jeśli będzie zainteresowanie. Jeśli coś Was szczególnie ciekawi, dajcie znać w komentarzu.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app