Cum am redus factura lunară AWS cu aproximativ $5,000 datorită Claude Code
Introducere
Cu Claude Code am redus factura lunară AWS cu aproximativ $5,000. În contextul actual al unui yen slab, multe companii de dezvoltare software se confruntă cu costurile AWS. Sper că exemplul nostru va fi util.
| Acțiune | Economie/lună |
|---|---|
| Migrare AWS Client VPN → Headscale VPN (incl. Private CA) | $1,178 |
| Curățarea Private CA și optimizarea cheilor de criptare | $2,300 |
| Oprirea nocturnă și de weekend a ECS în mediile de dezvoltare | $988 |
| Achiziție RDS Reserved Instance | $811 |
| Consolidare NAT Gateway | $267 |
| Trecere la Fargate Spot | $263 |
| Altele (S3 lifecycle etc.) | $78 |
| Total | $5,885 |
Suntem o companie de dezvoltare software cu aproximativ 50 de oameni în Vietnam și Japonia. Structura noastră de costuri e simplă — cele mai mari poziții sunt salariile și costurile cu serverele AWS. Cele două categorii formează cea mai mare parte a cheltuielilor.
Recent a apărut și un cost nou: instrumentele de tip AI agent, în frunte cu Claude Code.
În companie am adoptat Claude Code serios pentru eficiență. La momentul respectiv, un loc premium în Team Plan costa în jur de $150/lună per persoană. Dacă întindem asta pe toată firma, devine deja o sumă consistentă.
Adopția AI pentru creșterea productivității e o decizie corectă. Dar dacă apar costuri noi, trebuie să revizuiești costurile existente pentru a păstra echilibrul. Ca firmă de software, realist vorbind, putem revizui doar salariile și serverele.
Așa că ne-am apucat să optimizăm costurile AWS.
Lăsăm Claude Code să „adulmece” mirosul de cost
Interesant e că și revizuirea costurilor i-am lăsat-o tot Claude Code.
În companie, Claude Code are un „skill” pentru AWS CLI. Configurare profile AWS, autentificare SSO, rulare comenzi CLI — Claude Code le face autonom.
Primul lucru pe care l-am făcut: i-am cerut să scaneze transversal toate cele 19 conturi AWS. Ce infrastructură rulează în fiecare cont și cât costă. Și unde apar elemente care „miros” — care par suspecte.
În urma auditului au ieșit la iveală câteva puncte clare de îmbunătățit. Lucruri care, fiind medii de dezvoltare, pot fi optimizate. Resurse pur și simplu uitate și nefolosite. Lucruri unde o singură setare aduce economii mari. Le-am tăiat pe rând, una câte una.
Imaginea de ansamblu a acțiunilor
Punctul de plecare: $30,398/lună în decembrie 2025. Între sfârșitul lui 2025 și sfârșitul lui martie 2026 am implementat treptat acțiunile. Unele (eliminarea VPN-ului, ștergerea Private CA etc.) se vor reflecta integral abia din aprilie; când totul va fi în vigoare, anticipăm o economie de aproximativ $5,000–$6,000/lună față de baza din decembrie.
Pe scurt:
1. Oprire nocturnă și de weekend a ECS în dezvoltare (-$988/lună)
Am configurat 55 de servicii ECS din mediile de dezvoltare să se oprească automat noaptea și în weekend. Le foloseam doar în timpul programului, dar rulau 24/7. Lucru evident, dar surprinzător de ușor de scăpat din vedere.
2. Migrare AWS Client VPN → Headscale VPN (-$1,178/lună)
Detalii mai jos. Cea mai interesantă acțiune din serie.
3. Curățarea Private CA și optimizarea cheilor de criptare (-$2,300/lună)
Odată cu eliminarea AWS App Mesh, Private CA a devenit inutil și l-am șters. În paralel, am reanalizat modul de gestionare a cheilor de criptare și am echilibrat costurile cu cerințele de securitate.
4. Achiziție RDS Reserved Instance (-$811/lună)
Am cumpărat dintr-o singură mișcare RI pentru 5 instanțe (dev/staging/prod). Investiție inițială de $10,675, reducere de 44%. Recuperare în aproximativ 11 luni.
5. Trecere la Fargate Spot Instance (-$263/lună)
Serviciile ECS din mediul de dezvoltare au fost mutate pe Fargate Spot. Într-un mediu de dezvoltare, riscul de întrerupere Spot e acceptabil.
6. Consolidare NAT Gateway (-$267/lună)
Pe 3 conturi am consolidat câte 3 NAT Gateway într-unul singur. Am monitorizat 7 zile traficul prin AZ-urile neutilizate și, când a fost zero, le-am șters.
Povestea migrării VPN — de la $1,178/lună la $42/lună
Cea mai amuzantă acțiune a fost migrarea VPN-ului.
Folosim VPN pentru accesul la mediile de dezvoltare ale clienților. Inițial am avut AWS Client VPN. Dar costul lui era mai mare decât anticipasem.
- AWS Client VPN (4 endpoint-uri): $776/lună
- AWS Private CA (autoritate de certificare): $402/lună
- Total: $1,178/lună
Sincer, nu credeam că VPN-ul ne costă atât. A fost una dintre pozițiile descoperite abia după auditul Claude Code.
Opțiunea: Headscale
Ca alternativă am ales Headscale. Un server de control open-source compatibil cu Tailscale; pe partea de client poate fi folosit Tailscale standard.
Arhitectura:
- Server Headscale: 1× EC2 t3.small (~$21/lună)
- Autentificare: Logto Self-Hosted (OIDC, 1× EC2 t3.small, ~$21/lună)
- Total: aproximativ $42/lună
$1,178 devin $42. O reducere de 96%.
Logto ca platformă de autentificare
Câteva cuvinte despre platforma de autentificare Logto. E o soluție OSS, self-hostabilă, cu OAuth 2.0 / OIDC bine acoperit. Google SSO, GitHub SSO, MFA, Organizations, aplicații M2M — în versiunea self-host, toate gratuit.
Pentru servicii externe serioase există și Logto Cloud, dar ca platformă internă unitară de autentificare, Logto e remarcabil de puternică. Echipa de dezvoltare o avansează constant; personal o susțin foarte mult.
Punctul cheie de design — să nu se schimbe adresa IP
La migrarea VPN-ului, cel mai important a fost să nu se schimbe adresele IP publice. IP-urile noastre sunt în whitelist-ul firewall-urilor clienților; o schimbare ar crea probleme mari.
Soluția: am plasat Headscale în spatele NAT Gateway-ului existent. Traficul prin VPN iese prin același NAT Gateway, deci IP-ul sursă rămâne neschimbat.
O lună de dogfooding
După construcție, n-am trecut imediat toată compania. Am introdus o lună de dogfooding.
Sincer, problemele au fost destule. Conexiunea cădea, Exit Node-ul era instabil, anumite dispozitive nu reușeau să se reconecteze.
Fiecare dintre aceste probleme a fost rezolvată împreună cu Claude Code. Tuning de parametri de kernel (mărirea bufferelor UDP, ajustarea timeout-urilor conntrack), construirea propriului server DERP relay, formalizarea procedurilor operaționale pentru managementul nodurilor și altele.
Mai sunt provocări, dar în prezent funcționează stabil în mediile de dezvoltare.
Performanță
Am verificat și performanța.
- La început: 11–14 Mbps (DERP relay public)
- După construirea propriului DERP: 106–134 Mbps
Viteze cel puțin la nivelul AWS Client VPN.
Verificarea efectului în Cost Explorer
N-am lăsat acțiunile fără verificare — am validat întotdeauna efectul în AWS Cost Explorer. Și aici tot Claude Code ne-a asistat prin CLI.
De exemplu, migrarea la Fargate Spot e greu de văzut cu filtrele standard din Cost Explorer. Reducerea Spot e ascunsă în categoria Fargate, deci necesită verificare separată. Acest gen de problemă „am făcut-o, dar efectul nu se vede” a fost și el dezgropat cu ajutorul Claude Code.
La final
Structura costurilor în era AI se schimbă. Pe de o parte apar costuri noi pentru instrumente precum Claude Code; pe de altă parte, aceleași instrumente pot fi folosite pentru optimizarea costurilor de infrastructură.
În cazul nostru, costul Claude Code chiar a crescut, însă Claude Code în sine ne-a adus o economie AWS mai mare decât propriul cost. Investești în AI, AI-ul își acoperă singur cheltuiala — acest ciclu a început să se învârtă bine la noi.
O lecție clară din această experiență: „mai întâi vizualizează ansamblul”. Să parcurgi manual 19 conturi e nerealist. Tocmai pentru că Claude Code, înarmat cu AWS CLI, a făcut o scanare transversală, am putut descoperi un lucru ca VPN-ul — „atât a costat?”.
Probabil și în mediul vostru AWS dorm încă mirosuri de cost pe care nu le-ați observat.
De data asta am vorbit mai ales despre migrarea VPN, dar dacă există interes, scriu cu plăcere articole separate și despre celelalte acțiuni. Dacă vă interesează ceva anume, lăsați liniștiți un comentariu.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app