Как мы сократили месячный счёт за AWS примерно на $5,000 с помощью Claude Code
Вступление
С помощью Claude Code мы сократили месячный счёт за AWS примерно на $5,000. На фоне нынешнего слабого иены многие IT-компании наверняка ломают голову над тем, как умерить аппетит AWS. Надеюсь, наш кейс окажется полезным.
| Мера | Экономия в месяц |
|---|---|
| Миграция AWS Client VPN → Headscale VPN (включая Private CA) | $1,178 |
| Чистка Private CA и оптимизация ключей шифрования | $2,300 |
| Ночное и выходное отключение ECS в dev-окружениях | $988 |
| Покупка RDS Reserved Instances | $811 |
| Консолидация NAT Gateway | $267 |
| Переход на Fargate Spot | $263 |
| Прочее (S3 lifecycle и т. п.) | $78 |
| Итого | $5,885 |
Мы — IT-компания по разработке, штат которой во Вьетнаме и Японии — около 50 человек. Структура расходов простая: львиная доля — это фонд оплаты труда и счета за серверы AWS. Они и формируют основной отток.
И вот к этому списку недавно добавилась новая статья — расходы на ИИ-агентов, начиная с Claude Code.
У нас Claude Code внедрён по-серьёзному, ради повышения эффективности работы. Premium-место в тогдашнем Team Plan стоило около $150 в месяц на человека. Если разворачивать это на всю компанию, уже одна эта статья выливается в приличную сумму.
Внедрить ИИ-инструменты и поднять продуктивность — само по себе решение правильное. Но если появляются новые затраты, нужно ребалансировать существующие. Мы IT-компания по разработке — пересматривать у нас можно по сути только две вещи: фонд оплаты труда и серверные расходы.
Так что я взялся за оптимизацию затрат на AWS.
Поручаем Claude Code искать «запах» затрат
Любопытно, что и сам этот пересмотр я доверил Claude Code.
У нас Claude Code снабжён навыком работы с AWS CLI. Настройка профилей AWS, авторизация через SSO, выполнение разнообразных CLI-команд — всё это Claude Code умеет делать самостоятельно.
Первым делом я попросил его кросс-сканировать наши 19 AWS-аккаунтов. Какая инфраструктура крутится в каждом из них, сколько денег она ест. И есть ли там что-то с «запахом» — то есть нечто подозрительное по затратам.
В результате Claude Code выявил несколько чётких точек улучшения. Что-то можно было оптимизировать благодаря тому, что это dev-окружения; где-то лежали ресурсы, которые вообще никому не нужны и просто забыты; где-то одной настройкой можно было серьёзно срезать счёт. Эти пункты я перебирал по одному, разбирался и закрывал.
Общая картина мероприятий
Базовая линия — $30,398 в месяц на декабрь 2025 года. В период с конца 2025 года и до конца марта 2026 года меры выкатывались одна за другой. Часть мер — отказ от VPN, удаление Private CA — полностью отразятся в счёте только с апреля, так что в установившемся режиме экономия от декабрьской базы составит примерно $5,000–$6,000 в месяц.
Кратко по ключевым мерам.
1. Ночное и выходное отключение ECS в dev-окружениях (-$988/мес)
Сделали автоматическое отключение 55 ECS-сервисов в dev-окружениях по ночам и в выходные. Dev-окружения нужны только в рабочее время, а гоняли мы их 24/7 365 дней в году. Казалось бы — очевидно, но именно такие вещи и проходят мимо взгляда.
2. Миграция AWS Client VPN → Headscale VPN (-$1,178/мес)
Подробно об этом ниже. Это самое интересное.
3. Чистка Private CA и оптимизация ключей шифрования (-$2,300/мес)
В связи с отказом от AWS App Mesh Private CA стал не нужен, и мы его удалили. Параллельно пересмотрели схему управления ключами шифрования и сбалансировали стоимость с требованиями безопасности.
4. Покупка RDS Reserved Instances (-$811/мес)
Купили оптом RI на 5 инстансов — dev, staging и production вместе взятые. Предоплата $10,675, скидка 44%. По расчётам окупается примерно за 11 месяцев.
5. Переход на Fargate Spot (-$263/мес)
Перевели ECS-сервисы dev-окружения на Fargate Spot. В dev-окружении риск прерывания Spot-инстанса вполне допустим.
6. Консолидация NAT Gateway (-$267/мес)
В трёх аккаунтах три NAT Gateway свели каждое к одному. 7 дней мониторили трафик в неиспользуемых AZ, убедились, что он нулевой — и снесли.
История с миграцией VPN — $1,178/мес превратились в $42/мес
Самым интересным во всём этом наборе была миграция VPN.
Доступ наших инженеров к dev-окружениям клиентов идёт через VPN. Изначально использовался AWS Client VPN. И вдруг выяснилось, что обходится он нам существенно дороже, чем мы думали.
- AWS Client VPN (4 эндпоинта): $776/мес
- AWS Private CA (центр сертификации): $402/мес
- Итого: $1,178/мес
Честно говоря, я и не предполагал, что VPN съедает столько. Это одна из тех статей, на которую я обратил внимание только после того, как Claude Code прошёлся по расходам.
Вариант под названием Headscale
В качестве замены мы выбрали Headscale. Это open-source-сервер управления, совместимый с Tailscale; на стороне клиента используется обычный Tailscale.
Конфигурация получилась такой:
- Сервер Headscale: 1 EC2 t3.small (~$21/мес)
- Авторизация: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/мес)
- Итого: около $42/мес
$1,178 превратились в $42. Снижение на 96%.
Logto как фундамент авторизации
Скажу пару слов и о Logto, на котором у нас авторизация. Это OSS-фундамент авторизации с возможностью самостоятельного хостинга и приличной поддержкой OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, M2M-приложения — в self-hosted-версии всё это доступно бесплатно.
Для серьёзных внешних сервисов есть Logto Cloud, но в роли внутрикорпоративного фундамента авторизации он невероятно мощен. Команда разработки бодро катит обновления — лично у меня этот продукт занимает почётное место.
Архитектурный нюанс — не менять IP-адреса
Самое важное, что я учитывал при миграции VPN, — не менять IP-адреса, которые мы наружу засветили. У клиентов наши IP-адреса прописаны в файрволлах через whitelist, и если они вдруг поменяются, начнётся катастрофа.
Решение: разместили Headscale за NAT Gateway. Трафик VPN продолжает идти наружу через уже существующий NAT Gateway, поэтому source IP не меняется.
Месяц догфудинга
После того как всё было собрано, мы не стали резко переключать всю компанию, а ввели месяц догфудинга.
Скажу честно — проблем хватало. Обрывы соединения, нестабильный Exit Node, отдельные устройства, которые не могли переподключиться — всё это было.
Эти проблемы мы тоже расхлёбывали вместе с Claude Code, по одной. Тюнинг параметров ядра (увеличение UDP-буферов, корректировка таймаутов conntrack), развёртывание собственного DERP-релея, отлаживание процедур управления нодами и так далее.
Задачи ещё остаются, но на текущий момент в dev-окружениях работает стабильно.
Производительность
Производительность тоже проверили.
- Изначально: 11–14 Mbps (через публичные DERP-релеи)
- После запуска своего DERP: 106–134 Mbps
Скорость не хуже, а то и лучше AWS Client VPN.
Проверка эффекта в Cost Explorer
Запустить меру — не значит закрыть тему. Эффект мы обязательно проверяли в AWS Cost Explorer. И это тоже делал Claude Code через CLI.
Например, переход на Fargate Spot оказался сложно различимым в фильтрах Cost Explorer. Скидка по Spot прячется внутри строки Fargate, поэтому нужна отдельная проверка. Такие истории «вроде сделали, а эффекта не видно» тоже разруливались тем, что я заставлял Claude Code копнуть глубже.
Завершая
Структура расходов в эпоху ИИ меняется. С одной стороны, в смету добавляются такие инструменты, как Claude Code. С другой — этот же инструмент можно направить и на оптимизацию инфраструктурных затрат.
В нашем случае стоимость внедрения Claude Code действительно выросла, но Claude Code сам же отбил эти расходы и больше за счёт сокращения счёта в AWS. Вкладываемся в ИИ, ИИ окупает себя сокращением расходов. Этот цикл у нас уже потихоньку закрутился.
Главный вывод этого упражнения: «сначала сделать всё видимым». Перебрать 19 аккаунтов вручную — нереалистично. Именно потому что у нас был Claude Code с AWS CLI, который прошёлся по всему сразу, и нашлась такая жемчужина, как VPN, на котором незаметно утекало по $1,000 с лишним.
Возможно, в вашем AWS-окружении тоже дремлет «запах» затрат, который вы пока не учуяли.
В этот раз я рассказал в основном про миграцию VPN, но при желании могу написать отдельные статьи и по другим мерам. Если что-то заинтересует — пишите в комментариях, не стесняйтесь.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app