Ako sme s Claude Code znížili mesačné náklady na AWS o približne $5,000
Úvod
S Claude Code sme znížili mesačné náklady na AWS o približne $5,000. V dobe slabého jenu rieši náklady na AWS veľa softvérových firiem. Snáď bude náš prípad pre niekoho užitočný.
| Opatrenie | Úspora/mes. |
|---|---|
| Migrácia AWS Client VPN → Headscale VPN (vrátane Private CA) | $1,178 |
| Upratanie Private CA a optimalizácia šifrovacích kľúčov | $2,300 |
| Nočné a víkendové vypínanie ECS vo vývojových prostrediach | $988 |
| Nákup RDS Reserved Instance | $811 |
| Konsolidácia NAT Gateway | $267 |
| Migrácia na Fargate Spot | $263 |
| Ostatné (lifecycle S3 atď.) | $78 |
| Spolu | $5,885 |
Sme softvérová firma s približne 50 ľuďmi vo Vietname a Japonsku. Naša nákladová štruktúra je jednoduchá — najväčšie sú mzdy a serverové náklady AWS. Tieto dve tvoria väčšinu výdavkov.
Nedávno k tomu pribudol nový náklad: nástroje typu AI agent na čele s Claude Code.
V našej firme sme Claude Code zaviedli naplno kvôli efektívnosti práce. Vtedy stálo premium miesto v Team Plane asi $150/mesiac na osobu. Pri celofiremnom nasadení je to už pekná suma.
Nasadiť AI a zvýšiť produktivitu — to je správne rozhodnutie. Ak však pribúdajú nové náklady, treba revidovať existujúce, aby bol balans. Ako softvérová firma vieme revidovať reálne len mzdy a servery.
A preto sme sa pustili do optimalizácie nákladov AWS.
Necháme Claude Code zachytiť „pach“ nákladov
Zaujímavé je, že aj túto revíziu nákladov sme zverili Claude Code.
V našej firme má Claude Code „skill“ na AWS CLI. Konfigurácia profilov AWS, SSO autentizácia, spúšťanie CLI príkazov — Claude Code to vie autonómne.
Prvé, čo sme urobili, bol prierezový sken všetkých 19 účtov AWS. Aká infraštruktúra na nich beží, koľko stojí. A kde sú veci, ktoré „smrdia“ — pôsobia podozrivo.
Audit ukázal niekoľko jasných oblastí na zlepšenie. Niekde stačila optimalizácia, lebo je to vývojové prostredie. Inde sa povaľovali nepotrebné zdroje. Niekde stačila zmena jedného nastavenia pre veľkú úsporu. Prechádzali sme to po jednom a upratovali.
Celkový obraz opatrení
Východisko: $30,398/mesiac v decembri 2025. Od konca 2025 do konca marca 2026 sme postupne realizovali jednotlivé opatrenia. Časť (zrušenie VPN, vymazanie Private CA atď.) sa naplno prejaví až od apríla; keď všetko zaberie, predpokladáme úsporu okolo $5,000–$6,000/mesiac oproti decembrovej báze.
V skratke:
1. Nočné a víkendové vypínanie ECS vo vývoji (-$988/mes.)
55 ECS služieb vo vývojových prostrediach sme nastavili tak, aby sa v noci a cez víkendy automaticky vypínali. Používali sme ich len v pracovnej dobe, ale bežali 24/7. Banalita, ktorú je ľahké prehliadnuť.
2. Migrácia AWS Client VPN → Headscale VPN (-$1,178/mes.)
Detaily nižšie. Najzaujímavejšie opatrenie z celej série.
3. Upratanie Private CA a optimalizácia šifrovacích kľúčov (-$2,300/mes.)
Po ukončení AWS App Mesh prestal byť Private CA potrebný, takže sme ho zmazali. Zároveň sme prehodnotili spôsob správy šifrovacích kľúčov a vyvážili náklady s bezpečnostnými požiadavkami.
4. Nákup RDS Reserved Instance (-$811/mes.)
RI pre 5 inštancií (dev/staging/prod) sme kúpili jednorazovo. Dopredu $10,675, zľava 44 %. Návratnosť asi 11 mesiacov.
5. Migrácia na Fargate Spot Instance (-$263/mes.)
ECS služby vývojového prostredia sme prepli na Fargate Spot. Vo vývoji je riziko prerušenia Spot únosné.
6. Konsolidácia NAT Gateway (-$267/mes.)
Na 3 účtoch sme po 3 NAT Gateway zlúčili do 1. V nepoužívaných AZ sme 7 dní monitorovali prevádzku — keď bola nulová, zmazali sme.
Príbeh migrácie VPN — z $1,178/mes. na $42/mes.
Najzábavnejším opatrením bola migrácia VPN.
Pre prístup do zákazníckych vývojových prostredí používame VPN. Pôvodne sme mali AWS Client VPN. Lenže stál viac, než som čakal.
- AWS Client VPN (4 endpointy): $776/mes.
- AWS Private CA (certifikačná autorita): $402/mes.
- Spolu: $1,178/mes.
Úprimne, nečakal som, že VPN toľko stojí. Bola to jedna z položiek, na ktoré sme prišli až vďaka auditu Claude Code.
Voľba: Headscale
Ako alternatívu sme zvolili Headscale. Open-source riadiaci server kompatibilný s Tailscale; na strane klienta sa používa štandardný Tailscale.
Architektúra:
- Headscale server: 1× EC2 t3.small (~$21/mes.)
- Autentizácia: Logto Self-Hosted (OIDC, 1× EC2 t3.small, ~$21/mes.)
- Spolu: asi $42/mes.
$1,178 sa mení na $42. Úspora 96 %.
Logto ako autentizačná platforma
Krátko o autentizačnej platforme Logto. OSS riešenie so selfhostom, OAuth 2.0 / OIDC majú pokryté solídne. Google SSO, GitHub SSO, MFA, Organizations, M2M aplikácie — v selfhost verzii všetko zdarma.
Pre skutočné externé služby existuje aj Logto Cloud, ale ako jednotná interná autentizačná platforma je Logto výnimočne silné. Tím ho aktívne rozvíja a osobne mu fandím.
Kľúčový bod dizajnu — nemeniť IP adresu
Pri migrácii VPN bolo najdôležitejšie nemeniť verejné IP adresy. Naše IP máme na whitelistoch firewallov u zákazníkov; ich zmena by spôsobila veľký problém.
Riešenie: Headscale sme umiestnili za existujúci NAT Gateway. Prevádzka cez VPN ide von cez ten istý NAT Gateway, takže zdrojová IP zostáva rovnaká.
Mesiac dogfoodingu
Po nasadení sme nešli rovno k celofiremnému prepnutiu. Zaradili sme mesiac dogfoodingu.
Úprimne, problémov bolo dosť. Spojenia padali, Exit Node nebol stabilný, niektoré zariadenia sa nedokázali znova pripojiť.
Každý z týchto problémov sme riešili s Claude Code. Ladenie parametrov jadra (zväčšenie UDP bufferov, úprava conntrack timeoutov), vlastný DERP relay server, prevádzkové postupy pre správu uzlov a ďalšie.
Niečo ešte ostáva, ale aktuálne to vo vývojových prostrediach beží stabilne.
Výkon
Overili sme aj výkon.
- Na začiatku: 11–14 Mbps (verejný DERP relay)
- Po nasadení vlastného DERP: 106–134 Mbps
Rýchlosť porovnateľná s AWS Client VPN alebo lepšia.
Overenie efektu v Cost Exploreri
Opatrenia sme nikdy nenechali len tak — efekt sme vždy overovali v AWS Cost Exploreri. Aj tu nám asistoval Claude Code cez CLI.
Napríklad migráciu na Fargate Spot je v štandardných filtroch Cost Exploreru ťažké zachytiť. Zľava Spot sa skrýva v položke Fargate, takže treba samostatné overenie. „Spravili sme to, ale efekt nevidíme“ — aj takéto problémy sme nechali Claude Code rozkrývať.
Na záver
Nákladová štruktúra éry AI sa mení. Na jednej strane pribúdajú náklady na nástroje typu Claude Code, na druhej strane tie isté nástroje slúžia aj na optimalizáciu infraštruktúry.
V našom prípade náklad na Claude Code naozaj vzrástol, ale Claude Code sám priniesol úsporu AWS, ktorá ten náklad výrazne prevyšuje. Investovať do AI a AI si na seba zarobí — tento kolobeh sa u nás rozbehol.
Z tejto skúsenosti vyplýva jedna lekcia: „najprv zviditeľniť celok“. Ručne prejsť 19 účtov je nereálne. Až keď dostal Claude Code AWS CLI a prešiel ich naprieč, objavili sme veci ako VPN — „toľko to stálo?“.
Aj vo vašom AWS prostredí možno drieme „pach“ nákladov, ktorý ste ešte neobjavili.
Dnes som sa sústredil najmä na migráciu VPN, ale ak bude záujem, rád napíšem samostatné články aj o ostatných opatreniach. Ak vás niečo zaujme, smelo do komentárov.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app