Як ми скоротили місячний рахунок за AWS приблизно на $5,000 за допомогою Claude Code
Вступ
За допомогою Claude Code ми скоротили місячний рахунок за AWS приблизно на $5,000. На тлі слабкої єни багато IT-компаній напевно ламають голову над апетитом AWS. Сподіваюся, наш кейс стане в пригоді.
| Захід | Економія на місяць |
|---|---|
| Міграція AWS Client VPN → Headscale VPN (включаючи Private CA) | $1,178 |
| Чистка Private CA та оптимізація ключів шифрування | $2,300 |
| Нічне та вихідне зупинення ECS у dev-середовищах | $988 |
| Купівля RDS Reserved Instances | $811 |
| Консолідація NAT Gateway | $267 |
| Перехід на Fargate Spot | $263 |
| Інше (S3 lifecycle тощо) | $78 |
| Разом | $5,885 |
Ми — IT-компанія з розробки, у штаті близько 50 людей у В’єтнамі та Японії. Структура витрат проста: левова частка — фонд оплати праці та рахунки за сервери AWS. Саме вони й формують основний відтік коштів.
І ось до цього списку нещодавно додалася нова стаття — витрати на ШІ-агентів, починаючи з Claude Code.
У нас Claude Code упроваджено по-серйозному, заради підвищення ефективності роботи. Premium-місце в тодішньому Team Plan коштувало близько $150 на місяць на людину. Якщо розгортати це на всю компанію, лише ця стаття виливається у відчутну суму.
Упровадити ШІ-інструменти й підняти продуктивність — рішення правильне. Але якщо з’являються нові витрати, потрібно перебалансувати наявні. Ми IT-компанія з розробки — переглядати у нас можна по суті лише дві речі: фонд оплати праці й серверні витрати.
Тож я взявся за оптимізацію витрат на AWS.
Доручаємо Claude Code шукати «запах» витрат
Цікаво, що й сам цей перегляд я довірив Claude Code.
У нас Claude Code озброєний навиком роботи з AWS CLI. Налаштування профілів AWS, авторизація через SSO, виконання різноманітних CLI-команд — все це Claude Code вміє робити самостійно.
Першим ділом я попросив його крос-сканувати наші 19 AWS-акаунтів. Яка інфраструктура крутиться у кожному з них, скільки грошей вона з’їдає. І чи є там щось із «запахом» — тобто щось підозріле за витратами.
В результаті Claude Code виявив кілька чітких точок поліпшення. Щось можна було оптимізувати завдяки тому, що це dev-середовища; десь лежали ресурси, які взагалі нікому не потрібні і просто забуті; десь однією настройкою можна було серйозно зрізати рахунок. Ці пункти я перебирав по одному, розбирався і закривав.
Загальна картина заходів
Базова лінія — $30,398 на місяць на грудень 2025 року. У період з кінця 2025 року й до кінця березня 2026 року заходи викочувалися один за одним. Частина заходів — відмова від VPN, видалення Private CA — повністю відобразяться в рахунку лише з квітня, тож в усталеному режимі економія від грудневої бази становитиме приблизно $5,000–$6,000 на місяць.
Коротко по ключових заходах.
1. Нічне та вихідне зупинення ECS у dev-середовищах (-$988/міс)
Зробили автоматичне зупинення 55 ECS-сервісів у dev-середовищах уночі та у вихідні. Dev-середовища потрібні лише в робочий час, а ганяли ми їх 24/7 365 днів на рік. Здавалося б — очевидно, але саме такі речі й проходять повз погляд.
2. Міграція AWS Client VPN → Headscale VPN (-$1,178/міс)
Детально про це нижче. Це найцікавіше.
3. Чистка Private CA та оптимізація ключів шифрування (-$2,300/міс)
У зв’язку з відмовою від AWS App Mesh Private CA став непотрібний, і ми його видалили. Паралельно переглянули схему керування ключами шифрування і збалансували вартість із вимогами безпеки.
4. Купівля RDS Reserved Instances (-$811/міс)
Купили оптом RI на 5 інстансів — dev, staging і production разом узяті. Передплата $10,675, знижка 44%. За розрахунками окуповується приблизно за 11 місяців.
5. Перехід на Fargate Spot (-$263/міс)
Перевели ECS-сервіси dev-середовища на Fargate Spot. У dev-середовищі ризик переривання Spot-інстанса цілком прийнятний.
6. Консолідація NAT Gateway (-$267/міс)
У трьох акаунтах три NAT Gateway звели кожен до одного. 7 днів моніторили трафік у невикористовуваних AZ, переконалися, що він нульовий — і знесли.
Історія міграції VPN — $1,178/міс перетворилися на $42/міс
Найцікавішим у всьому цьому наборі була міграція VPN.
Доступ наших інженерів до dev-середовищ клієнтів іде через VPN. Спочатку використовувався AWS Client VPN. І раптом з’ясувалося, що обходиться він нам значно дорожче, ніж ми думали.
- AWS Client VPN (4 ендпоїнти): $776/міс
- AWS Private CA (центр сертифікації): $402/міс
- Разом: $1,178/міс
Чесно кажучи, я й не припускав, що VPN з’їдає стільки. Це одна з тих статей, на яку я звернув увагу лише після того, як Claude Code пройшовся по витратах.
Варіант на ім’я Headscale
Як заміну ми обрали Headscale. Це open-source-сервер керування, сумісний з Tailscale; на стороні клієнта використовується звичайний Tailscale.
Конфігурація вийшла такою:
- Сервер Headscale: 1 EC2 t3.small (~$21/міс)
- Авторизація: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/міс)
- Разом: близько $42/міс
$1,178 перетворилися на $42. Зниження на 96%.
Logto як фундамент авторизації
Скажу пару слів і про Logto, на якому у нас авторизація. Це OSS-фундамент авторизації з можливістю самостійного хостингу і пристойною підтримкою OAuth 2.0 / OIDC. Google SSO, GitHub SSO, MFA, Organizations, M2M-застосунки — у self-hosted-версії все це доступне безкоштовно.
Для серйозних зовнішніх сервісів є Logto Cloud, але в ролі внутрішньокорпоративного фундаменту авторизації він неймовірно потужний. Команда розробки бадьоро котить оновлення — особисто у мене цей продукт займає почесне місце.
Архітектурний нюанс — не змінювати IP-адреси
Найважливіше, що я враховував при міграції VPN, — не змінювати IP-адреси, які ми засвітили назовні. У клієнтів наші IP-адреси прописані у файрволах через whitelist, і якщо вони раптом зміняться — почнеться катастрофа.
Рішення: розмістили Headscale за NAT Gateway. Трафік VPN продовжує йти назовні через уже наявний NAT Gateway, тому source IP не змінюється.
Місяць догфудингу
Після того як усе було зібрано, ми не стали різко перемикати всю компанію, а ввели місяць догфудингу.
Скажу чесно — проблем вистачало. Обриви з’єднання, нестабільний Exit Node, окремі пристрої, що не могли перепідключитися — все це було.
Ці проблеми ми також розбирали разом з Claude Code, одна за одною. Тюнинг параметрів ядра (збільшення UDP-буферів, корекція таймаутів conntrack), розгортання власного DERP-релею, налагодження процедур керування нодами і таке інше.
Завдання ще залишаються, але на поточний момент у dev-середовищах працює стабільно.
Продуктивність
Продуктивність теж перевірили.
- Спочатку: 11–14 Mbps (через публічні DERP-релеї)
- Після запуску власного DERP: 106–134 Mbps
Швидкість не гірша, а то й краща за AWS Client VPN.
Перевірка ефекту в Cost Explorer
Запустити захід — не означає закрити тему. Ефект ми обов’язково перевіряли в AWS Cost Explorer. І це теж робив Claude Code через CLI.
Наприклад, перехід на Fargate Spot виявився важко розрізнюваним у фільтрах Cost Explorer. Знижка по Spot ховається всередині рядка Fargate, тому потрібна окрема перевірка. Такі історії «начебто зробили, а ефекту не видно» теж розрулювалися тим, що я змушував Claude Code копнути глибше.
Наостанок
Структура витрат в епоху ШІ змінюється. З одного боку, до кошторису додаються такі інструменти, як Claude Code. З іншого — цей же інструмент можна спрямувати і на оптимізацію інфраструктурних витрат.
У нашому випадку вартість упровадження Claude Code дійсно зросла, але Claude Code сам же відбив ці витрати і навіть більше — за рахунок скорочення рахунку в AWS. Інвестуємо у ШІ, ШІ окуповує себе скороченням витрат. Цей цикл у нас уже потроху закрутився.
Головний висновок цієї вправи: «спочатку зробити все видимим». Перебрати 19 акаунтів вручну — нереалістично. Саме тому, що у нас був Claude Code з AWS CLI, який пройшовся по всьому одразу, і знайшлася така перлина, як VPN, на якому непомітно витікало понад $1,000.
Можливо, у вашому AWS-середовищі теж дрімає «запах» витрат, який ви поки не вловили.
Цього разу я розповів переважно про міграцію VPN, але за бажанням можу написати окремі статті і про інші заходи. Якщо щось зацікавить — пишіть у коментарях, не соромтеся.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app