Câu chuyện cắt giảm khoảng $5,000 chi phí AWS hằng tháng nhờ Claude Code
Mở đầu
Tôi đã cắt giảm khoảng $5,000 chi phí AWS hằng tháng nhờ Claude Code. Trong bối cảnh đồng yên yếu hiện nay, hẳn nhiều công ty phát triển hệ thống cũng đang đau đầu với hóa đơn AWS. Hy vọng câu chuyện của công ty chúng tôi sẽ có ích cho mọi người.
| Giải pháp | Cắt giảm/tháng |
|---|---|
| Chuyển AWS Client VPN → Headscale VPN (kèm Private CA) | $1,178 |
| Dọn dẹp Private CA và tối ưu khóa mã hóa | $2,300 |
| Tắt ECS môi trường dev vào ban đêm và cuối tuần | $988 |
| Mua RDS Reserved Instance | $811 |
| Hợp nhất NAT Gateway | $267 |
| Chuyển sang Fargate Spot | $263 |
| Khác (S3 lifecycle…) | $78 |
| Tổng | $5,885 |
Công ty chúng tôi là một công ty phát triển hệ thống có khoảng 50 nhân sự ở Việt Nam và Nhật Bản. Cơ cấu chi phí đơn giản: lớn nhất là lương nhân sự và chi phí máy chủ AWS. Hai khoản này chiếm phần lớn chi tiêu.
Rồi gần đây, một khoản chi mới được cộng vào: chi phí cho các công cụ AI agent như Claude Code.
Chúng tôi đã đưa Claude Code vào sử dụng nghiêm túc để tăng hiệu suất công việc. Khi đó, ghế premium của Team Plan tốn khoảng $150/tháng cho mỗi người. Triển khai diện rộng trong công ty đồng nghĩa với một khoản tiền không nhỏ.
Đầu tư công cụ AI để nâng năng suất — bản thân quyết định đó là đúng. Nhưng nếu sinh ra một khoản chi phí mới, thì cần phải rà soát lại các khoản hiện có để cân bằng. Là công ty phát triển hệ thống, gần như chỉ có hai thứ có thể rà lại: chi phí nhân sự và chi phí máy chủ.
Thế là tôi quyết định bắt tay vào tối ưu chi phí AWS.
Để Claude Code đi đánh hơi “mùi” chi phí
Điều thú vị là chính cuộc rà soát chi phí này tôi cũng giao cho Claude Code làm.
Ở công ty chúng tôi, Claude Code được trang bị kỹ năng AWS CLI. Cấu hình profile, xác thực SSO, chạy các lệnh CLI — tất cả Claude Code có thể tự thực hiện một cách tự chủ.
Việc đầu tiên tôi giao là quét xuyên suốt 19 tài khoản AWS. Mỗi tài khoản đang chạy hạ tầng gì, đang tốn bao nhiêu. Và đâu là thứ “có mùi” về mặt chi phí — cảm giác thấy đáng nghi.
Kết quả Claude Code đào ra, có vài điểm cải thiện rõ ràng nổi lên. Có những thứ chỉ riêng môi trường dev mới tối ưu được, có thứ vốn không cần mà vẫn để đó, có thứ chỉ cần đổi một thiết lập là giảm mạnh. Tôi đào từng cái một, lần lượt giải quyết.
Bức tranh tổng thể các giải pháp
Mốc nền là $30,398/tháng tại tháng 12 năm 2025. Từ cuối năm 2025 đến cuối tháng 3 năm 2026, tôi đã triển khai các giải pháp theo từng bước. Một số như bỏ VPN hay xóa Private CA chỉ phản ánh đầy đủ từ tháng 4, nên khi mọi giải pháp đã ngấm hết, dự kiến cắt được khoảng $5,000–6,000/tháng so với mốc tháng 12.
Xin tóm tắt ngắn gọn các giải pháp chính.
1. Tắt ECS môi trường dev vào ban đêm và cuối tuần (-$988/tháng)
Tôi cho tự động tắt 55 ECS service ở môi trường dev vào ban đêm và cuối tuần. Môi trường dev chỉ dùng trong giờ làm, vậy mà nó chạy 24/7 365 ngày. Hiển nhiên thế thôi, nhưng rất hay bị bỏ qua.
2. Chuyển AWS Client VPN → Headscale VPN (-$1,178/tháng)
Sẽ nói kỹ ở dưới. Đây là giải pháp thú vị nhất.
3. Dọn dẹp Private CA và tối ưu khóa mã hóa (-$2,300/tháng)
Khi bỏ AWS App Mesh, Private CA cũng không còn cần thiết nên tôi đã xóa. Đồng thời, tôi xem lại cách quản lý khóa mã hóa, tối ưu sự cân bằng giữa chi phí và yêu cầu bảo mật.
4. Mua RDS Reserved Instance (-$811/tháng)
Mua một lần RI cho tổng cộng 5 instance dev/staging/prod. Đầu tư trước $10,675, mức giảm 44%. Theo tính toán, sau khoảng 11 tháng là hòa vốn.
5. Chuyển sang Fargate Spot Instance (-$263/tháng)
Tôi chuyển các ECS service môi trường dev sang Fargate Spot. Ở môi trường dev, rủi ro Spot bị ngắt là chấp nhận được.
6. Hợp nhất NAT Gateway (-$267/tháng)
Ở 3 tài khoản, mỗi nơi đang có 3 NAT Gateway, tôi hợp nhất xuống còn 1. Trước khi xóa, tôi giám sát lưu lượng của các AZ không dùng trong 7 ngày, xác nhận bằng 0 rồi mới gỡ.
Câu chuyện chuyển VPN — Từ $1,178/tháng xuống $42/tháng
Giải pháp thú vị nhất trong các giải pháp là chuyển VPN.
Công ty chúng tôi dùng VPN để truy cập môi trường dev của khách hàng. Ban đầu chúng tôi dùng AWS Client VPN. Nhưng chi phí Client VPN này lại cao hơn tôi tưởng nhiều.
- AWS Client VPN (4 endpoint): $776/tháng
- AWS Private CA (CA cấp chứng chỉ): $402/tháng
- Tổng: $1,178/tháng
Thực lòng, tôi không nghĩ VPN lại tốn đến mức đó. Đây là một trong những hạng mục chỉ khi cho Claude Code rà soát chi phí tôi mới phát hiện ra.
Lựa chọn Headscale
Phương án thay thế tôi chọn là Headscale. Đây là phiên bản máy chủ control mã nguồn mở của Tailscale; phía client vẫn dùng được Tailscale như bình thường.
Cấu hình như sau:
- Máy chủ Headscale: 1 EC2 t3.small (~$21/tháng)
- Xác thực: Logto Self-Hosted (xác thực OIDC, 1 EC2 t3.small, ~$21/tháng)
- Tổng: khoảng $42/tháng
Từ $1,178 xuống còn $42. Cắt giảm 96%.
Logto như một nền tảng xác thực
Xin nói thêm một chút về Logto mà tôi đang dùng cho xác thực. Đây là một nền tảng xác thực OSS có thể tự host, OAuth 2.0 / OIDC đầy đủ. Google SSO, GitHub SSO, MFA, Organizations, ứng dụng M2M — bản self-host miễn phí toàn bộ.
Với dịch vụ thực sự đối ngoại thì có lựa chọn Logto Cloud, còn để dựng một nền tảng xác thực cho hệ thống nội bộ thì Logto rất mạnh. Đội phát triển vẫn tích cực ra cập nhật, cá nhân tôi rất thích sản phẩm này.
Điểm thiết kế then chốt — Không đổi địa chỉ IP
Điều tôi để ý nhất khi chuyển VPN là không thay đổi địa chỉ IP công khai bên ngoài. Tường lửa phía khách hàng đã whitelist địa chỉ IP của chúng tôi, nên nếu thay đổi sẽ rất rắc rối.
Giải pháp là đặt Headscale dưới NAT Gateway. Lưu lượng đi qua VPN vẫn ra ngoài qua NAT Gateway hiện có, nên địa chỉ IP nguồn không thay đổi.
Một tháng dogfooding
Sau khi xây xong, tôi không chuyển toàn công ty ngay, mà dành một tháng dogfooding.
Thành thật mà nói, vấn đề khá nhiều. Mất kết nối, Exit Node không ổn định, có máy không thể kết nối lại — đủ kiểu trục trặc.
Những vấn đề này, tôi cũng cùng Claude Code lần lượt giải quyết. Tinh chỉnh tham số kernel (tăng buffer UDP, điều chỉnh timeout conntrack), tự dựng máy chủ DERP relay riêng, chuẩn hóa quy trình vận hành quản lý node…
Vẫn còn nhiều điểm cần cải thiện, nhưng hiện tại đã chạy ổn định ở môi trường dev.
Hiệu năng
Tôi cũng kiểm tra hiệu năng.
- Giai đoạn đầu: 11–14 Mbps (qua public DERP relay)
- Sau khi dựng DERP riêng: 106–134 Mbps
Tốc độ ngang ngửa, thậm chí hơn AWS Client VPN.
Kiểm chứng hiệu quả bằng Cost Explorer
Không phải triển khai xong là xong, tôi đều kiểm chứng hiệu quả bằng AWS Cost Explorer. Phần này cũng để Claude Code làm qua CLI.
Ví dụ, việc chuyển sang Fargate Spot không dễ thấy trên các filter của Cost Explorer. Khoản giảm giá Spot bị gộp vào mục Fargate, nên phải kiểm tra riêng. Những vấn đề kiểu “đã làm rồi mà không thấy hiệu quả” cũng được giải quyết khi để Claude Code đào sâu thêm.
Lời kết
Cơ cấu chi phí ở thời AI đang thay đổi. Một mặt phát sinh chi phí mới cho các công cụ như Claude Code, mặt khác chính công cụ đó lại có thể dùng để tối ưu chi phí hạ tầng.
Với công ty chúng tôi, chi phí triển khai Claude Code rõ ràng tăng lên, nhưng chính Claude Code đã giúp cắt giảm chi phí AWS nhiều hơn cả khoản đó. Đầu tư vào AI và thu hồi chi phí bằng AI — vòng quay này đang chạy ngày càng trơn tru.
Điều tôi học được qua đợt này là tầm quan trọng của “trước tiên hãy nhìn thấy toàn cảnh”. Soi 19 tài khoản bằng tay là điều phi thực tế. Chính vì cho Claude Code dùng AWS CLI quét xuyên tất cả, tôi mới có những phát hiện kiểu “Ơ, VPN tốn nhiều thế cơ à?”.
Biết đâu trong môi trường AWS của các bạn cũng đang ẩn những “mùi” chi phí mà các bạn chưa nhận ra.
Lần này tôi kể chủ yếu về chuyển VPN, nhưng nếu có yêu cầu, tôi sẽ viết riêng bài về các giải pháp khác. Nếu có hạng mục nào các bạn quan tâm, đừng ngại để lại bình luận.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app