Счёт от AWS вырос в 3 раза за месяц, не могу понять за что — помогите разобраться

[vitaly_io]

Был стабильный счёт ~$400/мес, в апреле прилетело $1250. Основная статья — Data Transfer Out и NAT Gateway. Открыл Cost Explorer, но всё равно не вижу, какой именно сервис так раздулся. Куда копать в первую очередь?

[egor_git62]

Включи Cost Explorer с группировкой по Usage Type, а не по сервису. NAT Gateway почти всегда сюрприз: $0.045 за GB обработки плюс почасовая оплата за каждый AZ. Если у тебя приватные сабнеты тянут пакеты через NAT в S3/ECR — переводи на VPC Endpoints, у меня так $300 в месяц ушло.

[nina4183]

Плюсую про VPC Gateway Endpoint для S3 и DynamoDB — он вообще бесплатный. А вот Interface Endpoint уже платный, считай заранее. Ещё глянь cross-AZ трафик между подами, если k8s — это тоже Data Transfer и его в счёте не видно явно.

[vlad_rust]

О, точно, у нас EKS и поды раскиданы по трём AZ, базы реплики тоже. То есть болтовня между зонами мне капает по $0.01/GB в обе стороны?

[boris_null45]

Именно. Поставь topology aware routing (topologyAwareHints) чтобы трафик прижимался к своей зоне, и логи в CloudWatch проверь — ingestion там стоит конских денег если кто-то DEBUG врубил в проде. У нас один сервис лил 80GB логов в день, минус $200 после фикса уровня логирования.

[bytecode1580]

Ещё совет: поставь kubecost или хотя бы opencost в кластер, он раскидает затраты по неймспейсам и сразу видно кто жрёт. Без этого в EKS вслепую гадаешь.

[nastya_app51]

Спасибо, ребят! Поставил VPC Endpoint для S3 и ECR, плюс выключил DEBUG логи — уже видно как кривая в Cost Explorer пошла вниз. kubecost ставлю на выходных.

[irina_linux82]

Data Transfer Out + NAT Gateway это классическая пара для неожиданного счёта. Первым делом: в Cost Explorer переключи группировку на «Service» и «Usage Type» — ищи строки вида «DataTransfer-Out-Bytes» и «NatGateway-Bytes». Если NAT Gateway вырос — значит какой-то ресурс в private subnet начал гнать трафик наружу. Частые виновники: Lambda или ECS-задача у которой появился retry loop, новый CloudWatch Logs agent который шлёт логи через NAT вместо VPC Endpoint, или S3 запросы через NAT вместо Gateway Endpoint (это вообще должно быть бесплатно, но надо правильно настроить route table). Включи VPC Flow Logs на подозрительный NAT Gateway, подожди час и смотри топ destination IP по байтам.

[kirill_grid84]

Практический совет на будущее: поставь Cost Anomaly Detection в AWS Billing — это ML-сервис, он сам мониторит паттерны и слал бы алерт в первые дни когда счётчик только пошёл вверх, а не в конце месяца. Настраивается за 5 минут, threshold можно поставить хоть $50. Второе — S3 Gateway Endpoint и DynamoDB Gateway Endpoint бесплатны, их надо добавить в route table каждой private subnet, это срезает огромный кусок трафика который иначе идёт через NAT. Если видишь много трафика из конкретного EC2 или контейнера — aws ec2 describe-flow-logs поможет найти источник.