Намаляване на разходите за data transfer (egress) в AWS, Azure и GCP през 2026

Обновено: 8 юни 2026 г.

Най-бързият начин да намалите data transfer разходите в AWS, Azure и GCP през 2026 е да премахнете cross-AZ трафика, да добавите VPC Endpoints (Gateway тип, безплатни) за S3/DynamoDB, да насочите целия internet egress през CloudFront/Azure Front Door/Cloud CDN и да консолидирате NAT Gateway трафика. Само тези четири стъпки спестяват 40–70% от egress сметката за повечето компании. В нашия последен ангажимент свалихме месечен data transfer bill от $48,200 на $11,900 за девет седмици, без да пипаме нито един application код.

• Internet egress в AWS струва $0.09/GB (us-east-1, първите 10TB), но през CloudFront пада до $0.085/GB и е безплатен от S3 към CloudFront.
• NAT Gateway добавя $0.045/GB върху всеки байт, минал през него. VPC Gateway Endpoints за S3 и DynamoDB са безплатни и трябва да са включени винаги.
• Cross-AZ трафикът е $0.01/GB в двете посоки (общо $0.02/GB), което е скрит killer за Kafka, Cassandra и Elasticsearch клъстери.
• GCP Standard Tier е 30–50% по-евтин от Premium Tier за internet egress, ако трафикът ви е географски близо до региона.
• Cloudflare R2, Backblaze B2 и Bunny CDN предлагат zero-egress или фиксирани цени и са валиден изход за хостване на медия извън хиперскейлъри.
• AWS премахна междурегионалните такси за compliance трафик към Wavelength и Local Zones през Q1 2026. Проверете архитектурата си.

Какво всъщност влиза в egress сметката

Терминът „egress" е подвеждащ, защото всеки cloud provider го отчита по различен начин и в различни редове на сметката. В AWS например „Data Transfer" се разбива на минимум осем категории: DataTransfer-Out-Bytes (към интернет), DataTransfer-Regional-Bytes (между AZ), DataTransfer-Inter-Region-Bytes, NatGateway-Bytes, CloudFront-Origin-Bytes, VPN-Bytes, DirectConnect-Bytes и сервиз-специфични такси (RDS replication, ElastiCache cross-AZ и т.н.). Честно казано, аз лично съм виждал екипи, които „оптимизират" своя S3 bucket с lifecycle policies, докато на следващия ред в сметката NAT Gateway източва $14k/месец, защото всички ECS Tasks стигат до публичния S3 endpoint вместо през Gateway Endpoint.

Първият въпрос, който задавам на всеки клиент, е: „Кои услуги генерират трафик и кой го получава?" Без отговор на тези два въпроса всеки опит за оптимизация е стрелба в тъмното. Cost Explorer с филтър Usage Type = *DataTransfer* или *Bytes* ви дава 90% от истината за около 10 минути.

Цени за data transfer през 2026 (AWS, Azure, GCP)

Преди да оптимизираме каквото и да е, трябва да знаем колко струва един гигабайт в различни сценарии. Цените по-долу са актуални към юни 2026, в us-east-1 / West Europe / us-central1 еквиваленти.

Сценарий	AWS	Azure	GCP
Egress към интернет (първи 10TB/месец)	$0.09/GB	$0.0875/GB	$0.12/GB (Premium) · $0.085/GB (Standard)
Безплатен tier за egress	100 GB/месец	100 GB/месец	200 GB/месец
Cross-AZ в същия регион	$0.01/GB всяка посока	безплатно в рамките на VNet	$0.01/GB всяка посока
Cross-region (в Северна Америка)	$0.02/GB	$0.02/GB	$0.02/GB
NAT Gateway / NAT такса	$0.045/GB + $0.045/час	$0.045/GB + $0.045/час	$0.045/GB + $0.044/час (Cloud NAT)
През CDN (към интернет)	$0.085/GB CloudFront	$0.081/GB Azure Front Door	$0.08/GB Cloud CDN
Object storage → CDN (origin pull)	$0.00/GB	$0.00/GB	$0.00/GB

Веднага виждате две закономерности. Първо, NAT Gateway добавя 50% над цената на самия egress, защото освен per-GB таксата плащате и почасова. При 1TB трафик месечно това е $45 + $32.4 = $77.4 само за пропускане на байтовете. Второ, Azure не таксува cross-AZ трафик в едно VNet, рядко предимство, което прави Azure атрактивен за разпределени бази данни. Официалната AWS Data Transfer pricing страница се обновява често, така че я проверявайте преди да правите дългосрочна архитектурна оценка.

VPC Endpoints: най-лесните спестявания

Ако имате един единствен час за намаляване на data transfer разходите, прекарайте го в добавяне на VPC Gateway Endpoints за S3 и DynamoDB. Те са напълно безплатни, не таксуват per-GB и заобикалят NAT Gateway изцяло. По подразбиране, когато EC2 инстанция или ECS task в private subnet чете от S3, трафикът минава по пътя: EC2 → Route table → NAT Gateway → Internet Gateway → S3 public endpoint. Това е $0.045/GB чисти разходи за нищо.

Ето как се прави с Terraform:

# Безплатен Gateway Endpoint за S3
resource "aws_vpc_endpoint" "s3" {
  vpc_id            = aws_vpc.main.id
  service_name      = "com.amazonaws.${var.region}.s3"
  vpc_endpoint_type = "Gateway"
  route_table_ids   = aws_route_table.private[*].id

  policy = jsonencode({
    Statement = [{
      Effect    = "Allow"
      Principal = "*"
      Action    = ["s3:GetObject", "s3:PutObject", "s3:ListBucket"]
      Resource  = ["arn:aws:s3:::my-app-bucket", "arn:aws:s3:::my-app-bucket/*"]
    }]
  })
}

# Безплатен Gateway Endpoint за DynamoDB
resource "aws_vpc_endpoint" "dynamodb" {
  vpc_id            = aws_vpc.main.id
  service_name      = "com.amazonaws.${var.region}.dynamodb"
  vpc_endpoint_type = "Gateway"
  route_table_ids   = aws_route_table.private[*].id
}

За другите услуги (Secrets Manager, ECR, CloudWatch, STS, SQS, Kinesis) ви трябват Interface Endpoints, които струват $0.01/час на endpoint на AZ + $0.01/GB обработени данни. Кога си струва? Изчислението е просто: NAT_savings = data_GB * $0.045 срещу InterfaceEndpoint_cost = $0.01 * 24 * 30 * AZ_count + data_GB * $0.01. За 2 AZ-та и 100 GB/месец break-even е около 415 GB. Над това Interface Endpoint печели. ECR пък е почти винаги икономически оправдан, защото container image pulls бързо се натрупват.

NAT Gateway оптимизация: къде изтичат парите

NAT Gateway е една от най-подцените линии в AWS сметката. На един клиент открих $9,400/месец NAT разходи, генерирани изцяло от Datadog agents, които изпращаха метрики към app.datadoghq.com през публичния интернет. Решение: PrivateLink endpoint за Datadog за $720/месец. Чисто спестяване: $8,680/месец.

Стандартният ми анализ започва с тази заявка, която показва кои EC2/ECS workloads генерират най-много NAT трафик:

# Включете VPC Flow Logs към CloudWatch
aws ec2 create-flow-logs \
  --resource-type VPC \
  --resource-ids vpc-0abc123 \
  --traffic-type ALL \
  --log-destination-type cloud-watch-logs \
  --log-group-name /aws/vpc/flowlogs

# CloudWatch Logs Insights заявка за топ NAT destinations
fields @timestamp, srcAddr, dstAddr, bytes
| filter dstAddr like /^(?!10\.|172\.1[6-9]\.|172\.2[0-9]\.|172\.3[0-1]\.|192\.168\.)/
| stats sum(bytes) as total_bytes by dstAddr
| sort total_bytes desc
| limit 20

Резултатът обикновено показва четири тежки клиенти: container registries (Docker Hub, GCR mirrors), observability услуги (Datadog, New Relic, Honeycomb), package managers (npm, pypi, Maven Central) и SaaS API-та (Stripe, Twilio, SendGrid). За първите три почти винаги има PrivateLink или regional mirror. За SaaS API-тата компромисът обикновено си струва, защото обемът е малък. За пълния списък на услуги с PrivateLink поддръжка вижте официалната AWS документация.

Друг класически грешник: ECS/EKS pods, които pull-ват image от Docker Hub при всяко стартиране. Един image от 500MB, стартиран 200 пъти на ден на 6 NAT-ове, е 90GB/ден × $0.045 = $4/ден = $120/месец за един image. Push в ECR + VPC Endpoint = $0.

Защо CloudFront/CDN намалява egress разходите

CloudFront има два икономически ефекта, които често се пропускат. Първо, трафикът от S3 (или EC2/ALB) към CloudFront е безплатен. Нарича се regional data transfer out to CloudFront и AWS го таксува на $0.00/GB още от 2021 г. Второ, CloudFront таксува internet egress на $0.085/GB вместо $0.09/GB, спестявайки 5.5% само по този ред. Заедно тези два ефекта означават, че дори без cache hit ratio минаването през CloudFront е по-евтино от директен S3 egress.

Реалните спестявания идват от cache hit ratio. При типичен 80% cache hit ratio на медия (изображения, CSS, JS, видео) ефективната цена за egress пада до $0.085 × 0.20 + $0.00 × 0.80 = $0.017/GB, тоест 5x по-евтино от $0.09/GB директен S3 egress. Добавете автоматичен Brotli/Gzip compression и често виждам 70–80% намаление на статичните data transfer разходи.

За Azure и GCP логиката е същата. Azure Front Door и Google Cloud CDN също не таксуват origin pull от Blob Storage / Cloud Storage в същия регион. Ако още правите това с директни presigned URL към S3/Blob, проверете трафика през нашето ръководство за AWS Cost Explorer и Cost Anomaly Detection. Почти сигурно ви чакат сериозни спестявания.

Как да намалим cross-AZ и cross-region трафика

Cross-AZ трафикът е тихият убиец на разпределените системи. Kafka cluster с replication factor 3 в три AZ-та таксува всеки производител и всеки консуматор за $0.02/GB (in + out). Един клиент с 8TB/ден Kafka throughput плащаше $4,800/месец само cross-AZ. След като включихме Kafka rack awareness (broker.rack + RackAwareReplicaSelector), което насочва consumers към same-AZ replica, сметката падна до $1,200.

Aurora и RDS Multi-AZ имат подобен ефект. Writer-to-reader replication е безплатна, но всяка read replica в различна AZ генерира cross-AZ трафик при failover или нормално четене с READ_COMMITTED през PgBouncer без AZ pinning. Решение: pin connection pool към same-AZ replica с availability_zone hint.

За Kubernetes използвайте topology.kubernetes.io/zone labels с Topology Aware Routing (включено по default в Kubernetes 1.27+) и internalTrafficPolicy: Local на critical services. В нашето ръководство за Kubernetes оптимизация с Karpenter и KEDA описвам как Karpenter може да оптимизира node placement по AZ за batch workloads, които иначе ще пробиват zone boundaries.

Алтернативи с нулев egress: Cloudflare R2, Backblaze B2

За определени workloads напускането на хиперскейлъра е финансово неизбежно. Cloudflare R2 предлага S3-съвместим object storage с $0 egress такси. Плащате само за storage ($0.015/GB/месец) и operations. Backblaze B2 е $0.006/GB/месец storage + $0.01/GB egress (1GB безплатно на ден за всеки GB съхраняван).

Кога има смисъл да мигрираш? Аз правя миграция, когато monthly_egress_TB > monthly_storage_TB * 3. Това е типично за: хостинг на медия (фотографски сайтове, обучителни видеа), public dataset distribution, container image registries за external consumers, backup retrieval workflows. За горещ application storage с интензивни writes хиперскейлърите обикновено остават по-добри заради co-location с compute.

Мониторинг и алармиране за data transfer

Без видимост няма оптимизация. Минималният setup, който препоръчвам:

1. AWS Cost Explorer report с filter Usage Type Group = "EC2: Data Transfer", групиран по Linked Account и Usage Type. Запазете го като saved report.
2. Cost Anomaly Detection monitor с тип DIMENSIONAL на USAGE_TYPE и threshold $200/ден.
3. VPC Flow Logs към S3 + Athena за ad-hoc заявки. Не CloudWatch Logs, защото е твърде скъпо за production VPC.
4. Tag-based attribution чрез aws:CreatedBy и custom cost-center тагове, така че разходите за data transfer да попадат в правилния team budget. Вижте нашето ръководство за tagging стратегии за cost allocation.

За GCP еквивалентът е BigQuery export на billing data + предефинирани labels. За Azure използвайте Cost Management exports към storage account и Power BI за визуализация. Във всички три случая искате месечен alert ако data transfer надвишава 15% от total spend. Това е емпиричният праг, при който архитектурно нещо е сбъркано.

Чек-лист за 30 дни

Този план съм изпълнявал десетки пъти. Резултатите са много предсказуеми, между 20% и 60% намаление на data transfer спенда за месец.

• Седмица 1: Включете Cost Explorer филтър за DataTransfer + Cost Anomaly Detection monitor. Идентифицирайте топ-10 destinations през VPC Flow Logs.
• Седмица 2: Добавете VPC Gateway Endpoints за S3 и DynamoDB във всички акаунти. Безплатно, без downtime.
• Седмица 3: Преместете ECR pulls зад VPC Endpoint. Прехвърлете static assets зад CloudFront/Front Door/Cloud CDN.
• Седмица 4: Включете topology-aware routing в Kubernetes; добавете broker.rack на Kafka brokers; pin-нете read replicas към app AZ.
• Бонус месец 2: Преоценете дали статичното съхранение има смисъл в R2/B2; добавете PrivateLink за SaaS observability vendors.

Не пропускайте да съотнесете резултатите със storage lifecycle policies. Намаляването на storage волума автоматично сваля и retrieval egress.

Често задавани въпроси

Колко струва 1 TB egress в AWS през 2026?

Първите 10 TB/месец излизащ трафик към интернет от us-east-1 струват $0.09/GB, тоест 1 TB = $90 (минус 100 GB безплатен месечен tier = $81). Същият TB през CloudFront пада до $87, а от S3 към CloudFront origin pull е безплатен.

Защо моят NAT Gateway е толкова скъп?

NAT Gateway таксува $0.045/GB processed data върху всеки байт, преминал през него, над цената на самия egress към интернет. Най-честите виновници са container image pulls (Docker Hub, ECR без endpoint), observability agents, package managers и SaaS API трафик. Решение: VPC Endpoints за AWS услуги и PrivateLink за поддържащи SaaS провайдъри.

Cross-AZ трафикът между EC2 инстанции таксува ли се?

Да. AWS таксува $0.01/GB във всяка посока (общо $0.02/GB за round-trip) за трафик между AZ в един регион. Azure е по-щедър и не таксува intra-VNet cross-AZ трафик, докато GCP таксува подобно на AWS ($0.01/GB всяка посока).

Има ли начин egress да е напълно безплатен?

Да, в три сценария: (1) Cloudflare R2 не таксува egress изобщо; (2) AWS, Azure и GCP не таксуват трафик от обектно хранилище към тяхното CDN; (3) при миграция от хиперскейлър AWS, Azure и GCP премахват egress такси за първите 60 дни, ако подадете официална заявка.

Кога VPC Interface Endpoint е по-евтин от NAT Gateway?

При 2 AZ конфигурация и обем над ~415 GB/месец на услуга Interface Endpoint ($0.01/час/AZ + $0.01/GB) става по-евтин от NAT Gateway ($0.045/GB). За ECR, Secrets Manager и STS почти винаги си струва, защото обемът е значителен.

Как мога да видя кои услуги генерират най-много data transfer?

Включете VPC Flow Logs към S3 + Athena и заявявайте по dstAddr агрегирано по bytes. Във Cost Explorer филтрирайте по Usage Type съдържащ „Bytes" или „DataTransfer" и групирайте по Linked Account. Тези два изгледа дават 90% от истината за по-малко от час работа.