Skryté náklady na síťový provoz v cloudu: Jak snížit egress poplatky o 40–78 %

Proč vás síťový provoz v cloudu stojí víc, než si myslíte

Většina cloudových týmů při optimalizaci nákladů řeší compute a úložiště. To dává smysl — jsou to největší položky na první pohled. Jenže v roce 2026 tvoří síťové poplatky, především egress (odchozí přenos dat), v průměru 10–18 % celkového cloudového rozpočtu. U multi-cloud a hybridních architektur to bývá ještě víc.

A tady je ten háček: tyto náklady jsou roztroušené napříč desítkami řádků na faktuře. Většina organizací je objeví, až když je pozdě.

Podle analýz z roku 2026 překračují cloudové faktury předpovědi o 30–40 % právě kvůli poplatkům za přenos dat — ne kvůli růstu objemu úložiště. V tomhle článku si ukážeme, kde přesně tyto náklady vznikají a jak je reálně snížit o 40–78 %. Žádná teorie, jen praktické kroky.

Co je to egress a proč je tak drahý

Egress označuje data, která opouštějí síť cloudového poskytovatele — ať už směrem na internet, do jiného cloudu, nebo do on-premises infrastruktury. Vstupní přenos dat (ingress) je u všech velkých poskytovatelů zdarma. Odchozí? Za ten platíte za každý GB.

Tenhle asymetrický cenový model samozřejmě není náhoda. Poskytovatelé chtějí vaše data dovnitř — dostat je ven je to, za co platíte. Vytvářejí tak gravitační efekt: jakmile vaše data žijí v infrastruktuře poskytovatele, jejich přesun má reálnou finanční cenu. A to docela nemalou.

Srovnání egress cen: AWS vs. Azure vs. GCP (2026)

Objem	AWS	Azure	GCP
Free tier	100 GB/měsíc	5 GB/měsíc	1 GB/měsíc
Prvních 10 TB	$0,09/GB	$0,087/GB	$0,12/GB
10–50 TB	$0,085/GB	$0,083/GB	$0,11/GB
50–150 TB	$0,07/GB	$0,07/GB	$0,08/GB

Pro kontext: pokud vaše aplikace přenáší 10 TB dat měsíčně na internet, zaplatíte přibližně $900 na AWS, $870 na Azure nebo $1 200 na GCP — jen za samotný odchozí přenos. To nezahrnuje cross-region, cross-AZ ani NAT Gateway poplatky. Čísla, která vám na první pohled mohou přijít „únosná", se při pohledu na celý rok rychle sčítají.

Tři skryté zabijáky rozpočtu

1. NAT Gateway — tichý tisícidolarový účet

NAT Gateway potřebujete pokaždé, když instance v privátních subnetech komunikují s internetem. V AWS stojí $0,045/hod (us-east-1) jen za to, že existuje — to je přibližně $33 měsíčně za jednu instanci. A pokud dodržujete best practices a provozujete NAT Gateway ve třech Availability Zones? Platíte téměř $100 měsíčně dříve, než se přenese jediný byte.

K tomu se přidává poplatek za zpracování dat: $0,045 za každý GB procházející přes NAT Gateway — i když data zůstávají v rámci AWS sítě (třeba provoz do S3 nebo ECR). Při 2 TB měsíčního provozu stoupají náklady na přibližně $370/měsíc. Při 10 TB jste na $1 000+ měsíčně — jen za NAT. Upřímně, tohle je jedna z těch položek, která mě vždycky překvapí, když ji vidím na faktuře poprvé.

2. Cross-AZ a cross-region poplatky

Přenos dat mezi Availability Zones v rámci jednoho regionu stojí v AWS $0,01/GB v obou směrech (platíte tedy celkově $0,02/GB). Meziregionální přenosy skáčou na $0,02/GB.

U architektury mikroslužeb rozprostřené přes více AZ — což je doporučený pattern pro vysokou dostupnost — se tyto náklady rychle sčítají. V Azure stojí přenos dat v rámci jedné geografie (třeba East US → West US) $0,02/GB, zatímco mezikontinentální přenosy se pohybují mezi $0,05–$0,08/GB.

3. Multi-cloud přenosy

Podle zprávy Flexera 2026 State of the Cloud používá 89 % podniků dva a více cloudových poskytovatelů. Každý přenos dat mezi poskytovateli (například AWS → Azure) generuje egress poplatky u zdrojového cloudu. U hybridních architektur s on-premises komponentou se k tomu přidávají i poplatky za Direct Connect nebo ExpressRoute. Prostě další řádek na faktuře, o kterém jste nevěděli.

7 strategií pro snížení síťových nákladů o 40–78 %

Tak, pojďme k tomu nejdůležitějšímu. Tady jsou konkrétní kroky, které můžete začít implementovat hned.

Strategie 1: Nasaďte VPC Gateway Endpoints (úspora: 100 % na S3/DynamoDB provozu)

VPC Gateway Endpoints pro S3 a DynamoDB jsou zcela zdarma — žádný hodinový poplatek, žádný poplatek za zpracování dat. Prostým přidáním Gateway endpointu do route table vaší VPC eliminujete poplatek $0,045/GB za veškerý provoz do těchto služeb.

Pro workload přenášející 10 TB dat do S3 měsíčně tato jednoduchá konfigurační změna ušetří $450 každý měsíc. To je ta nejjednodušší úspora, kterou můžete udělat — a překvapivě hodně týmů ji stále nemá nasazenou.

Terraform konfigurace

# Gateway endpoint pro S3 - ZDARMA
resource "aws_vpc_endpoint" "s3" {
  vpc_id       = aws_vpc.main.id
  service_name = "com.amazonaws.eu-central-1.s3"
  vpc_endpoint_type = "Gateway"

  route_table_ids = [
    aws_route_table.private_a.id,
    aws_route_table.private_b.id,
    aws_route_table.private_c.id,
  ]

  tags = {
    Name        = "s3-gateway-endpoint"
    Environment = "production"
    CostCenter  = "platform"
  }
}

# Gateway endpoint pro DynamoDB - ZDARMA
resource "aws_vpc_endpoint" "dynamodb" {
  vpc_id       = aws_vpc.main.id
  service_name = "com.amazonaws.eu-central-1.dynamodb"
  vpc_endpoint_type = "Gateway"

  route_table_ids = [
    aws_route_table.private_a.id,
    aws_route_table.private_b.id,
    aws_route_table.private_c.id,
  ]
}

Strategie 2: Přejděte na Interface Endpoints pro ECR, CloudWatch a další služby (úspora: 78 %)

Pro služby jako ECR, CloudWatch, SQS nebo Secrets Manager musíte použít Interface Endpoints (PrivateLink). Stojí $0,01/hod + $0,01/GB — oproti $0,045/GB přes NAT Gateway. To je úspora 78 % na poplatcích za zpracování dat.

Reálný příklad z praxe: Kubernetes cluster zpracovávající 178 000 GB/měsíc ECR provozu snížil NAT náklady z $10 000 na $2 000 měsíčně. Ano, čtete správně — $8 000 měsíčně ušetřených jednou konfigurační změnou.

# Interface endpoint pro ECR (Docker registry)
resource "aws_vpc_endpoint" "ecr_dkr" {
  vpc_id              = aws_vpc.main.id
  service_name        = "com.amazonaws.eu-central-1.ecr.dkr"
  vpc_endpoint_type   = "Interface"
  private_dns_enabled = true

  subnet_ids = [
    aws_subnet.private_a.id,
    aws_subnet.private_b.id,
  ]

  security_group_ids = [aws_security_group.vpc_endpoints.id]
}

# Interface endpoint pro ECR API
resource "aws_vpc_endpoint" "ecr_api" {
  vpc_id              = aws_vpc.main.id
  service_name        = "com.amazonaws.eu-central-1.ecr.api"
  vpc_endpoint_type   = "Interface"
  private_dns_enabled = true

  subnet_ids = [
    aws_subnet.private_a.id,
    aws_subnet.private_b.id,
  ]

  security_group_ids = [aws_security_group.vpc_endpoints.id]
}

# Interface endpoint pro CloudWatch Logs
resource "aws_vpc_endpoint" "cloudwatch_logs" {
  vpc_id              = aws_vpc.main.id
  service_name        = "com.amazonaws.eu-central-1.logs"
  vpc_endpoint_type   = "Interface"
  private_dns_enabled = true

  subnet_ids = [
    aws_subnet.private_a.id,
    aws_subnet.private_b.id,
  ]

  security_group_ids = [aws_security_group.vpc_endpoints.id]
}

Strategie 3: Nahraďte NAT Gateway levnější alternativou v dev/test prostředí (úspora: 67–90 %)

NAT Gateway v dev/test prostředí běžící 24/7 stojí minimálně $33/měsíc i bez provozu. Za celý rok je to skoro $400 za službu, kterou v dev prostředí možná využijete pár hodin denně. Alternativy:

• NAT instance na t4g.nano — přibližně $3/měsíc, vhodné pro workloady pod 100 GB/měsíc
• On-demand NAT Gateway — pomocí Terraform/CloudFormation vytvářejte a rušte NAT Gateway pouze během pracovní doby; úspora až 67 % při 8hodinových pracovních dnech

# Příklad: NAT instance jako levná alternativa pro dev/test
resource "aws_instance" "nat_instance" {
  ami                    = data.aws_ami.nat_ami.id
  instance_type          = "t4g.nano"  # ~$3/měsíc
  subnet_id              = aws_subnet.public.id
  source_dest_check      = false

  tags = {
    Name        = "nat-instance-dev"
    Environment = "development"
  }
}

resource "aws_route" "nat_route" {
  route_table_id         = aws_route_table.private_dev.id
  destination_cidr_block = "0.0.0.0/0"
  network_interface_id   = aws_instance.nat_instance.primary_network_interface_id
}

Strategie 4: Využijte CDN pro snížení egress o 60–80 %

Přenosy z S3 do CloudFront edge lokací stojí $0,00 — prostě nic. CloudFront pak doručuje obsah z cache za výrazně nižší cenu než přímý egress. Stejný princip funguje u Azure CDN s Blob Storage a Cloud CDN s GCS.

Implementace CDN může snížit celkové egress náklady o 60–80 % u aplikací doručujících statický obsah, média nebo API odpovědi. Pokud ještě CDN nepoužíváte a máte jakýkoli veřejně dostupný obsah, tohle by měl být jeden z prvních kroků.

# AWS CloudFront distribuce s S3 origin
resource "aws_cloudfront_distribution" "cdn" {
  origin {
    domain_name = aws_s3_bucket.assets.bucket_regional_domain_name
    origin_id   = "S3-assets"

    s3_origin_config {
      origin_access_identity = aws_cloudfront_origin_access_identity.oai.cloudfront_access_identity_path
    }
  }

  enabled             = true
  default_cache_behavior {
    allowed_methods  = ["GET", "HEAD"]
    cached_methods   = ["GET", "HEAD"]
    target_origin_id = "S3-assets"

    forwarded_values {
      query_string = false
      cookies {
        forward = "none"
      }
    }

    viewer_protocol_policy = "redirect-to-https"
    min_ttl                = 0
    default_ttl            = 86400
    max_ttl                = 31536000
    compress               = true  # Brotli/Gzip komprese
  }

  restrictions {
    geo_restriction {
      restriction_type = "none"
    }
  }

  viewer_certificate {
    cloudfront_default_certificate = true
  }
}

Strategie 5: Komprimujte data před přenosem (úspora: 20–40 %)

Zapnutí Gzip nebo Brotli komprese pro webový obsah může snížit objem přenášených dat o 60–80 %. U API komunikace zvažte přechod z JSON na binární formáty jako Protocol Buffers (Protobuf) — typicky 3–10× menší payload. Méně přenesených bytů = menší faktura. Jednoduché.

• Webový obsah: Povolte kompresi na load balanceru nebo reverse proxy (nginx, ALB)
• API provoz: Zvažte gRPC s Protobuf místo REST s JSON
• Backup a replikace: Používejte deduplikaci a inkrementální zálohy

# Nginx konfigurace pro Brotli a Gzip kompresi
gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types text/plain text/css application/json
           application/javascript text/xml application/xml
           application/xml+rss text/javascript
           image/svg+xml;

# Brotli (pokud je modul nainstalován)
brotli on;
brotli_comp_level 6;
brotli_types text/plain text/css application/json
             application/javascript text/xml application/xml
             application/xml+rss text/javascript
             image/svg+xml;

Strategie 6: Zvažte Cloudflare R2 pro vysoký egress (úspora: 90–100 % na egress)

Cloudflare R2 nabízí nulové egress poplatky — žádný práh, žádné podmínky. Storage stojí $0,015/GB/měsíc (oproti $0,023/GB u S3 Standard). A API je plně kompatibilní s S3, takže migrace nebolí.

Příklad, který mluví za vše: firma ukládající 10 TB dat s 50 TB měsíčního přenosu zaplatí:

• Cloudflare R2: $150/měsíc (jen úložiště, nulový egress)
• AWS S3: $230 úložiště + $4 500 egress = $4 730/měsíc
• GCP Cloud Storage: $200 úložiště + ~$5 000 egress = $5 200/měsíc

Jasně, R2 má svá omezení — pouze 2 storage třídy, chybí Object Lock (WORM) a deep archive tier. Pro compliance-heavy workloady ve financích nebo zdravotnictví může být S3 stále lepší volba. Ale pro doručování veřejného obsahu, backup storage nebo vysokobandwidthové aplikace je ta úspora prostě obrovská.

Strategie 7: Monitorujte, tagujte a nastavte alerty

Tohle zní nudně, ale je to základ všeho. Většina organizací nemá přehled o tom, které služby a týmy generují nejvíce egress provozu. A bez viditelnosti zkrátka nelze optimalizovat.

• AWS: Použijte Cost Explorer → filtrujte na „Data Transfer" → seskupte podle služby nebo tagu
• Azure: Cost Management → Export do Power BI → analyzujte network metriky
• GCP: Billing Export do BigQuery → dotazy na síťové náklady

Nastavte budget alerty na neočekávané nárůsty síťových nákladů. Anomálie odhalené brzy jsou rozdíl mezi malou úpravou konfigurace a nepříjemným účtem na konci měsíce.

# AWS CLI: Analýza data transfer nákladů za posledních 30 dní
aws ce get-cost-and-usage \
  --time-period Start=2026-02-26,End=2026-03-26 \
  --granularity MONTHLY \
  --metrics "UnblendedCost" \
  --filter '{"Dimensions":{"Key":"USAGE_TYPE_GROUP","Values":["EC2: Data Transfer - Internet (Out)","EC2: Data Transfer - Region to Region (Out)","EC2: Data Transfer - Inter AZ"]}}' \
  --group-by Type=DIMENSION,Key=USAGE_TYPE_GROUP \
  --output table

Srovnání: kolik můžete ušetřit

Následující tabulka shrnuje potenciální úspory jednotlivých strategií pro typický workload s 10 TB měsíčního přenosu. Čísla jsou orientační, ale dávají dobrý obrázek o tom, kde začít:

Strategie	Měsíční úspora	Složitost implementace	Riziko
VPC Gateway Endpoints (S3/DynamoDB)	$450	Nízká (1 Terraform resource)	Minimální
Interface Endpoints (ECR, CW)	$350–$800	Střední	Nízké
NAT instance místo Gateway (dev)	$30–$100	Nízká	Nižší dostupnost
CDN (CloudFront/Azure CDN)	$540–$720	Střední	Cache invalidace
Komprese (Brotli/Gzip)	$180–$360	Nízká	Minimální
Cloudflare R2 (vysoký egress)	$900+	Vysoká (migrace)	Méně funkcí
Monitoring a alerty	Variabilní	Nízká	Žádné

Checklist: 10 kroků k nižším síťovým nákladům

1. Nasaďte VPC Gateway Endpoints pro S3 a DynamoDB v každé VPC
2. Vyhodnoťte Interface Endpoints pro ECR, CloudWatch, SQS a další vysokoobjemové služby
3. Auditujte NAT Gateway náklady — zvažte NAT instance pro dev/test
4. Implementujte CDN pro statický obsah a API odpovědi
5. Zapněte kompresi na všech vrstvách (ALB, nginx, CloudFront)
6. Konsolidujte workloady do jednoho regionu, kde je to možné
7. Tagujte všechny síťové zdroje pro přiřazení nákladů k týmům
8. Nastavte budget alerty na Data Transfer kategorii
9. Vyhodnoťte Cloudflare R2 pro workloady s vysokým egress
10. Přezkoumejte cross-AZ provoz — co-locate závislé služby ve stejné AZ

Často kladené otázky (FAQ)

Kolik stojí egress z cloudu v roce 2026?

Standardní egress ceny pro přenos dat na internet se v roce 2026 pohybují mezi $0,087–$0,12 za GB u velkých poskytovatelů. AWS účtuje $0,09/GB (prvních 10 TB), Azure $0,087/GB a GCP $0,12/GB. Ceny klesají s objemem — nad 150 TB se dostanete na $0,05–$0,07/GB. K tomu je třeba připočítat cross-AZ poplatky ($0,01/GB) a NAT Gateway poplatky ($0,045/GB), které v základní ceně zahrnuté nejsou.

Jak zjistím, kolik platím za síťový provoz v AWS?

V AWS Cost Exploreru vyfiltrujte kategorii „Data Transfer" a seskupte podle Usage Type Group. Klíčové položky hledejte pod názvy jako „EC2: Data Transfer - Internet (Out)", „EC2: Data Transfer - Inter AZ" a „NatGateway". Pro detailnější analýzu aktivujte Cost and Usage Report (CUR) s hodinovým rozlišením a exportujte do Athena nebo S3 pro vlastní dotazy.

Je Cloudflare R2 vhodná náhrada za S3?

Pro workloady s vysokým egress rozhodně ano — R2 nabízí nulové egress poplatky a nižší cenu úložiště ($0,015 vs. $0,023/GB). API je S3-kompatibilní, takže migrace je poměrně přímočará. Nicméně R2 má pouze 2 storage třídy (oproti 6 u S3), nepodporuje Object Lock (WORM compliance) ani deep archive. Pro compliance-heavy workloady nebo hlubokou integraci s AWS ekosystémem zůstává S3 lepší volbou. Spousta organizací nakonec kombinuje oba přístupy — R2 pro vysokobandwidthový obsah, S3 pro archivy a AWS-nativní pipeline.

Jaký je rozdíl mezi VPC Gateway a Interface Endpoint?

Gateway Endpoints jsou dostupné pouze pro S3 a DynamoDB, jsou zcela zdarma a fungují jako položka ve route table vaší VPC. Interface Endpoints (PrivateLink) jsou dostupné pro většinu AWS služeb (ECR, CloudWatch, SQS aj.), stojí $0,01/hod + $0,01/GB a vytvářejí privátní síťové rozhraní (ENI) ve vašem subnetu. Obě varianty eliminují potřebu směrovat provoz přes NAT Gateway, ale Gateway Endpoints jsou výrazně levnější — nasazujte je vždy jako první.

Jak eliminovat cross-AZ poplatky v Kubernetes?

Cross-AZ provoz v Kubernetes můžete minimalizovat pomocí topology-aware routing. V novějších verzích Kubernetes (1.27+) použijte anotaci service.kubernetes.io/topology-mode: Auto na Service objektech — to preferuje směrování provozu do podů ve stejné AZ. Pro služby s vysokým interním provozem (databáze, cache) zvažte pinning na konkrétní AZ pomocí node affinity pravidel.