Waarom Netwerkkosten de Blinde Vlek van Je Cloudfactuur Zijn
De meeste organisaties richten zich bij cloudkostenoptimalisatie op compute en opslag — logisch, want dat zijn de posten die je direct ziet. Maar er is een categorie die stelselmatig over het hoofd wordt gezien: netwerkkosten. Volgens onderzoek van Gartner vormen egress- en datatransferkosten gemiddeld 10 tot 15% van de totale cloudfactuur, en bij data-intensieve workloads kan dit oplopen tot 40%.
Dat is nogal wat.
In 2026 zijn netwerkgerelateerde kosten — egress, NAT Gateway-verwerking en publieke IPv4-adressen — de snelst groeiende post op de enterprise cloudfactuur. In deze gids laat ik precies zien hoe data transfer-kosten werken bij AWS, Azure en GCP, waar de verborgen kosten zitten, en welke concrete stappen je kunt nemen om 40 tot 70% te besparen op je netwerkuitgaven.
Hoe Cloud Data Transfer-kosten Werken
Cloud providers hanteren een asymmetrisch prijsmodel voor dataverkeer: inkomend verkeer (ingress) is gratis, maar voor uitgaand verkeer (egress) betaal je per gigabyte. En dat geldt niet alleen voor verkeer naar het internet — ook verplaatsing tussen regio's, availability zones en zelfs tussen services binnen hetzelfde netwerk kost geld.
De Vier Typen Data Transfer
- Internet Egress: Data die je cloudnetwerk verlaat richting het publieke internet — de duurste categorie ($0,08–$0,12/GB).
- Cross-Region Transfer: Data die tussen regio's verplaatst wordt, bijvoorbeeld voor disaster recovery of geo-replicatie ($0,01–$0,08/GB).
- Cross-AZ Transfer: Data tussen availability zones binnen dezelfde regio — wordt vaak over het hoofd gezien ($0,01/GB per richting).
- Intra-AZ Transfer: Verkeer binnen dezelfde availability zone — doorgaans gratis bij gebruik van privé-IP-adressen.
Prijsvergelijking: AWS vs. Azure vs. GCP (Maart 2026)
Hieronder vind je een overzicht van de actuele internet egress-tarieven voor de drie grote cloud providers vanuit US-regio's. Eerlijk gezegd was ik zelf ook verrast door sommige verschillen.
Internet Egress-tarieven per Provider
| Volume | AWS | Azure | GCP (Premium) | GCP (Standard) |
|---|---|---|---|---|
| Eerste 100 GB/maand | Gratis | Gratis | Gratis | Gratis |
| 100 GB – 1 TB | $0,09/GB | $0,087/GB | $0,12/GB | $0,085/GB |
| 1 TB – 10 TB | $0,09/GB | $0,087/GB | $0,11/GB | $0,085/GB |
| 10 TB – 50 TB | $0,085/GB | $0,083/GB | $0,08/GB | $0,065/GB |
Belangrijk: Azure biedt de laagste basistarieven voor de eerste 10 TB. AWS is competitief bij middelgrote volumes. GCP is het duurst bij de Premium Tier, maar de Standard Tier (routing via publiek internet) is verrassend goedkoop. Vanaf 1 mei 2026 verdubbelt Google de tarieven voor CDN Interconnect, Direct Peering en Carrier Peering — een flinke kostenverhoging voor organisaties die via peering-partners als Cloudflare, Akamai of Fastly werken.
De Verborgen Kostenposten die Je Factuur Opblazen
NAT Gateway: De Stille Kostenverschraler
De NAT Gateway is waarschijnlijk de meest onderschatte kostenpost in AWS-netwerken. Elke byte die door een NAT Gateway loopt kost $0,045/GB aan verwerkingskosten, bovenop de reguliere egress-tarieven. Daarnaast betaal je $0,045/uur (zo'n $32/maand) per NAT Gateway.
Laten we even rekenen. Een bescheiden 1 TB maandelijks verkeer door een NAT Gateway kost al $45 aan verwerkingskosten alleen — plus die $32 maandelijkse basiskosten. Schaal dit naar meerdere availability zones en zware workloads, en je zit snel aan duizenden euro's per maand. Het werkelijke egress-tarief wordt daarmee effectief $0,135/GB in plaats van de geadverteerde $0,09/GB. Best een verschil.
Azure en GCP kennen vergelijkbare patronen. Azure's NAT Gateway rekent $0,045/uur plus $0,045/GB verwerkt, en GCP's Cloud NAT rekent circa $0,045/GB verwerkt.
Cross-AZ Verkeer: De Sluipmoordenaar
Cross-AZ traffic binnen dezelfde regio kost $0,01/GB per richting ($0,02/GB retour) bij alle drie de providers. Klinkt weinig, toch? Maar voor microservices-architecturen met veel inter-service communicatie loopt dit razendsnel op. Een cluster met 500 GB dagelijks cross-AZ verkeer kost circa $300/maand — alleen aan netwerkverkeer.
Cross-Region Database-replicatie
Het repliceren van een database van us-east-1 naar eu-west-1 op AWS kost $0,02/GB in beide richtingen. Een 500 GB database die dagelijks repliceert genereert $300/maand aan transferkosten — verborgen onder "EC2-Other" in Cost Explorer. Niet het eerste waar je gaat zoeken als je je factuur analyseert.
Strategie 1: VPC Endpoints en Private Connectivity
De grootste winst op netwerkkosten behaal je door verkeer van het publieke internet en NAT Gateways weg te houden. Dit doe je met private endpoints die een directe verbinding maken tussen je VPC en de cloudservices. En het mooie is: bij sommige providers is dit volledig gratis.
AWS — Gateway en Interface Endpoints
Gateway Endpoints (gratis) zijn beschikbaar voor S3 en DynamoDB. Ze elimineren volledig de NAT Gateway-verwerkingskosten voor verkeer naar deze services. Dit alleen al kan $45/maand per TB aan S3-verkeer besparen.
Interface Endpoints (via AWS PrivateLink) kosten $0,01/uur/AZ (~$8,76/maand/AZ) plus $0,01/GB — aanzienlijk goedkoper dan de $0,045/GB via een NAT Gateway. Zet deze in voor ECR, CloudWatch, STS en andere veelgebruikte services.
Zo implementeer je een S3 Gateway Endpoint met Terraform:
# S3 Gateway Endpoint — gratis, geen NAT Gateway-kosten meer voor S3
resource "aws_vpc_endpoint" "s3" {
vpc_id = aws_vpc.main.id
service_name = "com.amazonaws.${var.region}.s3"
vpc_endpoint_type = "Gateway"
route_table_ids = [
aws_route_table.private_a.id,
aws_route_table.private_b.id,
aws_route_table.private_c.id,
]
tags = {
Name = "s3-gateway-endpoint"
Environment = var.environment
CostCenter = "networking"
}
}
# DynamoDB Gateway Endpoint — eveneens gratis
resource "aws_vpc_endpoint" "dynamodb" {
vpc_id = aws_vpc.main.id
service_name = "com.amazonaws.${var.region}.dynamodb"
vpc_endpoint_type = "Gateway"
route_table_ids = [
aws_route_table.private_a.id,
aws_route_table.private_b.id,
aws_route_table.private_c.id,
]
tags = {
Name = "dynamodb-gateway-endpoint"
Environment = var.environment
CostCenter = "networking"
}
}
# Interface Endpoint voor ECR (betaald maar goedkoper dan NAT)
resource "aws_vpc_endpoint" "ecr_api" {
vpc_id = aws_vpc.main.id
service_name = "com.amazonaws.${var.region}.ecr.api"
vpc_endpoint_type = "Interface"
private_dns_enabled = true
subnet_ids = var.private_subnet_ids
security_group_ids = [aws_security_group.vpc_endpoints.id]
tags = {
Name = "ecr-api-endpoint"
Environment = var.environment
}
}Azure — Private Link en Private Endpoints
Azure Private Link houdt verkeer volledig op het Microsoft-backbone-netwerk. Er zijn geen egress-kosten voor data die via Private Link loopt. Combineer dit met ExpressRoute Local voor on-premises connectiviteit — hierbij is egress volledig gratis voor workloads in dezelfde metro/peering-locatie.
# Azure Private Endpoint voor Storage Account (Azure CLI)
az network private-endpoint create \
--name "storage-private-endpoint" \
--resource-group "rg-networking" \
--vnet-name "vnet-production" \
--subnet "subnet-private-endpoints" \
--private-connection-resource-id "/subscriptions/{sub-id}/resourceGroups/rg-data/providers/Microsoft.Storage/storageAccounts/mystorageaccount" \
--group-id "blob" \
--connection-name "storage-pe-connection"
# Private DNS Zone koppelen voor naadloze DNS-resolutie
az network private-dns zone create \
--resource-group "rg-networking" \
--name "privatelink.blob.core.windows.net"
az network private-dns link vnet create \
--resource-group "rg-networking" \
--zone-name "privatelink.blob.core.windows.net" \
--name "storage-dns-link" \
--virtual-network "vnet-production" \
--registration-enabled falseGCP — Private Google Access en Private Service Connect
Private Google Access (PGA) stelt VM-instances zonder extern IP-adres in staat om Google API's en services te bereiken via het interne Google-netwerk in plaats van het internet. Dit elimineert egress-kosten voor toegang tot Cloud Storage, BigQuery en Artifact Registry.
# Private Google Access inschakelen op een subnet (gcloud CLI)
gcloud compute networks subnets update subnet-private \
--region=europe-west4 \
--enable-private-ip-google-access
# Private Service Connect endpoint aanmaken
gcloud compute forwarding-rules create psc-storage-endpoint \
--region=europe-west4 \
--network=vpc-production \
--subnet=subnet-psc \
--target-google-apis-bundle=all-apis \
--address=psc-internal-ipStrategie 2: CDN en Intelligente Caching
Een Content Delivery Network (CDN) cacht content op edge-locaties wereldwijd, waardoor minder data vanuit je origin-servers via dure egress wordt verzonden. Dit kan egress-kosten met 30 tot 60% verlagen. In mijn ervaring is een CDN een van de snelste manieren om je netwerkkosten te drukken.
CDN Egress-besparingen per Provider
| Provider | CDN-service | CDN Egress-tarief | Standaard Egress-tarief | Besparing |
|---|---|---|---|---|
| AWS | CloudFront | $0,085/GB | $0,09/GB | ~6% + reduced origin fetches |
| Azure | Azure CDN | $0,065/GB | $0,087/GB | ~25% |
| GCP | Cloud CDN | $0,02–$0,08/GB | $0,12/GB | Tot 83% |
De werkelijke besparing ligt hoger dan de tariefverschillen suggereren, omdat een groot deel van de requests uit de cache wordt geserveerd en nooit je origin bereikt. Dat scheelt flink.
# AWS CloudFront distributie met caching-optimalisatie (Terraform)
resource "aws_cloudfront_distribution" "api_cdn" {
enabled = true
price_class = "PriceClass_100" # Alleen goedkope edge locations
comment = "API CDN - cost optimized"
origin {
domain_name = aws_lb.api.dns_name
origin_id = "api-alb"
custom_origin_config {
http_port = 80
https_port = 443
origin_protocol_policy = "https-only"
origin_ssl_protocols = ["TLSv1.2"]
}
}
default_cache_behavior {
allowed_methods = ["GET", "HEAD", "OPTIONS"]
cached_methods = ["GET", "HEAD"]
target_origin_id = "api-alb"
viewer_protocol_policy = "redirect-to-https"
compress = true # Automatische compressie bespaart bandbreedte
cache_policy_id = aws_cloudfront_cache_policy.optimized.id
origin_request_policy_id = aws_cloudfront_origin_request_policy.api.id
# TTL-instellingen voor maximale cache hit ratio
min_ttl = 0
default_ttl = 3600 # 1 uur standaard
max_ttl = 86400 # 24 uur maximum
}
restrictions {
geo_restriction {
restriction_type = "none"
}
}
viewer_certificate {
cloudfront_default_certificate = true
}
}Strategie 3: Architectuuroptimalisatie
Same-AZ Plaatsing voor Communicerende Services
Plaats services die veel met elkaar communiceren in dezelfde availability zone. Intra-AZ verkeer met privé-IP-adressen is gratis, terwijl cross-AZ $0,01/GB per richting kost. Een simpele aanpassing, maar het effect kan verrassend groot zijn.
Sinds eind 2025 biedt AWS de Regional NAT Gateway aan, die alle AZ's in een regio bedient vanuit één gateway. Dit verlaagt de uurkosten met 66% voor drie-AZ deployments — van $97,20/maand naar $32,40/maand.
Datacompressie Implementeren
Compressie van data vóór verzending vermindert het volume met 20 tot 40%, wat direct resulteert in lagere egress-kosten. Schakel gzip of Brotli-compressie in op applicatieniveau:
# Nginx configuratie voor optimale compressie
gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types
text/plain
text/css
text/xml
application/json
application/javascript
application/xml
application/rss+xml
image/svg+xml;
# Brotli compressie (betere ratio dan gzip)
brotli on;
brotli_comp_level 6;
brotli_types
text/plain
text/css
text/xml
application/json
application/javascript
application/xml;Workloads en Data Coloceren
Zorg dat gerelateerde services en hun data zich in dezelfde regio bevinden. Cross-region transfers kosten $0,01–$0,08/GB. Een applicatieserver in eu-west-1 die een database in us-east-1 benadert genereert onnodige transferkosten bij elke query. Klinkt vanzelfsprekend, maar je zou versteld staan hoe vaak dit voorkomt in de praktijk.
Strategie 4: Monitoring, Analyse en Kostenbeheersing
Je kunt alleen optimaliseren wat je meet. Klinkt als een open deur, maar zonder goede monitoring blijf je raden waar het geld naartoe gaat. Gebruik de volgende tools om inzicht te krijgen in je netwerkkosten:
AWS — VPC Flow Logs en Cost Explorer
# VPC Flow Logs inschakelen voor netwerkanalyse
aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids vpc-0123456789abcdef0 \
--traffic-type ALL \
--log-destination-type cloud-watch-logs \
--log-group-name "/vpc/flow-logs/production" \
--deliver-logs-permission-arn arn:aws:iam::123456789012:role/flow-logs-role
# NAT Gateway-kosten analyseren met Cost Explorer CLI
aws ce get-cost-and-usage \
--time-period Start=2026-03-01,End=2026-03-31 \
--granularity MONTHLY \
--metrics "UnblendedCost" \
--filter '{
"Dimensions": {
"Key": "USAGE_TYPE",
"Values": ["EUW1-NatGateway-Hours", "EUW1-NatGateway-Bytes"]
}
}' \
--group-by Type=DIMENSION,Key=USAGE_TYPEAzure — Network Watcher en Cost Management
# Azure Network Watcher inschakelen voor verkeersanalyse
az network watcher configure \
--resource-group "rg-networking" \
--locations westeurope \
--enabled true
# NSG Flow Logs activeren
az network watcher flow-log create \
--resource-group "rg-networking" \
--name "nsg-flow-log-prod" \
--nsg "nsg-production" \
--storage-account "stflowlogs" \
--enabled true \
--format JSON \
--log-version 2 \
--retention 30
# Netwerkkosten opvragen via Cost Management
az cost query --type ActualCost \
--timeframe MonthToDate \
--dataset-filter '{
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": ["Virtual Network", "Bandwidth", "Azure DNS"]
}
}'GCP — VPC Flow Logs en Billing Export
# VPC Flow Logs inschakelen op subnet
gcloud compute networks subnets update subnet-production \
--region=europe-west4 \
--enable-flow-logs \
--logging-aggregation-interval=interval-5-sec \
--logging-flow-sampling=0.5 \
--logging-metadata=include-all
# Netwerkkosten analyseren via BigQuery billing export
SELECT
service.description AS service,
sku.description AS sku,
SUM(cost) AS total_cost,
SUM(usage.amount) AS total_usage,
usage.unit
FROM `project.dataset.gcp_billing_export_v1_XXXXXX`
WHERE
invoice.month = "202603"
AND service.description LIKE "%Network%"
GROUP BY service, sku, usage.unit
ORDER BY total_cost DESC
LIMIT 20;Implementatie-checklist: Quick Wins voor Direct Resultaat
Goed, genoeg theorie. De onderstaande acties kun je vandaag nog doorvoeren voor directe besparingen:
- Deploy S3/DynamoDB Gateway Endpoints in elke VPC — gratis, bespaart tot 100% van NAT-kosten voor die services.
- Schakel Private Google Access in op alle GCP-subnetten zonder extern IP — elimineert egress naar Google API's.
- Maak Azure Private Endpoints aan voor Storage Accounts en SQL Databases — geen egress-kosten via Private Link.
- Activeer compressie (gzip/Brotli) op al je webservers en API-gateways — 20–40% volumereductie.
- Schakel VPC Flow Logs in en analyseer je top-10 NAT Gateway-verbruikers — richt daar Interface Endpoints op.
- Implementeer CDN voor statische assets en veelgevraagde API-responses — 30–60% reductie in origin egress.
- Controleer cross-AZ plaatsing van microservices — verplaats veelcommunicerende services naar dezelfde AZ.
- Gebruik Regional NAT Gateway (AWS) in plaats van per-AZ NAT Gateways — 66% reductie op uurkosten.
Kostenvergelijking: Vóór en Na Optimalisatie
Om het concreet te maken: hier is een typisch scenario voor een middelgroot bedrijf met 5 TB maandelijks egress, 2 TB NAT Gateway-verkeer en 500 GB cross-AZ verkeer op AWS:
| Kostenpost | Vóór optimalisatie | Na optimalisatie | Besparing |
|---|---|---|---|
| Internet Egress (5 TB) | $450/maand | $180/maand (via CDN) | 60% |
| NAT Gateway verwerking (2 TB) | $90/maand | $18/maand (VPC Endpoints) | 80% |
| NAT Gateway uurkosten (3 AZ's) | $97/maand | $32/maand (Regional) | 67% |
| Cross-AZ verkeer (500 GB) | $10/maand | $3/maand (same-AZ) | 70% |
| Totaal | $647/maand | $233/maand | 64% |
Dat is een besparing van ruim $400 per maand — en dit is nog een relatief bescheiden setup. Bij grotere workloads lopen de besparingen snel op tot tienduizenden euro's per jaar.
Veelgestelde Vragen
Wat zijn cloud egress-kosten en waarom zijn ze zo hoog?
Egress-kosten zijn de kosten die cloud providers in rekening brengen voor data die hun netwerk verlaat. Cloud providers hanteren dit model om klanten te stimuleren data binnen hun ecosysteem te houden. De tarieven variëren van $0,08 tot $0,12/GB voor internet egress, wat bij data-intensieve applicaties kan oplopen tot 10–40% van de totale cloudfactuur.
Hoe kan ik mijn NAT Gateway-kosten verlagen op AWS?
De effectiefste aanpak is het deployen van VPC Gateway Endpoints voor S3 en DynamoDB (gratis) en Interface Endpoints voor andere veelgebruikte AWS-services zoals ECR en CloudWatch. Gebruik daarnaast de Regional NAT Gateway om uurkosten met 66% te verlagen. Analyseer met VPC Flow Logs welke services het meeste verkeer genereren — dat geeft je een concreet startpunt.
Wat is het verschil tussen een Gateway Endpoint en een Interface Endpoint op AWS?
Een Gateway Endpoint is volledig gratis en beschikbaar voor S3 en DynamoDB. Het werkt via route tables. Een Interface Endpoint (via PrivateLink) kost ~$8,76/maand/AZ plus $0,01/GB, maar ondersteunt meer dan 100 AWS-services en werkt ook vanuit on-premises netwerken en andere regio's. Beide elimineren de noodzaak voor een NAT Gateway.
Hoe vergelijken de egress-kosten van AWS, Azure en GCP in 2026?
Azure biedt de laagste basistarieven ($0,087/GB), gevolgd door AWS ($0,09/GB) en GCP Premium ($0,12/GB). Alle drie bieden 100 GB gratis egress per maand. Let op: GCP verhoogt per 1 mei 2026 de tarieven voor CDN Interconnect en peering met circa 100%. De beste keuze hangt af van je totale workload en volumekortingen.
Is Private Link/Private Endpoint het waard voor kleine workloads?
Voor AWS Gateway Endpoints (S3/DynamoDB) is het antwoord altijd ja — ze zijn gratis, dus er is geen reden om het niet te doen. Voor Interface Endpoints en Azure Private Endpoints geldt een breakeven-punt: de vaste kosten (~$8,76/maand/AZ) moeten opwegen tegen de besparingen op NAT Gateway-kosten. Bij meer dan 200 GB/maand verkeer naar een specifieke service is een Interface Endpoint doorgaans voordeliger.