Як зменшити витрати на egress трафік AWS, Azure та GCP у 2026
Як скоротити витрати на egress трафік у AWS, Azure та GCP на 40-70% у 2026: VPC Endpoints, CDN, GCP Standard Tier, EU Data Act, плюс CLI-команди та чек-лист на 8 тижнів.
Щоб скоротити витрати на egress трафік у хмарі у 2026 році, перенесіть міжсервісні запити на приватні мережеві ендпоінти (VPC Endpoints, Private Link, PSC), активно кешуйте відповіді через CDN із належно налаштованими TTL, переведіть міжрегіональні реплікації на стандартний (а не преміум) мережевий рівень і скористайтеся правом ЄС на безкоштовний egress при міграції згідно з Data Act. Більшість команд економить 40–70% бюджету на data transfer уже за перші два місяці, причому без зміни архітектури застосунків. Нижче, що називається, конкретні цифри, команди CLI та правила пріоритизації для AWS, Azure та GCP.
Egress fees у AWS залишаються 0,09 USD/ГБ для першого 10 ТБ у більшості регіонів станом на травень 2026; перехід через NAT Gateway додає ще 0,045 USD/ГБ, тож заміна на VPC Endpoints дає миттєві 30–50% економії.
Data Act ЄС (повноцінно діє з 12 січня 2027) зобов'язує AWS, Azure та GCP надавати безкоштовний egress під час міграції клієнта до іншого провайдера. Використовуйте це для переговорів про знижки вже зараз.
GCP Standard Network Tier у середньому на 30–50% дешевший за Premium, але маршрутизує трафік через PoP найближчий до користувача, а не до Google. Підходить для бекенд-API, не для геораспреділеного фронтенду.
Cross-AZ трафік у AWS коштує 0,01 USD/ГБ в обидва боки. Для Kafka, Cassandra та інших data-intensive систем це часто 60% всіх network costs; rack-aware placement скорочує суму на 70%.
CloudFront, Azure Front Door та Cloud CDN мають безкоштовний внутрішній egress до origin. Правильно налаштований CDN не лише прискорює сайт, а й буквально оплачує сам себе.
Інструменти типу Vantage, CloudHealth і відкритий OpenCost тепер показують egress у розрізі pod/namespace/workload. Без цієї видимості 80% оптимізацій просто неможливі.
Чому egress трафік такий дорогий у 2026 році
Egress, якщо коротко, це вихідний трафік із хмари назовні: до інтернету, до іншого регіону, до іншої availability zone або навіть між двома сервісами в одному VPC, якщо вони ходять через NAT Gateway. У моєму досвіді з аудиту FinOps на 2024–2026 рік саме data transfer стабільно входить у топ-3 несподіванок бюджету для команд, які масштабують мікросервіси та аналітику. Причина проста: ціни на egress не падали майже десятиліття, тоді як storage і compute дешевшали щороку.
Станом на травень 2026 року базові тарифи (для перших ~10 ТБ/місяць) виглядають так: AWS — 0,09 USD/ГБ для US/EU регіонів, Azure 0,087 USD/ГБ після перших 100 ГБ безкоштовно, GCP Premium Tier 0,12 USD/ГБ, GCP Standard Tier 0,085 USD/ГБ. Це публічні значення; реально ви платите ще й за NAT processing, cross-AZ replication, Direct Connect data transfer і навіть за inter-region трафік у межах VPC. Згідно з звітом CNCF FinOps for Kubernetes 2025, до 22% витрат на k8s-кластери великих компаній припадає саме на egress і data transfer, а не на compute, як вважає більшість.
Друга причина, архітектурні шаблони, які мовчки генерують трафік. Service mesh з cross-AZ комунікацією, log shipping у S3 в іншому регіоні, метрики у централізований Prometheus, бекапи без compression, image pulls із Docker Hub замість внутрішнього registry. Кожен із цих патернів окремо незначний, але сукупно вони створюють "тихий" egress, який не видно ні в Cost Explorer, ні в Billing reports, поки ви не вмикнете VPC Flow Logs. Я це бачив на власні очі: команда шукала "невідомі" 14 тис. USD/місяць, і виявилося, що Fluent Bit ллє логи в S3 у сусідньому регіоні просто тому, що так було в дефолтному helm-чарті.
Як зменшити витрати на data transfer в AWS
AWS data transfer, чесно кажучи, це не одна стаття витрат, а сім окремих. Щоб ефективно оптимізувати, треба знати, які з них найбільші у вашому випадку. Запустіть цей запит у Cost Explorer (через API), щоб побачити розподіл:
Результат покаже типи на кшталт USE2-DataTransfer-Out-Bytes (egress до інтернету з Ohio), USE2-USE1-AWS-Out-Bytes (cross-region), USE2-DataTransfer-Regional-Bytes (cross-AZ). Для більшості команд, з якими я працював, картина така: 50% NAT Gateway processing, 30% cross-AZ, 15% internet egress, 5% cross-region. Це означає, що головний важіль не CDN (хоча він теж потрібен), а ліквідація NAT і cross-AZ трафіку.
VPC Endpoints і AWS PrivateLink: миттєва економія 30–50%
Кожен виклик з приватної підмережі до S3, DynamoDB, Secrets Manager, ECR або STS, який іде через NAT Gateway, коштує 0,045 USD/ГБ обробки плюс 0,09 USD/ГБ egress. Gateway Endpoint для S3 та DynamoDB повністю безкоштовний. Interface Endpoint (PrivateLink) для решти AWS-сервісів коштує 0,01 USD/год за AZ і 0,01 USD/ГБ обробки, тобто у 8 разів дешевше за NAT при типовому обсязі.
Перевірте, скільки трафіку зараз йде через NAT до AWS API:
# У VPC Flow Logs (через CloudWatch Insights)
fields @timestamp, srcAddr, dstAddr, bytes
| filter dstAddr like /52\.|54\.|3\./
| stats sum(bytes) as total_bytes by dstAddr
| sort total_bytes desc
| limit 20
Cross-AZ трафік: rack-aware placement і ZRR
Cross-AZ коштує 0,01 USD/ГБ у кожен бік, тобто round-trip обходиться у 0,02 USD/ГБ. Для Kafka-кластера на 10 ТБ replication trafiku/день це 6 000 USD/місяць тільки на cross-AZ replication. Що робити: для Kafka вмикайте rack.id=AZ_ID і client.rack, щоб consumer читав з replica у своїй AZ (KIP-392). Для Cassandra/ScyllaDB встановлюйте NetworkTopologyStrategy з prefer-local read consistency. Для додатків, Topology Aware Hints у Kubernetes, які зараз GA і автоматично пріоритизують endpoint у тій самій AZ.
Оптимізація bandwidth в Azure: зони, Front Door, ExpressRoute
Azure модель ціноутворення на bandwidth відрізняється від AWS у двох важливих деталях: перші 100 ГБ egress на місяць безкоштовні (per subscription, не per region), а inbound трафік завжди безкоштовний навіть для GA-сервісів. Але cross-region всередині Azure, це теж окрема стаття: 0,02 USD/ГБ для intra-continent (наприклад, West Europe → North Europe) і 0,05 USD/ГБ для inter-continent. Якщо ви тримаєте мульти-регіональну active-active архітектуру на Azure Front Door + Cosmos DB, ця стаття часто перевищує compute.
Перше, що варто зробити, це аудит availability zones. На відміну від AWS, в Azure cross-AZ трафік історично був безкоштовним, але з листопада 2024 року Microsoft почав білити intra-region inter-AZ за 0,01 USD/ГБ для нових підписок. Перевірте свою таблицю тарифів через офіційну документацію Azure Networking і не покладайтеся на старі гайди.
Private Endpoints і Service Endpoints
Azure Private Endpoint (аналог AWS PrivateLink) дозволяє Storage Account, Cosmos DB, Key Vault і SQL Database бути доступними через приватну IP-адресу всередині вашого VNet. Без них трафік до managed-сервісу йде через публічний endpoint, а отже через NAT, який в Azure теж білиться за 0,045 USD/ГБ + 0,022 USD/год.
ExpressRoute Local: безкоштовний egress для гібридних сценаріїв
Якщо ви маєте on-premise або colo неподалік від регіону Azure, ExpressRoute Local tier (доступний у понад 30 локаціях станом на 2026) включає необмежений egress в межах metropolitan area без per-GB плати, лише фіксована вартість порту. Для команд, які пушать терабайти логів і телеметрії з ЦОД у Log Analytics, це часто єдиний економічно вигідний шлях.
GCP: Premium vs Standard Network Tier і коли який обирати
Google Cloud, на цей момент, єдиний з трьох великих провайдерів, який пропонує два рівні мережі з різною ціною. Premium Tier маршрутизує трафік через приватну мережу Google максимально близько до користувача, дає кращу latency і використовується за замовчуванням. Standard Tier виходить у публічний інтернет через найближчий до регіону PoP: латентність вища, але ціна на egress в середньому на 30–50% нижча.
Параметр
Premium Tier
Standard Tier
Ціна egress (US, перші 10 ТБ)
0,12 USD/ГБ
0,085 USD/ГБ
Маршрутизація
Приватна мережа Google до PoP біля користувача
Найближчий PoP біля регіону
SLA
99,99%
99,9%
Global Load Balancer
Підтримується
Тільки regional LB
Anycast IP
Так
Ні
Підходить для
Глобальний фронтенд, latency-критичні API
Бекенд-інтеграції, B2B API, batch transfer
Cloud CDN
Підтримується повністю
З regional LB
Практичне правило: фронтенд для кінцевих користувачів, Premium; інтеграційні бекенди (webhook доставка, batch ETL, S3 → GCS sync), Standard. Перемикається це per load-balancer або per network-interface, що дозволяє мати гібридну архітектуру. Перевірити поточний tier:
# Поточний tier для всіх forwarding rules
gcloud compute forwarding-rules list \
--format="table(name,IPAddress,networkTier)"
# Перевести forwarding rule на Standard Tier
gcloud compute forwarding-rules update my-backend-lb \
--network-tier=STANDARD \
--region=us-central1
Private Service Connect замість Cloud NAT
Private Service Connect (PSC) у GCP, це функціональний еквівалент AWS PrivateLink. Він дозволяє вашим VM-екземплярам у приватних підмережах звертатися до GCS, BigQuery, Pub/Sub та сторонніх SaaS без виходу через Cloud NAT (який білиться за 0,045 USD/ГБ + 0,044 USD/год за gateway). Згідно з офіційною документацією GCP PSC, для API-сервісів Google трафік через PSC взагалі безкоштовний, а для published services лише per-hour ставка endpoint.
Як CDN та edge-кешування знижують egress на 60–80%
CDN, всупереч поширеній думці, не лише про швидкість. Це найдешевший спосіб обслуговувати один і той самий контент мільйонам користувачів, тому що кешований відгук обслуговується з edge-PoP, а не з origin. Найважливіше: трафік з origin до CDN (наприклад, з S3 до CloudFront, з Storage Account до Front Door, з GCS до Cloud CDN) повністю безкоштовний у всіх трьох провайдерів. Тобто ви платите тільки за CDN egress до інтернету, який сам по собі дешевший:
AWS CloudFront: 0,085 USD/ГБ для перших 10 ТБ у North America (порівняно з 0,09 для прямого egress із S3/EC2), плюс Free Tier 1 ТБ/місяць назавжди.
Azure Front Door Standard: 0,083 USD/ГБ + фіксована 35 USD/місяць за base. Для обсягів >1 ТБ окупається моментально.
Google Cloud CDN: 0,08 USD/ГБ для перших 10 ТБ; вартість cache fill з origin безкоштовна (для GCS і backend buckets у тому ж регіоні).
Друга вигода, це cache hit ratio. На добре налаштованому CDN із правильними Cache-Control заголовками типовий hit ratio для static assets становить 85–95%, для HTML 50–80%, для API responses 30–60%. Це означає, що 60–80% запитів взагалі не доходять до origin, а отже не генерують ні compute витрат, ні egress витрат.
EU Data Act: безкоштовний egress при міграції з січня 2027
EU Data Act (Regulation 2023/2854) набув чинності 11 січня 2024 року, а ключова частина про "switching cloud providers" повністю діє з 12 січня 2027 року. Стаття 29 прямо забороняє cloud-провайдерам стягувати egress fees з клієнта, який мігрує своє data set до конкурента. AWS, Azure та GCP вже у 2024 році запровадили програму "Free Data Transfer Out to Internet when leaving" як превентивну відповідь, але вона має умови (закриття акаунта повністю, обмежені обсяги, аплікація через support case).
Що це означає практично для FinOps у 2026:
Використовуйте Data Act як аргумент у комерційних переговорах. Великі провайдери активно дають Egress Credits клієнтам, які натякають на оцінку multi-cloud стратегії.
Архітектурно зменшіть vendor lock-in: централізуйте storage на S3-compatible API (R2, Backblaze B2, GCS S3 emulation), використовуйте OpenTelemetry замість vendor-specific агентів. Це знижує бар'єр виходу і робить переговорну позицію сильнішою.
Документуйте оцінки вартості міграції, це знадобиться для compliance reports і audit board.
Інструменти моніторингу та атрибуції egress витрат
Без чіткої атрибуції егрес-витрат до конкретних команд або сервісів оптимізація неможлива. Базові інструменти провайдерів (AWS Cost Explorer, Azure Cost Management, GCP Billing Reports) показують агрегати, але не дають видимості до рівня pod або namespace у Kubernetes. У 2026 цей gap закривають кілька рішень:
OpenCost (CNCF Incubating), open-source, інтегрується з Prometheus, тепер з нативною підтримкою cross-AZ та cross-region атрибуції за namespace/label.
Vantage, SaaS, об'єднує AWS, GCP, Azure, Datadog і Snowflake в один дашборд; має готові "Network Cost" звіти.
CloudHealth (VMware/Broadcom), enterprise FinOps platform, найкраще для multi-cloud з anomaly detection на data transfer.
Kubecost, для k8s-команд із потребою rightsizing рекомендацій разом з egress.
На основі десятків аудитів типова "перша хвиля" дій із найкращим співвідношенням зусиль до економії виглядає так:
Тиждень 1. Увімкнути VPC Flow Logs / NSG Flow Logs / VPC Flow Logs у GCP. Визначити топ-10 destination IP за обсягом байт.
Тиждень 2. Створити Gateway Endpoint для S3/DynamoDB (AWS) або Service Endpoints для Storage (Azure) або PSC для Google APIs (GCP). Це разова дія, що дає 20–40% економії за дні.
Тиждень 3. Налаштувати Topology Aware Hints у Kubernetes; для Kafka вмикнути rack-awareness; для Cassandra перевірити placement strategy.
Тиждень 4. Розгорнути CloudFront/Front Door/Cloud CDN перед статичним контентом і кешованими API-ендпоінтами. Перевірити Cache-Control політики.
Тиждень 5–6. Перевести non-latency-критичний egress на GCP Standard Tier або Azure Routing Preference "Internet". Перевірити SLA-впливи.
Тиждень 7–8. Встановити OpenCost або підключити Vantage. Створити Egress Cost Dashboard за командами/тегами. Налаштувати alerts на аномалії.
За цим планом більшість команд, з якими я працював у 2025–2026, скоротили частку data transfer у загальному cloud bill з 22–28% до 7–11%, причому без єдиної зміни в product feature roadmap. Чесно, такого ROI рідко буває в жодному іншому FinOps-напрямку.
Часті запитання
Чому egress трафік в AWS такий дорогий порівняно з ingress?
Ingress (вхідний трафік) безкоштовний у всіх hyperscaler-ах як стратегія, бо це знижує бар'єр для завантаження даних у хмару. Egress білиться високо, оскільки створює природний бар'єр виходу (vendor lock-in) і компенсує capex на трансокеанські канали зв'язку. EU Data Act з 2027 року частково послабить цей механізм для випадків міграції.
Який провайдер найдешевший для egress у 2026?
Серед великих трьох, GCP зі Standard Tier (0,085 USD/ГБ), потім Azure (0,087 USD/ГБ), потім AWS (0,09 USD/ГБ). Однак у low-cost категорії Cloudflare R2 і Backblaze B2 пропонують безкоштовний egress (з умовами); для статичного контенту та об'єктного зберігання це часто дешевше за будь-який з hyperscaler-ів.
Як VPC Endpoints економлять гроші?
Gateway Endpoints для S3 та DynamoDB повністю безкоштовні і повністю замінюють трафік, який інакше йшов би через NAT Gateway (0,045 USD/ГБ обробки + 0,09 USD/ГБ egress). Interface Endpoints (PrivateLink) коштують 0,01 USD/ГБ, тобто у 8 разів менше за NAT для тих самих обсягів.
Чи варто переходити на GCP Standard Network Tier?
Для бекенд-інтеграцій, webhook-доставки, B2B API і batch-трансферів, однозначно так, економія 30–50% без помітного впливу. Для глобального фронтенду з latency-критичними користувачами ні: Standard Tier маршрутизує через найближчий PoP до регіону, а не до користувача, тож TTFB зросте на 50–200 мс.
Що таке безкоштовний egress згідно з EU Data Act?
EU Data Act (Reg. 2023/2854), Стаття 29, зобов'язує хмарних провайдерів надавати безкоштовний переніс даних клієнта до іншого провайдера у разі повного "switching". Дія повноцінно з 12 січня 2027 року. AWS, Azure та GCP уже мають програми Free Data Transfer Out для клієнтів, що мігрують і закривають акаунт, застосовується через support case.
Як виміряти egress витрати на рівні Kubernetes namespace?
OpenCost (CNCF Incubating) у версіях 1.110+ підтримує network cost attribution за namespace, deployment та pod labels через інтеграцію з VPC Flow Logs (AWS), Hubble (Cilium) або eBPF-агентами. Альтернативно, Kubecost із Network Cost Daemonset або Vantage Kubernetes Integration. Без цих інструментів атрибуція ручна і занадто часовитратна.
Повний посібник 2026 року з оптимізації витрат на GPU для тренування та інференсу AI/ML у AWS, Azure, GCP. Spot GPU, квантизація FP8/INT4, vLLM, Bedrock vs SageMaker — і реальні приклади економії до 80%.
