01Der stille Preis eines Bastions
$43.80 pro Jahr. Nur für eine IP-Adresse, die niemand sieht.
Seit Februar 2024 kostet jede öffentliche IPv4-Adresse in AWS $3.65 pro Monat. Das macht $43.80 pro Jahr für eine Bastion-Instanz, die als Jump-Host in die private VPC dient. Oft für eine IP, die ausser deinem Team niemand je sieht.
Der Preis für die IP ist nur der sichtbare Teil. Dazu kommen:
- Patching-Zyklen (Amazon Linux, sshd, Kernel-Updates)
- SSH-Key-Rotation für jeden Entwickler im Team
- Security-Compliance-Overhead (FADP, ISO 27001, SOC 2)
- Monitoring und Logging einer Instanz, die 23 Stunden am Tag wartet
Eine EC2, die fast nichts tut, ist Infrastruktur-Ballast. Besser geht’s.
02EC2 Instance Connect Endpoint
Die kostenlose Alternative, die AWS vor drei Jahren gelauncht hat.
AWS hat 2023 den EC2 Instance Connect Endpoint (EIC Endpoint) ausgeliefert. Ein managed Tunnel in die VPC, der direkt für Datenbankzugriff genutzt werden kann:
- Keine öffentliche IP nötig
- Keine SSH-Keys, Zugriff per IAM gesteuert
- Kein Patching, kein Kernel, kein sshd-Update
- CHF 0 pro Monat
Für kurze SQL-Sessions (psql, mysql, pgbench) ist das der direkte Ersatz für den Bastion. Kein Ballast, keine monatliche Rechnung.
03Das 1-Stunden-Problem
Du öffnest DataGrip am Morgen. Eine Stunde später bricht die Verbindung ab.
Ein paar Queries laufen. Meeting dazwischen. Du kommst zurück, wechselst in einen kniffligen Debugging-Task, tippst die Query, die du wirklich brauchst.
Und die Connection bricht ab.
EIC Endpoint hat einen harten TCP-Cap von einer Stunde. Nach 3600 Sekunden wird die Verbindung hart getrennt. Reconnect, Credentials neu, Schema navigieren, mentaler Kontext weg.
Weitere Limits, die in den Docs leicht zu übersehen sind:
- Maximal 20 parallele Verbindungen pro VPC
- Ziel ist nur per private IP erreichbar, kein DNS-Name
- Kein SCP, kein File-Transfer über den Endpoint
Für Ad-hoc-Queries: völlig in Ordnung. Für Feature-Arbeit mit längerem Debugging und mehreren Tools gleichzeitig: ein Workflow-Killer.
04Fargate ephemeral: Serverless für Dev-Workflows
Der Tunnel, den du on-demand startest und der sich selbst abschaltet.
Das Muster ist simpel:
- Ein Fargate-Task wird on-demand gestartet (CDK Construct oder CLI-Wrapper)
- Der Task enthält
sshdundssm-agent - Der Entwickler tunnelt per SSH über SSM Session Manager zur RDS
- Die Session läuft so lange wie gebraucht, ohne Stunden-Cap
- Bei Idle-Timeout terminiert der Task sich selbst
Keine öffentliche IP. Keine SSH-Keys auf der Task (IAM-Auth über SSM). Kein 1-Stunden-Cap. Kein idle-Compute, das um 3 Uhr morgens Geld kostet.
Die einzigen echten Kosten: 20-40 Sekunden Cold-Start beim ersten Connect, und die Pflege des Container-Images in ECR.
05Die Entscheidungsmatrix
Wähl nach Workflow, nicht nach Hype.
Bastion nehmen, wenn: bereits im Einsatz, SSH-Workflow passt zum Team, Jump-Host dient auch anderen Zwecken (Deploy-Gateway, Tooling-Host), lange Sessions und flexibles Tooling nötig.
EIC Endpoint nehmen, wenn: Solo-Dev oder kleines Team, kurze SQL-Sessions, kein Appetit auf EC2-Patching, minimale Attack Surface gewünscht, reine Datenbank-Zugriffe (psql, mysql).
Fargate ephemeral nehmen, wenn: 20+ Engineers, Multi-VPC, strikte Compliance (FADP, ISO 27001), Sessions länger als eine Stunde, null Idle-Resources akzeptiert werden können.
06Die pragmatische Antwort 2026
Start mit EIC Endpoint. Greif zu Fargate, wenn Sessions die Stunde überleben müssen.
Beide kosten praktisch nichts. Beide vermeiden Patching, Key-Rotation und die idle Instanz um 3 Uhr morgens.
Das ist Serverless angewandt auf Developer-Workflows, das gleiche Prinzip, das du schon in Produktion anwendest. Der Unterschied: jetzt auch für das Tooling, das du vielleicht noch nie als Infrastruktur gesehen hast.