Tráfico de red

Esta traducción no está actualizada. Para consultar la última versión en inglés, haz clic aquí

Resumen

El tráfico siempre es iniciado por el Agente hacia Datadog. Nunca se inician sesiones desde Datadog de regreso al Agente.

Todo el tráfico del Agente se envía a través de SSL. El destino depende del servicio y sitio de Datadog. Para ver destinos basados en tu sitio de Datadog, haz clic en el selector DATADOG SITE a la derecha.

Instalación

Agrega los siguientes dominios a tu lista de inclusión para permitir la instalación del Agente:

  • install.datadoghq.com
  • yum.datadoghq.com
  • keys.datadoghq.com
  • apt.datadoghq.com
  • windows-agent.datadoghq.com

Destinos

A partir de la versión 7.67.0, el Agente convierte los sitios de Datadog en nombres de dominio completamente calificados (agregando un punto al final del dominio) para reducir el número de consultas DNS. Por ejemplo, envía cargas útiles de APM a trace.agent.datadoghq.com..
Este comportamiento se puede desactivar en la versión 7.72.0 y posteriores configurando convert_dd_site_fqdn.enabled a false en la configuración, o con la variable de entorno DD_CONVERT_DD_SITE_FQDN_ENABLED=false.
APM
trace.agent.
instrumentation-telemetry-intake.
LLM Observabilidad
llmobs-intake.
Imágenes de Contenedor
contimage-intake.
Contenedores en Vivo, Proceso en Vivo, Monitoreo de Red en la Nube, Monitoreo de Servicio Universal
process.
Monitoreo de Dispositivos de Red
ndm-intake.
snmp-traps-intake.
ndmflow-intake.
Ruta de Red
netpath-intake.
Orquestador
orchestrator.
contlcycle-intake.
Perfilado
intake.profile.
Monitoreo de Usuario Real (RUM)
Vulnerabilidades de Seguridad en la Nube
sbom-intake.
Monitoreo Sintético en Ubicaciones Privadas
Trabajador Sintético v1.5.0 o posterior: intake.synthetics. es el único punto final que necesitas configurar.
Resultados de pruebas de API para el Trabajador Sintético > v0.1.6: intake.synthetics.
Resultados de pruebas de navegador para el Trabajador Sintético > v0.2.0: intake-v2.synthetics.
Resultados de pruebas de API para el Trabajador Sintético < v0.1.5: api.
Configuración Remota
config.
Monitoreo de Base de Datos
dbm-metrics-intake.
dbquery-intake.
TCP log collection is not supported. Datadog provides no delivery or reliability guarantees when using TCP, and log data may be lost without notice. For reliable ingestion, use the HTTP intake endpoint, an official Datadog Agent, or forwarder integration instead. For more information, see Log Collection.
Registros & registros HIPAA
(Obsoleto) TCP:
HTTP:
Otro: Ver puntos finales de registros
Registros HIPAA legado (Obsoleto, TCP no soportado)
Métricas, Verificaciones de Servicio, Eventos, y otros metadatos del Agente
<VERSION>-app.agent.
Por ejemplo, el Agente v7.31.0 reporta a 7-31-0-app.agent.. Debes agregar *.agent. a tu lista de inclusión en tu(s) firewall(s).
Desde v6.1.0, el Agente también consulta la API de Datadog para proporcionar funcionalidad no crítica (Por ejemplo, mostrar la validez de la clave API configurada):
Agente v7.18.0 o 6.18.0 y versiones posteriores: api.
Agente < v7.18.0 o 6.18.0: app.
Agente flare
<VERSION>-flare.agent.
Por ejemplo, el Agente v7.31.0 envía datos de flare a 7-31-0-flare.agent.. Debes agregar *.agent. a tu lista de inclusión en tu(s) firewall(s).

Direcciones IP estáticas

Todos estos dominios son registros CNAME que apuntan a un conjunto de direcciones IP estáticas. Estas direcciones se pueden encontrar en https://ip-ranges..

La información está estructurada como JSON siguiendo este esquema:

{
    "version": 1,                          // <-- incremented every time this information is changed
    "modified": "YYYY-MM-DD-HH-MM-SS",     // <-- timestamp of the last modification
    "agents": {                            // <-- the IPs used by the Agent to submit metrics to Datadog
        "prefixes_ipv4": [                 // <-- list of IPv4 CIDR blocks
            "a.b.c.d/x",
            ...
        ],
        "prefixes_ipv6": [                 // <-- list of IPv6 CIDR blocks
            ...
        ]
    },
    "api": {...},                          // <-- the IPs used by the Agent for non-critical functionality (querying information from API)
    "apm": {...},                          // <-- the IPs used by the Agent to submit APM data to Datadog
    "logs": {...},                         // <-- the IPs used by the Agent to submit logs to Datadog
    "process": {...},                      // <-- the IPs used by the Agent to submit process data to Datadog
    "orchestrator": {...},                 // <-- the IPs used by the Agent to submit container data to Datadog
    "remote-configuration": {...},         // <-- the IPs used by the Agent to retrieve its dynamic configuration
    "synthetics": {...},                   // <-- the source IPs used by Synthetic workers (not used by the Agent)
    "synthetics-private-locations": {...}, // <-- the IPs used by Synthetics Private Locations workers to submit data to Datadog (not used by the Agent)
    "webhooks": {...}                      // <-- the source IPs used by Datadog to connect to 3rd party infrastructure over HTTP (not used by the Agent)
}

Cada sección tiene un endpoint dedicado, por ejemplo:

  • https://ip-ranges./logs.json para las IPs utilizadas para recibir datos de logs a través de TCP.
  • https://ip-ranges./apm.json para las IPs utilizadas para recibir datos de APM.

Inclusión

Agrega todos los ip-ranges a tu lista de inclusión. Aunque solo un subconjunto está activo en un momento dado, hay variaciones a lo largo del tiempo dentro de todo el conjunto debido a la operación y mantenimiento regular de la red.

Puertos abiertos

Todo el tráfico saliente se envía a través de SSL por TCP o UDP.

Asegúrate de que el Agente sea accesible solo por tus aplicaciones o fuentes de red de confianza utilizando una regla de firewall o una restricción de red similar. El acceso no confiable puede permitir que actores maliciosos realicen varias acciones invasivas, incluyendo, pero no limitado a, escribir trazas y métricas en tu cuenta de Datadog, o obtener información sobre tu configuración y servicios.

Abre los siguientes puertos para beneficiarte de todas las funcionalidades del Agente:

Saliente

Producto/FuncionalidadPuertoProtocoloDescripción
Agente
APM
Contenedores
Procesos en Vivo
Métricas
Monitoreo de Red en la Nube
Monitoreo Universal de Servicios		443TCPLa mayoría de los datos del Agente utilizan el puerto 443.
Escalado Automático de Agentes Personalizados8443TCP
Recolección de registros(Obsoleto) TCPRegistro a través de TCP.
Nota: La recolección de registros TCP no está soportada. Datadog no proporciona garantías de entrega o confiabilidad al usar TCP, y los datos de registro pueden perderse sin previo aviso. Para una ingestión confiable, utiliza el punto de entrada HTTP, un Agente oficial de Datadog o una integración de reenvío en su lugar. Para otros tipos de conexión, consulta puntos finales de registros.
NTP123UDPProtocolo de Tiempo de Red (NTP). Consulta objetivos NTP predeterminados.
Para información sobre la solución de problemas de NTP, consulta problemas de NTP.
Producto/FuncionalidadPuertoProtocoloDescripción
Agente
APM
Contenedores
Procesos en Vivo
Métricas
Monitoreo de Red en la Nube
Monitoreo de Servicio Universal		443TCPLa mayoría de los datos del Agente utiliza el puerto 443.
NTP123UDPProtocolo de Tiempo de Red (NTP). Vea objetivos NTP predeterminados.
Para información sobre la solución de problemas de NTP, vea problemas de NTP.

Entrante

Utilizado para servicios de Agente que se comunican entre sí localmente dentro del host solamente.

Producto/FuncionalidadPuertoProtocoloDescripción
Interfaz Gráfica del Navegador del Agente5002TCP
Receptor APM8126TCPIncluye Trazado y el Profiler.
DogStatsD8125UDPPuerto para DogStatsD a menos que dogstatsd_non_local_traffic esté configurado como verdadero. Este puerto está disponible en localhost IPv4: 127.0.0.1.
servidor go_expvar (APM)5012TCPPara más información, vea la documentación de integración de go_expar.
servidor de integración go_expvar5000TCPPara más información, vea la documentación de integración de go_expar.
API IPC5001TCPPuerto utilizado para Comunicación entre Procesos (IPC).
Depurador del Agente de Proceso6062TCPPuntos finales de depuración para el Agente de Proceso.
Tiempo de ejecución del Agente de Proceso6162TCPConfiguraciones de tiempo de ejecución para el Agente de Proceso.

Configurar puertos

Si necesita cambiar un puerto de entrada porque el puerto predeterminado ya está en uso por un servicio existente en su red, edite el archivo de configuración datadog.yaml. Puede encontrar la mayoría de los puertos en la sección Configuración Avanzada del archivo:

datadog.yaml

## @param expvar_port - integer - optional - default: 5000 {#param-expvar-port-integer-optional-default-5000}
## @env DD_EXPVAR_PORT - integer - optional - default: 5000 {#env-dd-expvar-port-integer-optional-default-5000}
## The port for the go_expvar server. {#the-port-for-the-go-expvar-server}
#
# expvar_port: 5000 {#expvar-port-5000}

## @param cmd_port - integer - optional - default: 5001 {#param-cmd-port-integer-optional-default-5001}
## @env DD_CMD_PORT - integer - optional - default: 5001 {#env-dd-cmd-port-integer-optional-default-5001}
## The port on which the IPC api listens. {#the-port-on-which-the-ipc-api-listens}
#
# cmd_port: 5001 {#cmd-port-5001}

## @param GUI_port - integer - optional {#param-gui-port-integer-optional}
## @env DD_GUI_PORT - integer - optional {#env-dd-gui-port-integer-optional}
## The port for the browser GUI to be served. {#the-port-for-the-browser-gui-to-be-served}
## Setting 'GUI_port: -1' turns off the GUI completely {#setting-gui-port-1-turns-off-the-gui-completely}
## Default is: {#default-is}
##  * Windows & macOS : `5002` {#windows-macos-5002}
##  * Linux: `-1` {#linux-1}
##
#
# GUI_port: <GUI_PORT> {#gui-port}

El receptor APM y los puertos de DogStatsD se encuentran en las secciones Configuración de Recolección de Trazas y Configuración de DogStatsD del archivo de configuración datadog.yaml, respectivamente:

datadog.yaml

## @param dogstatsd_port - integer - optional - default: 8125 {#param-dogstatsd-port-integer-optional-default-8125}
## @env DD_DOGSTATSD_PORT - integer - optional - default: 8125 {#env-dd-dogstatsd-port-integer-optional-default-8125}
## Override the Agent DogStatsD port. {#override-the-agent-dogstatsd-port}
## Note: Make sure your client is sending to the same UDP port. {#note-make-sure-your-client-is-sending-to-the-same-udp-port}
#
# dogstatsd_port: 8125 {#dogstatsd-port-8125}

[...]

## @param receiver_port - integer - optional - default: 8126 {#param-receiver-port-integer-optional-default-8126}
## @env DD_APM_RECEIVER_PORT - integer - optional - default: 8126 {#env-dd-apm-receiver-port-integer-optional-default-8126}
## The port that the trace receiver should listen on. {#the-port-that-the-trace-receiver-should-listen-on}
## Set to 0 to disable the HTTP receiver. {#set-to-0-to-disable-the-http-receiver}
#
# receiver_port: 8126 {#receiver-port-8126}
Si cambia el valor del puerto de DogStatsD o del puerto del receptor APM aquí, también debe cambiar la configuración de la biblioteca de trazado APM para el puerto correspondiente. Consulte la información sobre la configuración de puertos en la documentación de Configuración de la Biblioteca para su lenguaje.

Usando proxies

Para una guía de configuración detallada sobre la configuración de proxies, consulte Configuración del Proxy del Agente.

Almacenamiento en búfer de datos

Si la red se vuelve inaccesible, el Agente almacena las métricas en memoria. El uso máximo de memoria para almacenar las métricas está definido por la configuración forwarder_retry_queue_payloads_max_size. Cuando se alcanza este límite, se descartan las métricas.

El Agente v7.27.0 o posterior almacena las métricas en disco cuando se alcanza el límite de memoria. Habilite esta capacidad configurando forwarder_storage_max_size_in_bytes a un valor positivo que indique la cantidad máxima de espacio de almacenamiento, en bytes, que el Agente puede usar para almacenar las métricas en disco.

Las métricas se almacenan en la carpeta definida por la configuración forwarder_storage_path, que por defecto es /opt/datadog-agent/run/transactions_to_retry en sistemas Unix, y C:\ProgramData\Datadog\run\transactions_to_retry en Windows.

Para evitar quedarse sin espacio de almacenamiento, el Agente almacena las métricas en disco solo si el espacio total de almacenamiento utilizado es inferior al 80 por ciento. Este límite está definido por la configuración forwarder_storage_max_disk_ratio.

Instalando el Operador de Datadog

Si está instalando el Operador de Datadog en un entorno de Kubernetes con conectividad limitada, necesita permitir los siguientes puntos finales para el puerto TCP 443, según su registro:

  • registry.datadoghq.com (Registro de Contenedores de Datadog)
    • us-docker.pkg.dev/datadog-prod/public-images (puede recibir redirecciones de registry.datadoghq.com)
  • gcr.io/datadoghq (GCR EE. UU.)
  • eu.gcr.io/datadoghq (GCR Europa)
  • asia.gcr.io/datadoghq (GCR Asia)
  • datadoghq.azurecr.io (Azure)
  • public.ecr.aws/datadog (AWS)
  • docker.io/datadog (DockerHub)

Lectura Adicional

Más enlaces, artículos y documentación útiles:

Aprende sobre el sitio de DatadogDOCUMENTACIÓN more more Recopila tus registrosDOCUMENTACIÓN more more Recopila tus procesosDOCUMENTACIÓN more more Recopila tus trazasDOCUMENTACIÓN more more