Conectarse a Datadog a través de AWS PrivateLink

Documentos > Agent > Guías del Agent > Conectarse a Datadog a través de AWS PrivateLink

Información general

Esta guía te presenta la configuración de AWS PrivateLink para su uso con Datadog. El proceso general consiste en configurar un endpoint interno en tu VPC, al que tus Datadog Agents puedan enviar datos. De esta forma, el endpoint de tu VPC se empareja con el endpoint de la VPC de Datadog.

Datadog expone endpoints de AWS PrivateLink en .

Si necesitas enrutar tráfico en la misma región, sigue los pasos en Conectarse desde la misma región para configurar tu endpoint.
Para enrutar tráfico a la oferta PrivateLink de Datadog en desde otras regiones, Datadog recomienda los endpoints PrivateLink entre regiones. PrivateLink entre regiones te permite establecer conexiones entre VPC a través de diferentes regiones AWS. Esto permite a los recursos de la VPC de diferentes regiones comunicarse entre sí a través de direcciones IP privadas. Alternativamente, utiliza el emparejamiento de VPC.

Conectarse desde la misma región

Conecta la consola de AWS Management Console a la región elegida.
Desde el dashboard de la VPC, en PrivateLink y Lattice, selecciona Endpoints.
Haz clic en Create Endpoint (Crear endpoint):
Selecciona Find service by name (Buscar servicio por nombre).
Rellena el cuadro de texto Service Name (Nombre de servicio) en función del servicio para el que quieras configurar AWS PrivateLink:

Datadog	Nombre de servicio PrivateLink	Nombre de DNS privado
Logs (Admisión HTTP del Agent)
Logs (Admisión HTTP del usuario)
API
Métricas
Contenedores
Proceso
Generación de perfiles
Trazas
Database Monitoring
Configuración remota

Haz clic en Verify (Verificar). Si esta acción no devuelve Service name found (Nombre de servicio encontrado), ponte en contacto con el servicio de asistencia de Datadog.
Elige la VPC y las subredes que deben emparejarse con el endpoint de servicio de la VPC de Datadog.
Asegúrate de que en Enable DNS name (Habilitar nombre de DNS), Enable for this endpoint (Habilitar para este endpoint) está marcado:
Elige el grupo de seguridad de tu preferencia para controlar qué puede enviar tráfico a este endpoint de VPC.
Nota: El grupo de seguridad debe aceptar tráfico entrante en el puerto TCP 443.
Haz clic en Create endpoint (Crear endpoint) en la parte inferior de la pantalla. Si es correcto, se mostrará lo siguiente:
Haz clic en el ID del endpoint de VPC para comprobar su estado.
Espera que el estado cambie de Pending (Pendiente) a Available (Disponible). Esto puede tomar hasta 10 minutos. Una vez que el estado sea Available (Disponible), puedes utilizar AWS PrivateLink.
Si ejecutas una versión del Datadog Agent anterior a v6.19 o v7.19 para recopilar datos de logs, asegúrate de que el Agent está configurado para enviar logs mediante HTTPS. Si los datos aún no están allí, añade lo siguiente al archivo de configuración del Agent datadog.yaml:
```
logs_config:
    force_use_http: true
```
Si estás utilizando el Agent de contenedor, configura la siguiente variable de entorno en su lugar:
```
DD_LOGS_CONFIG_FORCE_USE_HTTP=true
```
Esta configuración es obligatoria para enviar logs a Datadog con AWS PrivateLink y el Datadog Agent, y no es obligatoria para la extensión Lambda. Para ver más detalles, consulta Recopilación de logs del Agent.
Si tu extensión de Lambda carga la clave de API Datadog desde AWS Secrets Manager mediante el ARN especificado por la variable de entorno DD_API_KEY_SECRET_ARN, necesitas crear un endpoint de VPC para Secrets Manager.
Reinicia tu Agent para enviar datos a Datadog a través de AWS PrivateLink.

Conectarse desde otras regiones

Conecta la consola de AWS Management a la región de tu preferencia.
Desde el dashboard de la VPC, en PrivateLink y Lattice, selecciona Endpoints.
Haz clic en Create Endpoint (Crear endpoint):
Configurar los parámetros del endpoint de la interfaz de la VPC
1. Opcionalmente, rellena la etiqueta de nombre.
2. En Tipo, selecciona Servicios de asociados PrivateLink Ready.
Detecta y configura el endpoint de la interfaz con compatibilidad entre regiones:
1. En Nombre de servicio, rellena el nombre de servicio con un nombre de servicio PrivateLink válido de la tabla.
2. En Región del servicio, haz clic en Enable Cross Region endpoint (Habilitar endpoint entre regiones) y selecciona .
3. Haz clic en Verificar servicio y espera la notificación Service name verified (Nombre de servicio verificado). Nota: Si no puedes verificar el servicio luego de completar los pasos anteriores, ponte en contacto con el servicio de asistencia de Datadog.
En Parámetros de red, selecciona una VPC con la que desplegar el endpoint de la interfaz de la VPC.
Asegúrate de que la opción para habilitar el nombre del DNS está marcada.
En Subredes, selecciona una o más subredes en tu VPC para el endpoint de la interfaz.
En Grupos de seguridad, selecciona un grupo de seguridad para controlar qué puede enviar tráfico al endpoint de la VPC.
Nota: El grupo de seguridad debe aceptar tráfico entrante en el puerto TCP 443.
Opcionalmente, proporciona una etiqueta de nombre y haz clic en Create endpoint (Crear endpoint).
Espera a el estado del endpoint cambie de Pending (Pendiente) a Available (Disponible). Esto puede tardar unos 10 minutos. Si tarda más tiempo de lo previsto, ponte en contacto con el servicio de asistencia de Datadog.

Una vez que el estado del endpoint se actualice a Available (Disponible), podrás utilizar este endpoint para enviar telemetría a Datadog utilizando el endpoint AWS PrivateLink entre regiones.

Nombres de servicio PrivateLink

Datadog	Nombre de servicio PrivateLink	Nombre de DNS privado
Logs (Admisión HTTP del Agent)
Logs (Admisión HTTP del usuario)
API
Métricas
Contenedores
Proceso
Generación de perfiles
Trazas
Database Monitoring
Configuración remota

Nota: PrivateLink entre regiones no genera métricas de CloudWatch. Para obtener más información, consulta Métricas de CloudWatch para AWS PrivateLink.

Conecta la consola de AWS a la región y crea un endpoint de VPC.

Selecciona Find service by name (Buscar servicio por nombre).
Rellena el cuadro de texto Service Name (Nombre de servicio) en función del servicio para el que quieres configurar AWS PrivateLink:

Datadog	Nombre de servicio PrivateLink
Logs (Admisión HTTP del Agent)
Logs (Admisión HTTP del usuario)
API
Métricas
Contenedores
Proceso
Generación de perfiles
Trazas
Database Monitoring
Configuración remota

Haz clic en Verify (Verificar). Si esta acción no devuelve Service name found (Nombre de servicio encontrado), ponte en contacto con el servicio de asistencia de Datadog.
Luego, elige la VPC y las subredes que deben emparejarse con el endpoint de servicio de la VPC de Datadog. No selecciones Enable DNS name (Habilitar nombre de DNS), ya que el emparejamiento de VPC requiere que el DNS se configure manualmente.
Elige el grupo de seguridad preferido para controlar qué puede enviar tráfico al endpoint de la VPC.
Nota: El grupo de seguridad debe aceptar tráfico entrante en el puerto TCP 443.
Haz clic en Create endpoint (Crear endpoint) en la parte inferior de la pantalla. Si es correcto, se muestra lo siguiente:

Haz clic en el ID del endpoint de la VPC para comprobar su estado.
Espera unos 10 minutos a que el estado pase de Pending (Pendiente) a Available (Disponible)..
Después de crear el endpoint, utiliza el emparejamiento de VPC a fin de que el endpoint de PrivateLink esté disponible en otra región para enviar telemetría a Datadog a través de PrivateLink. Para obtener más información, lee la página Trabajar con conexiones de emparejamiento de VPC en AWS.

Amazon Route53

Crea una zona Route53 alojada privada para cada servicio para el que hayas creado un endpoint AWS PrivateLink. Adjunta la zona privada alojada a la VPC en .

Utiliza la siguiente lista para asignar nombres de servicio y DNS a diferentes elementos de Datadog:

Datadog	Nombre de servicio PrivateLink	Nombre de DNS privado
Logs (Admisión HTTP del Agent)
Logs (Admisión HTTP del usuario)
API
Métricas
Contenedores
Proceso
Generación de perfiles
Trazas
Database Monitoring
Configuración remota

También puedes encontrar esta información interrogando a la API AWS, DescribeVpcEndpointServices o utilizando el siguiente comando:

aws ec2 describe-vpc-endpoint-services --service-names <service-name>`

Por ejemplo, en el caso del endpoint de métricas de Datadog para :

aws ec2 describe-vpc-endpoint-services --service-names  | jq '.ServiceDetails[0].PrivateDnsName'

Esto devuelve metrics.agent. el nombre de la zona alojada privada que necesitas para asociar con la VPC en la que se origina el tráfico del Agent. Al anular este registro, se obtienen todos los nombres de host de los consumos relacionados con métricas.

Dentro de cada nueva zona alojada privada de Route53, crea un registro A con el mismo nombre. Activa la opción Alias y, a continuación, en Route traffic to (Enrutar el tráfico a**), selecciona Alias to VPC endpoint (Alias para endpoint de la VPC), e introduce el nombre del DNS del endpoint de la VPC asociado al nombre del DNS.
Notas:
- Para obtener el nombre de tu DNS, consulta Ver documentación de configuración del nombre del DNS privado para servicios de endpoint.
- El Agent envía telemetría a endpoints versionados, por ejemplo, [version]-app.agent., que se resuelven como metrics.agent. a través de un alias CNAME. Por lo tanto, solo es necesario configurar una zona alojada privada para metrics.agent..

Configura la interconexión de la VPC y el enrutamiento entre la VPC en una que contenga endpoints de Datadog PrivateLink y la VPC en la región donde se ejecutan los Datadog Agents.
Si las VPC se encuentran en diferentes cuentas de AWS, la VPC que contiene el Datadog Agent debe estar autorizada para asociarse con las zonas alojadas privadas de Route53 antes de continuar. Crea una autorización de asociación para la VPC en cada zona alojada privada de Route53 utilizando la región y el ID de la VPC donde se ejecuta el Datadog Agent. Esta opción no está disponible en la consola de AWS y debe configurarse con la CLI, el SDK o la API de AWS.
Edita la zona alojada de Route53 para añadir las VPC para otras regiones.

Editar una zona alojada privada de Route53

Las VPC que tienen asociada una zona alojada privada (PHZ) necesitan tener ciertas configuraciones específicas activadas; concretamente, las opciones enableDnsHostnames y enableDnsSupport de las VPC a las que está asociada la PHZ. Consulta las Consideraciones sobre el uso de una zona alojada privada.
Reinicia el Agent para enviar datos a Datadog a través de AWS PrivateLink.

Solucionar problemas de resolución y conectividad del DNS

Los nombres del DNS deberían resolverse en direcciones IP contenidas dentro del bloque CIDR de la VPC en la y las conexiones al port 443 deberían funcionar correctamente.

La conexión con el puerto 443 debería funcionar correctamente

Si el DNS se resuelve en direcciones IP públicas, significa que la zona de Route53 no se ha asociado con la VPC en la región alternativa o que el registro A no existe.

Si el DNS se resuelve correctamente, pero las conexiones al port 443 fallan, es posible que la interconexión o el enrutamiento de la VPC estén mal configurados o que el puerto 443 no tenga permiso para salir del bloque CIDR de la VPC en la .

Las VPC que tienen asociada una zona alojada privada (PHZ) necesitan tener ciertas configuraciones específicas activadas; concretamente, las opciones enableDnsHostnames y enableDnsSupport de las VPC a las que está asociada la PHZ. Consulta la Configuración de la VPC de Amazon.

Datadog Agent

Si estás recopilando datos de logs, asegúrate de que tu Agent está configurado para enviar logs a través de HTTPS. Si los datos no están ya ahí, añade lo siguiente en el archivo de configuración datadog.yaml del Agent:
```
logs_config:
    force_use_http: true
```
Si estás utilizando el Agent del contenedor, establece la siguiente variable de entorno en su lugar:
```
DD_LOGS_CONFIG_FORCE_USE_HTTP=true
```
Esta configuración es obligatoria cuando se envían logs a Datadog con AWS PrivateLink y el Datadog Agent, pero no es necesaria para la extensión Lambda. Para obtener más información, consulta la recopilación de logs del Agent.
Si tu extensión Lambda carga la clave de API de Datadog desde el administrador de secretos de AWS utilizando el ARN especificado por la variable de entorno DD_API_KEY_SECRET_ARN, es necesario crear un endpoint de la VPC para el administrador de secretos.
Reinicia el Agent.

Comprobar que los datos se envían mediante PrivateLink

Después de configurar PrivateLink, para comprobar que los datos se envían utilizando PrivateLink, ejecuta el comando dig en una máquina que esté en esa VPC. Por ejemplo, ejecuta este comando si has configurado un PrivateLink para el endpoint http-intake.logs.datadoghq.com:

dig http-intake.logs.datadoghq.com

Si se están enviando logs a través de PrivateLink, la sección ANSWER Section de la salida muestra http-intake.logs.datadoghq.com como en el siguiente ejemplo. Nota: Las direcciones IP que recibas deben estar en un espacio IP privado.

;; ANSWER SECTION:
http-intake.logs.datadoghq.com. 60 IN   A   172.31.57.3
http-intake.logs.datadoghq.com. 60 IN   A   172.31.3.10
http-intake.logs.datadoghq.com. 60 IN   A   172.31.20.174
http-intake.logs.datadoghq.com. 60 IN   A   172.31.34.135

Si no se están enviando logs a través de PrivateLink, la sección ANSWER SECTION de la salida muestra el balanceador de carga (4-logs-http-s1-e721f9c2a0e65948.elb.us-east-1.amazonaws.com) al que se están enviando los logs.

;; ANSWER SECTION:
http-intake.logs.datadoghq.com. 177 IN  CNAME   http-intake-l4.logs.datadoghq.com.
http-intake-l4.logs.datadoghq.com. 173 IN CNAME l4-logs-http-s1-e721f9c2a0e65948.elb.us-east-1.amazonaws.com.
l4-logs-http-s1-e721f9c2a0e65948.elb.us-east-1.amazonaws.com. 42 IN A 3.233.158.48
l4-logs-http-s1-e721f9c2a0e65948.elb.us-east-1.amazonaws.com. 42 IN A 3.233.158.49
l4-logs-http-s1-e721f9c2a0e65948.elb.us-east-1.amazonaws.com. 42 IN A 3.233.158.50